RGPD : quelle protection du délégué ?
La loi n°2018-493 du 20 juin 2018, relative à la protection des données personnelles, a remplacé le « correspondant informatique et liberté » par le « délégué à la protection des données » (Data Protection Officer – DPO). Ce délégué n’est obligatoire que pour les organismes publics et les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter des données sensibles.
Toutefois, la CNIL recommande cette désignation, même lorsqu’il n’y a pas d’obligation. En effet, les obligations de mise en conformité sont plus importantes qu’auparavant, et leurs sanctions beaucoup plus lourdes.
Aux termes de l’article 39 du RGPD, le délégué à la protection des données à notamment pour mission de « contrôler le respect du RGPD, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant » et de « coopérer avec l’autorité de contrôle ».
Le sénateur Raynal a posé une question écrite au ministère du travail, relative à la protection et à l’indépendance des DPO « face aux pressions possibles de leur employeur » (Question écrite n° 02896 de M. Raynal – JO Sénat du 25 janvier 2018).
Selon la réponse du ministère du travail (JO Sénat du 07/02/2019), le DPO ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des mission (Article 38 du RGPD).
Il ne peut donc subir aucune sanction, directe ou indirecte, en raison de l’exercice de ses missions (absence ou retard de promotion, freins à l’avancement de carrière, refus d’octroi d’avantages dont bénéficient d’autres salariés, etc…). Le ministère du travail précise qu’il n’est pas nécessaire que ces sanctions soient effectivement mises en place, une simple menace suffit.
Toutefois, le ministère du travail reconnait que « le législateur n’a pas entendu conférer au délégué à la protection des données, le statut de salarié protégé au sens du droit du travail ».
Il appartiendra alors aux juges de délimiter la sphère de protection de ce salarié particulier, et de prévoir les sanctions d’une violation de cette protection.