DPO, conflit d’intérêts et remise en cause potentielle de la validité du RGPD

Dès son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) adopté en 2016 a été considéré comme l’instrument incontournable pour protéger les données personnelles des citoyens européens. Ce dispositif vise à harmoniser et instaurer un cadre juridique unique, applicable à tous les États membres. Toutefois, c’est un Règlement « hybride » qui, bien qu’étant entré en application directement dans l’ordre juridique de tous les États membres à la date du 25 mai 2018, leur a laissé une certaine marge de manœuvre en leur permettant de préciser ou de compléter une cinquantaine de dispositions. Trois ans après sa mise en place, certaines zones d’ombre subsistent, deux notamment : la première concerne le rôle du délégué à la protection des données (DPD ou DPO) lorsqu’il est interne à l’entreprise ; la seconde est relative à la compatibilité du droit européen via le Règlement avec le droit national. Une récente affaire C-453/21 opposant « X-FAB Dresden GmbH & Co.KG » à « FC » dont la Cour de justice de l’Union européenne (CJUE) a été saisie le 29 septembre dernier a le mérite d’embrasser l’ensemble de ces deux points.  

L’affaire opposait un salarié de l’entreprise concernée X-FAB Dresden GmbH & Co.KG, groupe composé d’une société mère avec plusieurs filiales. En 2017, ce salarié avait été nommé délégué à la protection des données de la société mère, mais aussi des filiales situées en Allemagne. Après l’entrée en vigueur du RGPD, le 25 mai 2018, ce salarié a fait l’objet d’une révocation immédiate par son employeur. Ce dernier invoquait l’article 38, paragraphe 3 du RGPD et des motifs liés à l’entreprise, notamment le fait que ce salarié était également président du comité d’entreprise ce qui induisait un conflit d’intérêts entre les deux fonctions, jugées incompatibles. Le RGPD interdisant dans ce même article de révoquer un DPO, le salarié intenta une action contre son employeur. Il obtint en première instance et en appel que soit invalidée sa révocation. Un pourvoi en « révision » fut alors intenté par l’employeur devant la Cour fédérale du travail allemande (la Bundesarbeitsgericht). Celui-ci se fondait sur la loi fédérale allemande relative aux données à caractère personnel (Bundesdatenschutzgesetz), permettant cette révocation en cas de « motif grave. Dans cette affaire, deux questions principales se posaient : d’une part le RGPD et la loi allemande étaient-ils compatibles et, si oui, le RGPD devait-il prévaloir ; d’autre part, y avait-il conflit d’intérêts entre la fonction de DPO et celle de président du comité d’entreprise ? 

La compatibilité entre le RGPD et le droit national allemand

La première question posée à la CJUE renvoie à l’interprétation de l’article 38, paragraphe 3, deuxième phrase du RGPD au regard du droit national allemand. Cet article précise que « le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ». La question est de savoir s’il est en opposition avec l’article 6 paragraphe 4, première phrase, de la loi fédérale sur la protection des données énonçant que « le contrat de travail du délégué à la protection des données ne peut être résilié que s’il existe des faits qui donnent à l’organisme public un motif grave de résiliation sans préavis ». L’enjeu est de taille puisque le Règlement interdit formellement la révocation du DPO de ses fonctions si la raison émane de ses missions, tandis que le droit allemand le permet, en cas de « motif grave » sans vraiment préciser les cas en relevant. Le conflit ici est donc un conflit de normes et pose la question de savoir si le RGPD doit primer la législation nationale. Pour mieux cerner la question, quelques précisions s’imposent.

En principe, et contrairement à une directive, un règlement communautaire n’a pas besoin d’être transposé dans chaque État membre de l’Union ; il entre en vigueur à la date indiquée dans l’ensemble des États. Cependant, il est souvent nécessaire d’adapter le droit national afin de le rendre compatible avec le Règlement. Ainsi par exemple, en France, une loi du 20 juin 2018 et un décret n° 2019-536 du 29 mai 2019 ont été adoptés pour modifier la fameuse loi informatique et libertés du 6 janvier 1978 et la rendre compatible avec le RGPD. 

Tout règlement communautaire bénéficie ainsi, une fois son entrée en vigueur, du principe d’effet direct, en vertu duquel les pays ou les particuliers peuvent invoquer toute norme communautaire devant les juridictions nationales ou européennes. L’article 288 alinéa 2 du TFUE (Traité sur le Fonctionnement de l’Union Européenne) précise ainsi que « le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre », rappelé également par l’article 99 paragraphe 2 du RGPD. Les États membres ne peuvent donc pas déroger à la transposition des règlements européens en droit interne. Ainsi, l’Allemagne était-elle tenue d’intégrer et d’appliquer le Règlement et en particulier l’article 38, paragraphe 3, deuxième phrase du RGPD. 

Rappelons également que tout État membre de l’UE est soumis au principe de primauté du droit de l’Union. Consacrée par la Cour de Justice de l’Union Européenne (CJUE), il garantit la supériorité du droit européen sur les droits nationaux des États membres, qui doivent veiller à ce que les règles nationales soient conformes aux actes européens, lors de leur transposition.

Dans la présente affaire, la CJUE devrait donc trancher le conflit de norme en faveur du RGPD et écarter la loi allemande qui est en contradiction avec lui, ce qui devrait conduire la Cour allemande saisie à écarter en définitive le pourvoi en révision et donner raison au DPO. Même si le RGPD a donné une certaine marge de manœuvre aux États membres, le refus de la révocation du DPO n’en faisait pas partie. Force est de constater qu’ici c’est l’article 38 du RGPD qui devrait l’emporter.

Une autre question a été posée à la CJUE. Dans la mesure où la cessation des fonctions de DPO, liée par un contrat de travail à son employeur, entraîne nécessairement une modification de son contrat de travail en tant que salarié, le droit européen par le biais du RGPD est-il compétent pour traiter d’une question de droit du travail qui n’est pas a priori de la Compétence de l’UE et ne faut-il pas, dans ce cas, faire primer le droit allemand du travail ? En d’autres termes, le RGPD serait intervenu dans un domaine hors compétence de l’UE. Dans le cas qui nous occupe, le droit du travail allemand devrait être privilégié. 

Rappelons que les différents traités européens ont conféré des compétences à l’Union européenne dans certaines matières. Ce principe d’attribution est évoqué aux articles 2 à 6 du TFUE et à l’article 5, paragraphes 1 et 2 du Traité sur l’Union européenne (TUE). Les États membres disposent d’une action dans les domaines où l’UE n’a pas de compétences exclusives, particulières ou d’appui. Au paragraphe 33, la décision de l’affaire C-453/21, précise ainsi que le RGPD a été adopté sur le fondement de l’article 16 du TFUE. Plus précisément son paragraphe 2, qui renvoie à la « libre circulation des données ». Si l’on s’en tient uniquement à cet article, il semblerait que l’Union européenne soit compétente en la matière pour prendre des dispositions en matière de données personnelles. Toutefois, le paragraphe 34 de la décision indique les matières touchant au marché intérieur qui relèvent aussi de sa compétence et celles qui n’y figurent pas (article 114, paragraphe 2 du TFUE). Force est de constater que ce texte exclut bien les droits et intérêts des travailleurs de son champ d’application. 

L’affaire C-453/21 portant sur le cas d’un DPO salarié, l’UE ne serait donc pas compétente pour réglementer le droit du travail des États membres sur ce point et ne pourrait que l’accompagner ou le compléter, en application de l’article 153 du TFUE. Ainsi, le RGPD n’aurait pas vocation à régir la situation du DPO salarié et en particulier sa révocation et serait donc sur ce point invalide. La loi allemande en appliquant au DPO salarié des règles similaires à celles du droit du travail invocable à l’égard de tout salarié et en autorisant sa révocation pour « motif grave » ne ferait que manifester la compétence du droit de l’État membre.

La position de la CJUE sur ce point sera intéressante car elle pourrait contribuer à invalider, ou pas, une partie du RGPD. Au moment où une gouvernance mondiale des données commence à se mettre en place, cela serait de nature à faire « tâche d’huile » et à affaiblir l’Union européenne…

Le conflit d’intérêt du DPO salarié

Passons maintenant au second point soulevé par l’affaire X-FAB Dresden GmbH & Co.KG : la question du conflit d’intérêts entre la fonction de DPO et celle de président du comité d’entreprise. Rappelons d’abord que le DPO veille à la protection des données à caractère personnel. Sa nomination est obligatoire si l’entité est un organisme public ou si l’activité de l’entreprise porte sur le suivi de données à grande échelle ou encore celles qui sont sensibles (article 37 du RGPD). Dans les autres cas, son existence est fortement recommandée car le DPO est considéré comme un « véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne » (CNIL ; article 39 du GDPR). 

Selon l’article 38, paragraphe 6 du RGPD, le responsable du traitement ou le sous-traitant veillent à ce que les missions et tâches confiées par ailleurs au DPO n’entraînent pas de conflit d’intérêts. Dans le cas contraire, rien n’interdit ainsi au DPO d’exercer d’autres missions. C’est pourquoi, la quatrième question de la Cour fédérale du travail allemande porte sur l’ambivalence de la fonction du DPO. Il peut exister dans la pratique, un conflit d’intérêt lorsque le DPO est salarié de l’entreprise et assure des tâches qui peuvent l’amener à déterminer les finalités et les moyens du traitement des données. Il serait donc dans ce cas à la fois « juge et partie ». 

La question du conflit d’intérêts auquel peut être soumis un DPO salarié avait déjà été abordé par le Groupe travail 29 (ou G29) mis en place au niveau européen avant l’entrée en vigueur du RGPD dans ses lignes directrices du G29. Il y précisait que « l’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPD (Data Protection Delegate) soient autorisés à exercer d’autres fonctions, un DPD ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié́ au cas par cas. En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel…), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. » La CNIL a rappelé à la suite de l’adoption du RGPD qu’il était crucial que le DPO soit indépendant et ne soit pas placé dans une situation de conflits d’intérêt en reprenant les exemples du G29 mais sans donner d’indication précise sur le cumul avec une mission de délégué du personnel comme ici.

Dans le cas qui nous occupe, la question était de savoir s’il y avait conflit d’intérêts entre la fonction de DPO et la qualité du président du comité d’entreprise. La Cour fédérale considère à cet égard dans le paragraphe 43 de l’affaire C-453/21 qu’il n’y a pas d’incompatibilité entre les fonctions de DPO et celles de membres du comité d’entreprise et que cette charge, même en tant que président, ne conduit pas le DPO à déterminer les finalités et les moyens de traitement.

Peu de décisions de justice se sont prononcées sur cette question d’où l’intérêt d’attendre la position de la CJUE sur ce point. Toutefois, cette question a été récemment posée à l’autorité belge de protection des données qui a rendu une décision en date du 28 avril 2020. Cette dernière a considéré qu’un DPO exerçant à la fois la fonction de directeur audit, risque et compliance « ne se trouvait pas dans une position suffisamment protégée d’un conflit d’intérêts ». Elle a considéré qu’en qualité de directeur de l’audit, des risques et de la compliance, le DPO devait agir en qualité de responsable des traitements mis en œuvre dans le cadre de ses fonctions (Autorité belge de protection des données, ch. contentieuse, décision quant au fond 18/2020, 28 avr. 2020, dossier n° AH-2019-0013 : https://autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-18-2020.pdf)

Il n’existe donc pas de règle générale en matière d’identification des conflits d’intérêts. C’est au responsable de traitement, l’employeur ici, de les caractériser, in concreto, en raison de l’organisation de l’entreprise (taille, structure, activités…). Néanmoins, les lignes directrices du G29  ont mis en évidence une série de bonnes pratiques à implémenter au sein des différents organismes. Sont considérées comme des « best practices » : la cartographie des fonctions inconciliables avec celles du DPO, la mise en place d’un règlement intérieur fixant les règles internes afin de prévenir le risque de conflits d’intérêts, ou encore la rédaction de clauses dans le contrat de travail portant ses missions. 

La balle est donc désormais dans le camp de la CJUE qui devra se prononcer à la fois sur la compatibilité du RGPD avec la loi allemande en matière de droit du travail et également sur l’indépendante et les conflits d’intérêts auxquelles peuvent être soumis les DPO salariés.  

Lien vers l’article révélant cette affaire : https://droitdu.net/2021/11/la-validite-du-gdpr-remise-en-cause/

Par Inès Chenouf, étudiante en M2 DDA, sous la supervision d’Isabelle Bufflier et de Frédéric Munier