Statut du DPO salarié : quelques précisions

Question écrite n°02896 de M. Raynal – JO Sénat du 25 janvier 2018

Le délégué à la protection des données ne bénéficie pas du statut de salarié protégé au sens du droit du travail. Cependant, il bénéficie d’une protection dans l’exercice de ses fonctions, garantie par le RGPD entré en application le 25 mai 2018.

En application de l’article 39 du RGPD, le délégué à la protection des données a pour mission de veiller au respect de la réglementation en matière de protection des données, de conseiller et informer le responsable de traitement, et de coopérer avec l’autorité de contrôle, la CNIL.

Il est donc impératif, afin qu’il puisse exercer ses missions stratégiques de manière efficace au sein de l’entreprise ou administration à laquelle il est rattaché, qu’il dispose d’une certaine indépendance et autorité pour échapper à d’éventuelles pressions exercées par le responsable de traitement.

C’est la raison pour laquelle Monsieur le Sénateur Claude RAYNAL a interrogé Madame Muriel PENICAUD, Ministre du travail, sur le statut des délégués à la protection des données, à la faveur d’une question écrite n°02896 publiée au JO Sénat du 25 janvier 2019 afin de connaître les dispositifs mis en place pour protéger au mieux le DPO salarié.

Le Ministère du travail a répondu à cette question à la faveur d’une réponse ministérielle publiée au JO Sénat le 7 février 2019. Il a alors été rappelé que l’article 38 paragraphe 3 du RGPD garantissait au délégué à la protection des données son indépendance et sa protection, puisqu’il prévoit :

« Le responsable du traitement et le sous- traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses fonctions. »

Le G29, devenu le Comité européen de la protection des données (CEPD) – organe européen consultatif réunissant l’ensemble des autorités de contrôle européennes (CNIL et ses homologues) – a précisé, dans ses lignes directrices que :

« Les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes. Il peut s’agir, par exemple, d’absence de promotion, ou de retard dans la promotion, de freins à l’avancement de la carrière ou du refus de l’octroi d’avantages dont bénéficient d’autres travailleurs. Il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le DPD pour des motifs liés à ses activités de DPD. »

Le Ministère du travail est venu ainsi confirmer la position de la CNIL selon laquelle le délégué à la protection des données, lorsqu’il est salarié de l’entreprise, ne bénéficie pas du statut protecteur conféré, notamment, aux élus du personnel et délégués syndicaux. Il est donc parfaitement établi que le délégué à la protection des données, s’il bénéficie d’une certaine protection dans l’exercice de ses missions, n’est cependant pas assimilé à un salarié protégé au sens du droit du travail.

A rapprocher : Art. 37 à 39 du RGPD – Règlement (UE) 2016/679 du 27 avril 2016

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…