Dans le cadre d’une réponse du 7 février 2019 à une question écrite d’un sénateur, le Ministère du Travail confirme que le Délégué à la Protection des Données (DPO) ne bénéficie pas du statut de salarié protégé, si bien que son licenciement n’est pas soumis à une procédure spéciale d’autorisation de l’Inspection du Travail.
Cependant, le Ministère rappelle que le DPO bénéficiait d’une large protection contre d’éventuelles sanctions.
Rappelons qu’aux termes de l’article 37 du Règlement général à la protection des données (RGPD), la désignation d’un DPO est facultative sauf lorsque :
- le traitement est effectué par une autorité publique ;
- les activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base consistent en un traitement à grande échelle des personnes concernées ;
- les activités de base consistent en un traitement à grande échelle des données sensibles ou relatifs à des condamnations pénales.
Le DPO peut être un membre du personnel et c’est d’ailleurs le mode opératoire que la plupart des entreprises ont choisi jusqu’à présent.
A ce titre, il peut donc, comme tout autre salarié, faire l’objet de sanctions en cas de vol, harcèlement sexuel ou moral.
Toutefois, et la précision a son importance, l’article 38.3 du RGPD précise que : « le DPO ne peut être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions ».
Ainsi, le DPO ne peut être sanctionné parce qu’il effectue ses missions et rappelle par exemple à son employeur, responsable de traitement, qu’une étude d’impact des données personnelles doit être effectuée avant de mettre en œuvre un système d’alerte éthique.
Il est précisé que les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes (absence de promotion, retard dans la promotion, refus d’octroi d’avantages…).
Ainsi, il convient d’être particulièrement précautionneux dans le traitement du DPO, ce d’autant que ce dernier peut exercer, sans réserve de conflits d’intérêts, d’autres missions et tâches que celles de DPO, ce qui peut l’amener à avoir un contrat de travail comportant différentes fonctions ou à temps partiel, lesquelles ne donnent pas lieu à la « protection » édictée par le RGPD.
Il est donc nécessaire de rédiger le contrat de travail, de suivre l’évolution de carrière du DPO de manière attentive et surtout de vérifier dans quel cadre une sanction est envisagée.