Statut des délégués à la protection des données
Par Valérie Delabarre - Le 08 février 2019.
Question écrite n° 02896 de M. Claude Raynal (Haute-Garonne - SOCR)
publiée dans le JO Sénat du 25/01/2018 - page 285
M. Claude Raynal attire l'attention de Mme la ministre du travail sur le statut en droit français des délégués à la protection des données. Prévu par l'article 37 du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE , dit règlement général sur la protection des données, ce délégué se voit notamment attribuer comme mission de « contrôler le respect du règlement » et de « coopérer avec l'autorité de contrôle » (article 39 du règlement).
Dès lors, la protection de l'indépendance et de la fonction de ces salariés face aux possibles pressions de leurs employeurs, qu'ils soient publics ou privés, sont des conditions nécessaires à l'effectivité de ces missions.
Cette obligation conventionnelle entrant en vigueur au 25 mai 2018, il souhaite connaître les dispositifs mis en place afin de protéger au mieux ces salariés et de permettre à la France de respecter ses engagements européens.
Réponse du Ministère du travail
publiée dans le JO Sénat du 07/02/2019 - page 712
Le règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données dit RGPD) prévoit dans ses articles 37 à 39 les dispositions applicables au délégué à la protection des données.
Le règlement est un acte juridique de portée générale, obligatoire dans tous ses éléments et directement applicable dans l'ordre juridique des États membres à compter de la date de son entrée en vigueur. Ses effets juridiques s'imposent donc à la fois aux États, aux institutions et aux particuliers, aux personnes morales et aux personnes physiques, sans qu'il soit besoin de le transposer en droit national. Cela a notamment pour conséquence de permettre d'invoquer directement les dispositions qu'il contient devant les juridictions nationales.
Comme vous le soulignez, aux termes de l'article 39, le délégué à la protection des données à notamment pour mission de « contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant » et de « coopérer avec l'autorité de contrôle ».
Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, (Article 37 paragraphe 6). Son indépendance et une protection contre toute sanction infligée en raison de l'exercice de sa mission lui sont garanties par l'article 38 paragraphe 3 qui prévoit que « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions… ».
Ainsi qu'il ressort des lignes directrices concernant les délégués à la protection des données adoptées par le G29, organe consultatif européen rassemblant les représentants de chaque autorité indépendante de protection des données nationale auquel s'est, depuis, substitué le comité européen de la protection des données, « les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes. Il peut s'agir, par exemple, d'absence de promotion ou de retard dans la promotion, de freins à l'avancement de carrière ou du refus de l'octroi d'avantages dont bénéficient d'autres travailleurs. Il n'est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu'elle soit utilisée pour sanctionner le DPD pour des motifs liés à ses activités de DPD. ».
La commission nationale de l'informatique et des libertés (CNIL) est membre, pour la France, du comité européen de la protection des données (CEPD). À ce titre, elle diffuse auprès du grand public les lignes directrices susmentionnées, permettant ainsi d'apporter l'information nécessaire aux DPD ainsi qu'aux employeurs de ceux-ci pour clarifier et illustrer leur rôle et la protection dont ils jouissent à ce titre. Si le législateur n'a pas entendu conférer au délégué à la protection des données, le statut de salarié protégé au sens du droit du travail, il bénéficie néanmoins d'une large protection dans l'exercice de ses missions depuis le 25 mai 2018, date d'entrée en vigueur du RGPD.
Source : site du Sénat