Quand elle refuse donner suite à une plainte, la CNIL doit s’en expliquer, pose le Conseil d’Etat dans une décision qui par ailleurs pose qu’un dpo n’a pas de protection absolue contre les sanctions disciplinaires ou les licenciements « à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD.»
Le refus de la Commission nationale de l’informatique et des libertés (CNIL) de donner suite à une plainte fondée sur la méconnaissance du droit d’accès qu’une personne concernée tient des dispositions de l’article 15 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) est au nombre des décisions administratives individuelles défavorables qui refusent un avantage dont l’attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l’obtenir, au sens et pour l’application du 6° de l’article L. 211-2 du code des relations entre le public et l’administration, et qui doivent, à ce titre, être motivées, selon une décision rendue vendredi par le Conseil d’Etat.
Cette même décision pose qu’il résulte de l’article 38 du RGPD, éclairées par la Cour de justice de l’Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH :
- qu’en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu’une telle décision serait en relation avec l’exercice de ses missions, ces dispositions visent essentiellement à préserver l’indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l’effectivité du RGPD.
- En revanche, elles ne font pas obstacle au licenciement d’un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément au RGPD.
- que ces dispositions n’ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD.
- que le salarié exerçant les fonctions de délégué au sein de l’entreprise peut faire l’objet d’une sanction ou d’un licenciement à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD.
Source :
Conseil d’État, 21 octobre 2022, n° 459254, à publier au recueil Lebon