Social
Social
Protection des données
Le délégué à la protection des données bénéficie d’une protection, qui n’est pas celle conférée aux élus du personnel
Une réponse ministérielle prévient qu’il est interdit de sanctionner un salarié délégué à la protection des données en raison de l’exercice de ses fonctions. Mais l’intéressé ne bénéficie pas pour autant du statut protecteur conféré aux élus du personnel ou aux délégués syndicaux.
En application du règlement général sur la protection des données (RGPD), le « correspondant informatique et libertés » (CIL) a été remplacé par le « délégué à la protection des données » (DPD) (règlt UE 2016/679 du 27 avril 2016, art. 37 à 39 ; loi 2018-493 du 20 juin 2018, art. 11, JO du 21 ; loi 78-17 du 6 janvier 1978, art. 57, dans sa version en vigueur à compter du 1er juin 2019). Son rôle consiste pour l’essentiel à s’assurer du respect du RGPD. Sa désignation est facultative ou obligatoire, selon la nature des activités et traitements réalisés par l’entreprise.
La Commission nationale de l’information et des libertés (CNIL) a déjà rappelé que le DPD devait pouvoir agir de manière indépendante et qu’il était interdit de le sanctionner en raison de l’exercice de ses fonctions (RGPD, art. 38). Cependant, la Commission a également précisé que le DPD, lorsqu’il était salarié de l’entreprise, ne bénéficiait pas pour autant du statut protecteur conféré, notamment, aux élus du personnel et aux délégués syndicaux (https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees).
Une réponse ministérielle publiée le 7 février 2019 confirme cette interprétation.
Interrogé sur « les dispositifs mis en place afin de protéger au mieux ces salariés », le ministère du Travail rappelle tout d’abord que, en application du RGPD, le délégué à la protection des données ne peut pas être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions (RGPD, art. 38).
Selon les recommandations émises au niveau européen, cette protection interdit les sanctions directes comme indirectes : absence de promotion, retard dans la promotion, freins à l’avancement de carrière, refus d’octroi d’avantages dont bénéficient d’autres salariés, etc. Par ailleurs, il n’est pas nécessaire que de telles sanctions soient effectivement mises en œuvre pour caractériser une atteinte aux fonctions du DPD. Une simple menace suffit.
Cependant, tout en rappelant la protection ainsi octroyée au DPD, le ministère du Travail concède que « le législateur n’a pas entendu conférer au délégué à la protection des données le statut de salarié protégé au sens du droit du travail. »
Rép. Raynal n° 02896, JO 7 février 2019, Sénat quest. p. 712