Statut du délégué à la protection des données (DPD ou DPO)
La protection de l’indépendance et de la fonction de DPD exercée par des salariés face aux possibles pressions de leurs employeurs sont des conditions nécessaires à l’effectivité de ses missions. Quels sont les dispositifs mis en place par le Gouvernement pour protéger au mieux ces salariés ?
Réponse. La ministre du travail a répondu que si le législateur n’a pas entendu conférer au DPD le statut de salarié protégé au sens du droit du travail, le DPD bénéficie néanmoins d’une large protection dans l’exercice de ses missions depuis le 25 mai 2018, date d’entrée en vigueur du RGPD.
En effet, selon l’article 39 du RGPD, le DPD a notamment pour mission :
– de contrôler le respect de ce règlement, des autres dispositions du droit européen ou du droit national en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
– et de coopérer avec l’autorité de contrôle.
Le DPD peut être un membre du personnel du responsable du traitement ou du sous-traitant. Son indépendance et une protection contre toute sanction infligée en raison de l’exercice de sa mission lui sont garanties par l’article 38 du RGPD qui prévoit que le responsable du traitement et le sous-traitant veillent à ce que le DPD ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
La ministre du travail a précisé que les sanctions pouvant être infligées au salarié DPD pour l’exercice de ses missions peuvent prendre des formes diverses et peuvent être directes ou indirectes. Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière ou du refus de l’octroi d’avantages dont bénéficient d’autres salariés.
Et il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le DPD pour des motifs liés à ses activités de DPD.
La CNIL, qui est membre, pour la France, du comité européen de la protection des données (CEPD), diffuse sur son site l’information nécessaire aux DPD ainsi qu’aux employeurs de ceux-ci pour clarifier et illustrer leur rôle et la protection dont ils jouissent.
|
Source : Réponse ministérielle, Raynal, n° 02896, JO Sénat du 25 janvier 2018 ; RGPD art. 37 à 39
© Copyright Editions Francis Lefebvre
Editions Francis Lefebvre
Fondées en 1894, les Editions Francis Lefebvre sont le leader incontournable en matière de documentation fiscale et comptable. L’efficacité toute particulière de ses services résulte de l’association d’équipes de rédacteurs internes, spécialisés dans leur matière, et de praticiens externes.
