CONSEIL D’ETAT / DPO / Requête d’une DPO contre une décision de la CNIL

Par une décision du 21 octobre 2022, publié au recueil Lebon et sur son site début février, le Conseil d’Etat (CE) dans ses 10^e et 9^e chambres réunies, rend sa décision relative à la demande, par une DPO, d’annuler une décision de la CNIL rendu en sa défaveur.

En l’espèce, la DPO requiert l’annulation d’une décision de la CNIL du 8 octobre 2021 par laquelle la présidente de la Commission a clôturé sa plainte relative aux conditions d’exercice des fonctions de DPO au sein de sa société et à l’exercice de son droit d’accès à ses données personnelles.

Concernant les reproches de la DPO contre la CNIL, le Conseil d’Etat rappelle dans sa décision les caractéristiques de la Commission ainsi que ses missions notamment son indépendance, son large pouvoir d’appréciation lorsqu’elle doit traiter d’une plainte relative aux droits garantis par la loi à une personne concernée.

La CNIL a donc le pouvoir de décider si elle donne suite à la plainte ou non, sous le contrôle du juge de l’excès de pouvoir.

Concernant l’exercice du droit d’accès à ses données personnelles, le CE confirme l’effectivité nécessaire de ce droit.

Cependant, la décision de la CNIL concernant une plainte fondée sur la méconnaissance d’un tel droit relève d’une décision administrative individuelle défavorable qui doit être nécessairement motivée.

En l’occurrence, la décision de la CNIL, de ne pas donner suite à la plainte de la DPO concernant son droit d’accès, comporte une motivation : « l’énoncé des considérations en droit et en fait qui en constituent le fondement ».

Concernant le non-respect de l’employeur des conditions d’exercice de la fonction de DPO, la décision de la CNIL sur ce point ne revêt les conditions d’une décision administrative individuelle nécessitant une motivation.

Par ailleurs, le Conseil d’Etat rappelle que pour protéger l’indépendance du DPO celui-ci ne doit pas subir une décision qui mettrait fin à ses fonctions, un désavantage ou une sanction lorsque cela serait lié à l’exercice de ses missions.

En revanche, le Conseil d’Etat rappelle bien que ces considérations ne font pas obstacle au licenciement d’un DPO qui « ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD ».

Ainsi, le Conseil d’Etat confirme que le RGPD, dans son article 38, ne fait pas obstacle au licenciement d’un DPO à « raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ».

Enfin, il confirme que la DPO disposait de moyens et de conditions d’exercice raisonnables pour réaliser ses missions de DPO.

Le Conseil d’Etat décide donc de rejeter la requête de la DPO et la condamne au paiement de 1 000 euros au titre de l’article L .761-1 du code de justice administrative.

Consultez ici la décision du Conseil d’Etat : Décision n°459254 du Conseil d’Etat du 21 octobre 2022