Marcus Belke
CEO de 2B Advice GmbH, moteur de l'innovation dans le domaine de la vie privée conformité et de la gestion des risques, et a dirigé le développement d'Ailance, la nouvelle génération de conformité plateforme.
En Allemagne, le délégué interne à la protection des données bénéficie d'une protection spéciale contre le licenciement particulièrement étendue en vertu du droit du travail. Pour les entreprises, cette réglementation revêt une importance pratique considérable. En effet, celui qui désigne un collaborateur en tant que délégué à la protection des données ne prend pas seulement une décision organisationnelle de conformité, mais également une décision en matière de droit du personnel avec des conséquences à long terme. Ce que cela signifie pour l'organisation des entreprises en matière de protection des données.
Protection spéciale contre le licenciement du DPD selon la BDSG
Pour les entreprises, l'article 38 de la BDSG est le principal point de référence. Selon cette disposition, les entreprises sont tenues de désigner un délégué à la protection des données si elles emploient en règle générale au moins 20 personnes en permanence avec le traitement automatisé des données. Traitement de données à caractère personnel.
Pour les responsables internes de la protection des données, la loi renvoie à l'article 6, paragraphe 4, de la BDSG. Cette disposition établit une protection particulière en matière de droit du travail.
Les conséquences sont importantes :
- Une résiliation ordinaire de la relation de travail est en principe exclue.
- Un licenciement n'entre régulièrement en ligne de compte que comme licenciement extraordinaire pour motif grave (§ 626 BGB).
- Même après la fin de l'activité, il existe une protection contre le licenciement avec effet rétroactif d'un an.
Le législateur poursuit ainsi un objectif clair : les commissaires à la protection des données doivent pouvoir exercer leurs fonctions en toute indépendance, sans avoir à craindre des pressions liées au droit du travail.
Jurisprudence : obstacles importants à la résiliation d'un contrat de DPD
La jurisprudence des tribunaux du travail a confirmé et concrétisé cette protection à plusieurs reprises.
Une décision du Tribunal fédéral du travail (BAG, jugement du 27 avril 2021 - 2 AZR 225/20). Le tribunal a précisé qu'un licenciement ordinaire à l'encontre d'un délégué à la protection des données désigné à titre obligatoire n'est pas admissible et peut même être nul.
Il est en outre remarquable que, selon le BAG, cette protection s'applique également lorsque le licenciement est prononcé pendant la période d'essai ou le délai d'attente prévu par la loi sur la protection contre le licenciement. La BDSG ne contient aucune restriction à cet égard.
Il apparaît ainsi clairement que la protection spéciale contre le licenciement n'est pas seulement un instrument théorique, mais qu'elle peut aussi avoir des conséquences pratiques sur les décisions en matière de personnel.
Classification en droit européen
La question de la portée de la protection contre le licenciement a également été clarifiée au niveau européen.
La Cour de justice des Communautés européennes (CJCE) a décidé que les réglementations nationales qui n'autorisent la révocation ou le licenciement d'un délégué à la protection des données que pour un motif grave sont en principe compatibles avec la RGPD sont compatibles.
A condition toutefois que de telles réglementations respectent les objectifs de la RGPD, La Commission ne doit pas porter atteinte à l'indépendance de l'ORD, notamment en ce qui concerne l'exercice effectif de ses fonctions.
Cela signifie pour les entreprises : La protection allemande contre les licenciements abusifs se situe dans le cadre autorisé par le droit européen.
Conflits d'intérêts comme motif de révocation
Un autre point central concerne les éventuels conflits d'intérêts.
Conformément à l'article 38, paragraphe 6 RGPD un délégué à la protection des données ne doit pas accomplir de tâches qui entraînent un conflit d'intérêts avec sa fonction de contrôle. Un tel conflit existe notamment lorsque la personne concernée décide des finalités et des moyens du traitement des données.
Ces principes ont été concrétisés par la CJCE et le BAG dans plusieurs décisions.
Cela a été particulièrement clair dans le cas d'un président de comité d'entreprise qui était également désigné comme délégué à la protection des données. Le BAG a constaté que les deux fonctions pouvaient être incompatibles. Dans une telle constellation, il peut y avoir un conflit d'intérêts qui justifie la révocation du délégué à la protection des données.
Il en résulte une conséquence importante pour les entreprises : elles devraient examiner les conflits d'intérêts potentiels avant même la nomination.
Désignation obligatoire ou volontaire du DPD ?
Une question centrale, souvent sous-estimée dans la pratique, concerne la base juridique de la désignation d'un délégué à la protection des données. En effet, la protection spéciale contre le licenciement prévue par le droit du travail, conformément à l'article 6, paragraphe 4, de la loi fédérale sur la protection des données (BDSG), présuppose en principe que la désignation est légalement obligatoire.
Les entreprises ne sont toutefois pas toujours obligées de désigner un délégué à la protection des données. Les directives déterminantes découlent de l'art. 37 RGPD ainsi que de l'article 38 de la BDSG, qui prévoit des obligations de désignation supplémentaires pour l'Allemagne.
Conformément à l'article 38, paragraphe 1, de la loi fédérale sur la protection des données (BDSG), l'obligation de désignation s'applique en particulier lorsque, dans une entreprise, au moins 20 personnes travaillent en permanence avec le système de traitement automatisé des données. Traitement de données à caractère personnel. Une désignation peut également s'avérer nécessaire lorsque l'activité principale de l'entreprise consiste à traiter un grand nombre de données à caractère personnel. Traitement de données sensibles ou d'une surveillance systématique des personnes.
La difficulté pratique réside toutefois dans le fait que les entreprises désignent souvent un délégué à la protection des données, même si elles n'y sont pas légalement tenues. Cela se produit par exemple pour des raisons de Conformité, La plupart du temps, il s'agit d'une question d'organisation, de clarté organisationnelle ou de recommandation de conseillers.
Cette désignation volontaire peut être utile du point de vue organisationnel, mais elle a d'autres conséquences du point de vue du droit du travail.
En effet, selon le libellé de la loi, la protection spéciale contre le licenciement prévue par l'article 6, paragraphe 4, de la BDSG ne s'applique que si la désignation a été effectuée en vertu d'une obligation légale. La norme devient applicable dans le domaine de l'entreprise via l'article 38 de la BDSG. En l'absence d'une telle obligation, la situation en matière de droit du travail peut se présenter différemment.
Dans plusieurs décisions, les tribunaux du travail ont souligné que la protection spéciale contre le licenciement ne s'applique pas automatiquement lorsqu'un délégué à la protection des données a été désigné uniquement sur une base volontaire. Par exemple, le Tribunal régional du travail de Hamm (18 Sa 271/22) a décidé que la protection spéciale contre le licenciement prévue par la BDSG présuppose qu'il existait une obligation légale de désignation. Dans le cas contraire, le délégué à la protection des données peut en principe être traité comme n'importe quel autre salarié du point de vue du droit du travail.
Pour les entreprises, cela soulève une question de gouvernance importante : la désignation d'un délégué à la protection des données était-elle réellement obligatoire ou volontaire ?
Risques pour les entreprises
La protection spéciale contre le licenciement peut comporter plusieurs risques pour les entreprises.
Risques liés au droit du travail
Un licenciement illégal peut entraîner l'inefficacité ou la nullité du licenciement. La relation de travail se poursuit alors. En outre, des droits à rémunération peuvent naître, par exemple sous forme de salaire en cas de retard d'acceptation.
Risques organisationnels
Le lien fort avec le droit du travail peut conduire les entreprises à rester liées pendant une longue période à une structure organisationnelle qui n'est plus adaptée à leur gouvernance.
Risques de réputation
Les conflits avec les délégués à la protection des données sont souvent sensibles en termes de réputation. Les délégués à la protection des données sont considérés comme une instance de contrôle indépendante et sont souvent en contact avec les autorités de surveillance.
Les litiges en matière de droit du travail peuvent donc être perçus au-delà de l'entreprise.
Conséquences pratiques et modèles d'organisation alternatifs
La protection spéciale contre le licenciement a pour conséquence que la désignation d'un délégué à la protection des données interne ne devrait pas être considérée comme une décision purement opérationnelle.
Il s'agit plutôt d'une décision stratégique en matière de personnel, avec un effet d'engagement à long terme.
Dans la pratique, les conflits surviennent souvent dans les situations suivantes :
- Réorganisations
- structures de groupes internationaux
- Changements dans l'organisation de la conformité
- des exigences réglementaires croissantes
Lorsque le cadre organisationnel évolue, il peut être difficile de restructurer ou de mettre fin au rôle du délégué à la protection des données.
Dans la pratique, il n'est pas rare que cela donne lieu à des litiges en matière de droit du travail.
Dans ce contexte, de nombreuses entreprises examinent d'autres modèles pour leur organisation de la protection des données. Parmi les options les plus courantes figurent
Délégué externe à la protection des données
Un prestataire de services externe assume le rôle de délégué à la protection des données. Le lien avec le droit du travail est ainsi supprimé, tandis que les compétences professionnelles et l'indépendance sont maintenues.
Responsable de la protection des données du groupe
Dans les groupes d'entreprises, un délégué commun à la protection des données peut être désigné, à condition qu'il soit joignable par toutes les entreprises concernées.
Modèles hybrides
Dans de nombreuses organisations, la combinaison d'une gestion interne et d'une gestion externe a fait ses preuves. Équipe de protection des données et d'un délégué externe à la protection des données.
De tels modèles peuvent combiner proximité opérationnelle et flexibilité organisationnelle.
Repenser l'organisation de la protection des données avec Ailance DSB
Le délégué interne à la protection des données est un élément central de l'organisation de la protection des données dans les entreprises. En même temps, ce rôle est exceptionnellement protégé par le droit du travail.
Toute personne qui désigne un employé comme délégué à la protection des données doit être consciente de ces conséquences. La décision ne concerne pas seulement Conformité, Il ne s'agit pas seulement d'une question d'éthique, mais aussi de stratégie en matière de ressources humaines et de gouvernance.
Les entreprises seraient donc bien avisées d'examiner soigneusement le cadre organisationnel avant de procéder à une commande interne.
Avec Ailance DSB 2B Advice propose une solution qui aide les entreprises à mettre en place leur organisation de protection des données de manière professionnelle et en même temps flexible. Le modèle fait le lien :
des délégués à la protection des données externes expérimentés
processus de protection des données évolutifs
plateforme numérique de conformité
ainsi que un accès direct à l'expertise juridique et technique
Les entreprises bénéficient ainsi d'une organisation de la protection des données clairement structurée, sans les effets contraignants d'une désignation interne au regard du droit du travail.
Pour les entreprises en pleine croissance, les organisations internationales ou les structures de conformité complexes, un délégué à la protection des données externe peut être une alternative stratégiquement judicieuse.
Marcus Belke est CEO de 2B Advice ainsi que juriste et expert en IT pour Protection des données et numérique Conformité. Il écrit régulièrement sur la gouvernance de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French