Une règlementation nationale prévoyant la faculté pour le responsable du traitement de licencier un délégué à la protection des données pour un motif grave est conforme au règlement (UE) 2016/679 (« RGPD ») (22 juin)
Arrêt Leistritz, aff. C-534/20
Saisie d’un renvoi préjudiciel par le Bundesarbeitsgericht (Allemagne), la Cour de justice de l’Union européenne précise que l’interprétation de l’article 36 §3 du RGPD doit se faire à la lumière des termes de celui-ci, mais également en prenant en compte son contexte et les objectifs poursuivis par la réglementation dont il fait partie. A cet égard, elle rappelle que cet article a vocation à s’appliquer aussi bien aux relations entre un délégué à la protection des données et un responsable du traitement ou un sous-traitant. Par ailleurs, la Cour relève que chaque Etat membre est libre de prévoir des dispositions particulières plus protectrices en matière de licenciement du délégué à la protection des données, pour autant que ces dispositions soient compatibles avec le droit de l’Union européenne. Ainsi, une protection accrue ne saurait compromettre la réalisation des objectifs du RGPD. Or, en l’espèce, elle considère que tel serait le cas si la règlementation nationale empêchait tout licenciement d’un délégué à la protection des données qui ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci. Partant, la Cour estime qu’une règlementation nationale prévoyant le licenciement pour des motifs grave d’un délégué à la protection de données n’est pas contraire au RGPD sous réserve qu’une telle réglementation ne compromette pas la réalisation des objectifs de l’Union. (CG)
