ARRÊT DE LA COUR (première chambre)

22 juin 2022 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 38, paragraphe 3, deuxième phrase – Délégué à la protection des données – Interdiction, pour un responsable du traitement ou un sous-traitant, de relever un délégué à la protection des données de ses fonctions ou de le pénaliser pour l’exercice de ses missions – Base juridique – Article 16 TFUE – Exigence d’indépendance fonctionnelle – Réglementation nationale interdisant le licenciement d’un délégué à la protection des données en l’absence d’un motif grave »

Dans l’affaire C‑534/20,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), par décision du 30 juillet 2020, parvenue à la Cour le 21 octobre 2020, dans la procédure

Leistritz AG

contre

LH,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, Mme I. Ziemele (rapporteure) et M. P. G. Xuereb, juges,

avocat général : M. J. Richard de la Tour,

greffier : M. D. Dittert, chef d’unité,

vu la procédure écrite et à la suite de l’audience du 18 novembre 2021,

considérant les observations présentées :

pour Leistritz AG, par Mes O. Seeling et C. Wencker, Rechtsanwälte,

pour LH, par M. S. Lohneis, Rechtsanwalt,

pour le gouvernement allemand, par M. J. Möller et Mme S. K. Costanzo, en qualité d’agents,

pour le gouvernement roumain, par Mme E. Gane, en qualité d’agent,

pour le Parlement européen, par Mmes O. Hrstková Šolcová, P. López-Carceller et B. Schäfer, en qualité d’agents,

pour le Conseil de l’Union européenne, par Mme T. Haas et M. K. Pleśniak, en qualité d’agents,

pour la Commission européenne, par Mme K. Herrmann, MM. H. Kranenborg et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 27 janvier 2022,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation et la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).

2

Cette demande a été présentée dans le cadre d’un litige opposant Leistritz AG à LH, qui exerçait les fonctions de déléguée à la protection des données au sein de cette société, au sujet de la rupture de son contrat de travail, motivée par une réorganisation des services de ladite société.

Le cadre juridique

Le droit de l’Union

3

Les considérants 10 et 97 du RGPD énoncent :

« (10)

Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(97)

[...] [Les] délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. »

4

L’article 37 du RGPD, intitulé « Désignation du délégué à la protection des données », se lit comme suit :

« 1.   Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

a)

le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;

b)

les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c)

les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

[...]

6.   Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

[...] »

5

L’article 38 du RGPD, intitulé « Fonction du délégué à la protection des données », prévoit, à ses paragraphes 3 et 5 :

« 3.   Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

[...]

5.   Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres. »

6

L’article 39 du RGPD, intitulé « Missions du délégué à la protection des données », dispose, à son paragraphe 1, sous b) :

« Les missions du délégué à la protection des données sont au moins les suivantes :

[...]

b)

contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

[...] »

Le droit allemand

7

L’article 6 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019 (BGBl. 2017 I, p. 2097) (ci-après le « BDSG »), intitulé « Fonction », dispose, à son paragraphe 4 :

« La ou le délégué à la protection des données ne peut être relevé(e) de ses fonctions que dans le cadre d’une application par analogie de l’article 626 du Bürgerliches Gesetzbuch [(code civil), dans sa version publiée le 2 janvier 2002 (BGBl. 2002 I, p. 42, et rectificatifs BGBl. 2002 I, p. 2909, et BGBl. 2003 I, p. 738)]. Le licenciement d’un(e) délégué(e) à la protection des données est illégal, à moins que les faits n’autorisent l’organisme public à procéder à son licenciement pour motif grave sans respecter de délai de préavis. Après la cessation des fonctions de délégué(e) à la protection des données, le licenciement est illégal pendant un an, à moins que l’organisme public ne soit autorisé à procéder au licenciement pour motif grave sans respecter de délai de préavis. »

8

L’article 38 du BDSG, intitulé « Délégués à la protection des données d’organismes non publics », prévoit :

« (1)   En complément de l’article 37, paragraphe 1, sous b) et c), du [RGPD], le responsable du traitement et le sous-traitant désignent un(e) délégué(e) à la protection des données dès lors qu’ils emploient habituellement au moins dix personnes affectées en permanence au traitement automatisé de données à caractère personnel. [...]

(2)   L’article 6, paragraphe 4, paragraphe 5, deuxième phrase, et paragraphe 6, est applicable ; toutefois, l’article 6, paragraphe 4, ne s’applique que lorsque la désignation d’un(e) délégué(e) à la protection des données est obligatoire. »

9

L’article 134 du code civil, dans sa version publiée le 2 janvier 2002 (ci-après le « code civil »), intitulé « Interdiction légale », se lit comme suit :

« Tout acte juridique contraire à une interdiction légale est nul à moins que la loi n’en dispose autrement. »

10

L’article 626 du code civil, intitulé « Résiliation sans préavis pour motif grave », dispose :

« (1)   Chacune des parties au contrat peut résilier la relation de travail pour motif grave sans respecter de délai de préavis lorsque, en raison de certains faits, la poursuite de la relation de travail jusqu’à l’expiration du délai de préavis ou jusqu’au terme convenu de la relation de travail ne peut pas être exigée de la partie qui résilie, eu égard à toutes les circonstances du cas d’espèce et compte tenu des intérêts des deux parties au contrat.

(2)   La résiliation peut uniquement avoir lieu dans un délai de deux semaines. Le délai court à partir du moment où la partie qui peut procéder à la résiliation a connaissance des faits pertinents pour la résiliation. [...] »

Le litige au principal et les questions préjudicielles

11

Leistritz est une société de droit privé, tenue de désigner un délégué à la protection des données en vertu du droit allemand. LH y a exercé les fonctions de « cheffe du service des affaires juridiques » à partir du 15 janvier 2018 et de déléguée à la protection des données à partir du 1er février 2018.

12

Par une lettre du 13 juillet 2018, Leistritz a licencié LH avec préavis, avec effet au 15 août 2018, en se prévalant d’une mesure de restructuration de cette société, dans le cadre de laquelle l’activité interne de conseil juridique et le service de protection des données étaient externalisés.

13

Les juges du fond saisis par LH de la contestation de la validité de son licenciement ont décidé que ce licenciement était invalide, dès lors que, conformément aux dispositions combinées de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG, LH pouvait uniquement, du fait de sa qualité de déléguée à la protection des données, être licenciée sans préavis pour motif grave. Or, la mesure de restructuration décrite par Leistritz ne constituerait pas un tel motif.

14

La juridiction de renvoi, saisie du recours en Revision formé par Leistritz, fait observer que, au regard du droit allemand, le licenciement de LH est nul en application de ces dispositions et de l’article 134 du code civil. Elle relève toutefois que l’applicabilité de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG dépend du point de savoir si le droit de l’Union et, en particulier, l’article 38, paragraphe 3, deuxième phrase, du RGPD autorisent une réglementation d’un État membre subordonnant le licenciement d’un délégué à la protection des données à des conditions plus strictes que celles prévues par le droit de l’Union. Si tel n’était pas le cas, il lui incomberait de faire droit au recours en Revision.

15

La juridiction de renvoi précise que ses doutes sont notamment nourris par l’existence d’une divergence doctrinale nationale. D’une part, l’opinion majoritaire considérerait que la protection spéciale contre le licenciement prévue par les dispositions combinées de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG constitue une règle matérielle du droit du travail à l’égard de laquelle l’Union ne dispose pas de compétence législative, de sorte que lesdites dispositions ne seraient pas contraires à l’article 38, paragraphe 3, deuxième phrase, du RGPD. D’autre part, selon les tenants de l’opinion minoritaire, les liens entre cette protection et la fonction de délégué à la protection des données entreraient en conflit avec le droit de l’Union et susciteraient une pression économique pour maintenir durablement en place un délégué à la protection des données une fois que celui-ci a été désigné.

16

Dans ces conditions, le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

L’article 38, paragraphe 3, deuxième phrase, du [RGPD] doit-il être interprété en ce sens qu’il s’oppose à des dispositions de droit national, telles que, en l’occurrence, les dispositions combinées de l’article 38, paragraphes 1 et 2, et de l’article 6, paragraphe 4, deuxième phrase, du [BDSG], qui déclarent illégal le licenciement avec préavis du délégué à la protection des données par le responsable du traitement qui est son employeur, indépendamment du point de savoir si ce licenciement intervient en lien avec l’exercice des missions du délégué ?

2)

En cas de réponse affirmative à la première question :

L’article 38, paragraphe 3, deuxième phrase, du RGPD s’oppose-t-il également à de telles dispositions du droit national lorsque la désignation du délégué à la protection des données est obligatoire non pas en vertu de l’article 37, paragraphe 1, du RGPD, mais uniquement en vertu du droit de l’État membre ?

3)

En cas de réponse affirmative à la première question :

L’article 38, paragraphe 3, deuxième phrase, du RGPD repose-t-il sur une base juridique suffisante, notamment en ce qu’il vise des délégués à la protection des données qui sont liés au responsable du traitement par un contrat de travail ? »

Sur les questions préjudicielles

Sur la première question

17

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.

18

Ainsi qu’il ressort d’une jurisprudence constante, il y a lieu, pour l’interprétation d’une disposition du droit de l’Union, de tenir compte non seulement des termes de celle-ci conformément à leur sens habituel dans le langage courant, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 22 février 2022, Stichting Rookpreventie Jeugd e.a., C‑160/20, EU:C:2022:101, point 29 ainsi que jurisprudence citée).

19

En premier lieu, s’agissant du libellé de la disposition en cause, il convient de rappeler que l’article 38, paragraphe 3, du RGPD dispose, à sa deuxième phrase, que « [l]e délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».

20

D’emblée, il y a lieu de relever que le RGPD ne définit pas les termes « relevé de ses fonctions », « pénalisé » et « pour l’exercice de ses missions », figurant à cet article 38, paragraphe 3, deuxième phrase.

21

Cela étant, premièrement, conformément au sens de ces termes dans le langage courant, l’interdiction faite au responsable du traitement ou au sous-traitant de relever un délégué à la protection des données de ses fonctions ou de le pénaliser signifie, ainsi que M. l’avocat général l’a relevé, en substance, aux points 24 et 26 de ses conclusions, que ce délégué doit être protégé contre toute décision par laquelle il serait mis fin à ses fonctions, par laquelle il subirait un désavantage ou qui constituerait une sanction.

22

À cet égard, est susceptible de constituer une telle décision une mesure de licenciement d’un délégué à la protection des données qui serait prise par son employeur et qui mettrait fin à la relation de travail existant entre ce délégué et cet employeur ainsi que, partant, également à la fonction de délégué à la protection des données au sein de l’entreprise concernée.

23

Deuxièmement, force est de constater que l’article 38, paragraphe 3, deuxième phrase, du RGPD s’applique indistinctement tant au délégué à la protection des données qui est un membre du personnel du responsable du traitement ou du sous-traitant qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers, conformément à l’article 37, paragraphe 6, du RGPD.

24

Il s’ensuit que l’article 38, paragraphe 3, deuxième phrase, du RGPD a vocation à s’appliquer aux relations entre un délégué à la protection des données et un responsable du traitement ou un sous-traitant, indépendamment de la nature de la relation de travail unissant ce délégué à ces derniers.

25

Troisièmement, il convient de relever que cette disposition fixe une limite qui consiste, ainsi que M. l’avocat général l’a souligné, en substance, au point 29 de ses conclusions, à interdire le licenciement d’un délégué à la protection des données pour un motif tiré de l’exercice de ses missions, lesquelles comprennent, en particulier, en vertu de l’article 39, paragraphe 1, sous b), du RGPD, le contrôle du respect des dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ainsi que des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel.

26

En deuxième lieu, en ce qui concerne l’objectif poursuivi par l’article 38, paragraphe 3, deuxième phrase, du RGPD, il y a lieu de souligner, premièrement, que le considérant 97 de ce dernier énonce que les délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. À cet égard, une telle indépendance doit nécessairement leur permettre d’exercer ces missions conformément à l’objectif du RGPD, qui vise notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 207 ainsi que jurisprudence citée).

27

Deuxièmement, l’objectif visant à garantir l’indépendance fonctionnelle du délégué à la protection des données, tel qu’il découle de l’article 38, paragraphe 3, deuxième phrase, du RGPD, ressort également de cet article 38, paragraphe 3, première et troisième phrases, qui impose que ce délégué ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions et fasse directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant, ainsi que dudit article 38, paragraphe 5, qui prévoit, s’agissant de cet exercice, que ledit délégué est soumis au secret professionnel ou à une obligation de confidentialité.

28

Ainsi, l’article 38, paragraphe 3, deuxième phrase, du RGPD, en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu’une telle décision serait en relation avec l’exercice de ses missions, doit être considéré comme visant essentiellement à préserver l’indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l’effectivité des dispositions du RGPD. Cette disposition n’a, en revanche, pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation de ces objectifs.

29

Cette interprétation est corroborée, en troisième lieu, par le contexte dans lequel s’inscrit ladite disposition et, en particulier, par la base juridique sur le fondement de laquelle le législateur de l’Union a adopté le RGPD.

30

En effet, il ressort du préambule du RGPD que celui-ci a été adopté sur le fondement de l’article 16 TFUE, dont le paragraphe 2 prévoit notamment que le Parlement européen et le Conseil de l’Union européenne, statuant conformément à la procédure législative ordinaire, fixent les règles relatives, d’une part, à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et, d’autre part, à la libre circulation de ces données.

31

En revanche, hormis la protection spécifique du délégué à la protection des données prévue à l’article 38, paragraphe 3, deuxième phrase, du RGPD, la fixation de règles relatives à la protection contre le licenciement d’un délégué à la protection des données employé par un responsable du traitement ou par un sous-traitant ne relève ni de la protection des personnes physiques à l’égard du traitement des données à caractère personnel ni de la libre circulation de ces données, mais du domaine de la politique sociale.

32

À cet égard, il y a lieu de rappeler, d’une part, que, en vertu de l’article 4, paragraphe 2, sous b), TFUE, l’Union et les États membres disposent, dans le domaine de la politique sociale, pour les aspects définis dans le traité FUE, d’une compétence partagée, au sens de l’article 2, paragraphe 2, TFUE. D’autre part, ainsi que le précise l’article 153, paragraphe 1, sous d), TFUE, l’Union soutient et complète l’action des États membres dans le domaine de la protection des travailleurs en cas de résiliation du contrat de travail (voir, par analogie, arrêt du 19 novembre 2019, TSN et AKT, C‑609/17 et C‑610/17, EU:C:2019:981, point 47).

33

Cela étant, ainsi qu’il résulte de l’article 153, paragraphe 2, sous b), TFUE, c’est par voie de directives que le Parlement et le Conseil peuvent arrêter des prescriptions minimales à cet égard, de telles prescriptions minimales ne pouvant, selon la jurisprudence de la Cour, au regard de l’article 153, paragraphe 4, TFUE, empêcher un État membre de maintenir ou d’établir des mesures de protection plus strictes, compatibles avec les traités (voir, en ce sens, arrêt du 19 novembre 2019, TSN et AKT, C‑609/17 et C‑610/17, EU:C:2019:981, point 48).

34

Il s’ensuit, ainsi que M. l’avocat général l’a souligné, en substance, au point 44 de ses conclusions, que chaque État membre est libre, dans l’exercice de sa compétence retenue, de prévoir des dispositions particulières plus protectrices en matière de licenciement du délégué à la protection des données, pour autant que ces dispositions soient compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD, notamment son article 38, paragraphe 3, deuxième phrase.

35

En particulier, ainsi que l’a relevé M. l’avocat général aux points 50 et 51 de ses conclusions, une telle protection accrue ne saurait compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait tout licenciement, par un responsable du traitement ou par un sous-traitant, d’un délégué à la protection des données qui ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD.

36

Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD.

Sur les deuxième et troisième questions

37

Eu égard à la réponse apportée à la première question, il n’y a pas lieu de répondre aux deuxième et troisième questions.

Sur les dépens

38

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

 

Par ces motifs, la Cour (première chambre) dit pour droit :

 

L’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.

 

Signatures


( *1 ) Langue de procédure : l’allemand.