ARRÊT DE LA COUR (sixième chambre)

9 février 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 38, paragraphe 3 – Délégué à la protection des données – Interdiction de relèvement de ses fonctions pour l’exercice de ses missions – Exigence d’indépendance fonctionnelle – Réglementation nationale interdisant le relèvement de ses fonctions d’un délégué à la protection des données en l’absence d’un motif grave »

Dans l’affaire C‑560/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), par décision du 27 avril 2021, parvenue à la Cour le 13 septembre 2021, dans la procédure

ZS

contre

Zweckverband « Kommunale Informationsverarbeitung Sachsen » KISA, Körperschaft des öffentlichen Rechts,

LA COUR (sixième chambre),

composée de M. P. G. Xuereb, président de chambre, M. A. Kumin et M^me I. Ziemele (rapporteure), juges,

avocat général : M. J. Richard de la Tour,

greffier : M. D. Dittert, chef d’unité,

vu la procédure écrite et à la suite de l’audience du 26 septembre 2022,

considérant les observations présentées :

–        pour le gouvernement allemand, par MM. J. Möller, D. Klebs et P.‑L. Krüger, en qualité d’agents,

–        pour le gouvernement portugais, par M^mes P. Barros da Costa, I. Oliveira, A. Pimenta et M. J. Ramos, en qualité d’agents,

–        pour le Parlement européen, par M^mes O. Hrstková Šolcová et B. Schäfer, en qualité d’agents,

–        pour le Conseil de l’Union européenne, par M^me T. Haas et M. K. Pleśniak, en qualité d’agents,

–        pour la Commission européenne, par M. A. Bouchagiar, M^me K. Herrmann et M. H. Kranenborg, en qualité d’agents,

vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation et la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant ZS à Zweckverband « Kommunale Informationsverarbeitung Sachsen » KISA, Körperschaft des öffentlichen Rechts (ci-après « KISA »), son employeur, au sujet de la révocation de ZS de ses fonctions de délégué à la protection des données (ci-après le « DPD »), prononcée par KISA.

 Le cadre juridique

 Le droit de l’Union

3        Les considérants 10 et 97 du RGPD énoncent :

« (10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(97)      [...] De tels [DPD], qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. »

4        L’article 37 du RGPD, intitulé « Désignation du [DPD] », dispose, à ses paragraphes 5 et 6 :

« 5.      Le [DPD] est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

6.      Le [DPD] peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »

5        L’article 38 du RGPD, intitulé « Fonction du [DPD] », prévoit, à ses paragraphes 3, 5 et 6 :

« 3.      Le responsable du traitement et le sous-traitant veillent à ce que le [DPD] ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le [DPD] ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le [DPD] fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

[...]

5.      Le [DPD] est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.

6.      Le [DPD] peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »

6        L’article 39 du RGPD, intitulé « Missions du [DPD] », se lit comme suit :

« 1.      Les missions du [DPD] sont au moins les suivantes :

a)      informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;

b)      contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

c)      dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;

d)      coopérer avec l’autorité de contrôle ;

e)      faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2.      Le [DPD] tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement. »

 Le droit allemand

 Le BDSG

7        L’article 6 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019 (BGBl. 2017 I, p. 2097) (ci-après le « BDSG »), intitulé « Fonction », dispose, à son paragraphe 4 :

« La ou le [DPD] ne peut être relevé(e) de ses fonctions que dans le cadre d’une application par analogie de l’article 626 du Bürgerliches Gesetzbuch [(code civil), dans sa version publiée le 2 janvier 2002 (BGBl. 2002 I, p. 42, et rectificatifs BGBl. 2002 I, p. 2909, et BGBl. 2003 I, p. 738)]. Le licenciement d’un(e) [DPD] est illégal, à moins que les faits n’autorisent l’organisme public à procéder à son licenciement pour motif grave sans respecter de délai de préavis. Après la cessation des fonctions de [DPD], le licenciement est illégal pendant un an, à moins que l’organisme public ne soit autorisé à procéder au licenciement pour motif grave sans respecter de délai de préavis. »

 Le code civil

8        L’article 626 du code civil, intitulé « Résiliation sans préavis pour motif grave », se lit comme suit :

« (1)      Chacune des parties au contrat peut résilier la relation de travail pour motif grave sans respecter de délai de préavis lorsque, en raison de certains faits, la poursuite de la relation de travail jusqu’à l’expiration du délai de préavis ou jusqu’au terme convenu de la relation de travail ne peut pas être exigée de la partie qui résilie, eu égard à toutes les circonstances du cas d’espèce et compte tenu des intérêts des deux parties au contrat.

(2)      La résiliation peut uniquement avoir lieu dans un délai de deux semaines. Le délai court à partir du moment où la partie qui peut procéder à la résiliation a connaissance des faits pertinents pour la résiliation. […] »

 Le litige au principal et les questions préjudicielles

9        ZS est employé par KISA depuis le 1^er janvier 2002. Cette dernière, tenue de désigner un DPD en vertu tant du RGPD que du BDSG, a nommé ZS en cette qualité le 27 février 2004.

10      Par lettre du 15 août 2018, KISA a relevé ZS de ses fonctions de DPD, avec effet au 31 août 2018, au motif qu’il existait un conflit d’intérêts entre ses activités exercées en tant que DPD et ses autres activités professionnelles. ZS soutient qu’il n’y a pas, en l’occurrence, de motif grave qui pourrait justifier le relèvement de ses fonctions de DPD.

11      Le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), qui est la juridiction de renvoi, a été saisie d’un recours en Revision contre la décision d’une juridiction allemande rejetant le recours de ZS à cet égard. La juridiction de renvoi fait observer que l’issue de ce recours dépend de l’interprétation du droit de l’Union. En particulier, se poserait, d’une part, la question de savoir si l’article 38, paragraphe 3, deuxième phrase, du RGPD s’oppose à ce que la réglementation d’un État membre soumette la révocation d’un DPD à des conditions plus strictes que celles prévues par le droit de l’Union et, dans l’affirmative, si cette disposition repose sur une base juridique suffisante.

12      C’est dans ces conditions que le Bundesarbeitsgericht (Cour fédérale du travail) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      L’article 38, paragraphe 3, deuxième phrase, du [RGPD] doit-il être interprété en ce sens qu’il s’oppose à des dispositions de droit national, telles que, en l’occurrence, l’article 6, paragraphe 4, première phrase, du [BDSG], qui soumet la révocation du [DPD] par le responsable du traitement, qui est son employeur, aux conditions énoncées dans cette disposition, indépendamment du point de savoir si la révocation intervient en lien avec l’exercice des missions du [DPD] ?

En cas de réponse affirmative à la première question :

2)      L’article 38, paragraphe 3, deuxième phrase, du RGPD repose-t-il sur une base juridique suffisante, notamment en ce que cette disposition vise les [DPD] qui sont liés au responsable du traitement par un contrat de travail ? »

 Sur les questions préjudicielles

 Sur la première question

13      Par sa première question, la juridiction de renvoi demande, en substance, si l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un DPD qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce DPD.

14      Ainsi qu’il ressort d’une jurisprudence constante, il y a lieu, pour l’interprétation d’une disposition du droit de l’Union, de tenir compte non seulement des termes de celle-ci conformément à leur sens habituel dans le langage courant, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 18 et jurisprudence citée).

15      En premier lieu, s’agissant du libellé de la disposition en cause, il convient de relever que l’article 38, paragraphe 3, du RGPD dispose, à sa deuxième phrase, que « [l]e [DPD] ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».

16      À cet égard, dans son arrêt du 22 juin 2022, Leistritz (C‑534/20, EU:C:2022:495, point 21), la Cour, après avoir constaté que le RGPD ne définit pas les termes « relevé de ses fonctions », « pénalisé » et « pour l’exercice de ses missions », figurant à cet article 38, paragraphe 3, deuxième phrase, a souligné, premièrement, que, conformément au sens de ces termes dans le langage courant, l’interdiction faite au responsable du traitement ou au sous-traitant de relever un DPD de ses fonctions ou de le pénaliser signifie que ce DPD doit être protégé contre toute décision par laquelle il serait mis fin à ses fonctions, par laquelle il subirait un désavantage ou qui constituerait une sanction.

17      Or, est susceptible de constituer une telle décision une mesure de révocation d’un DPD qui serait prise par son employeur et qui aurait pour conséquence de relever le DPD de ses fonctions auprès du responsable du traitement ou de son sous-traitant.

18      Deuxièmement, ainsi que la Cour l’a également relevé, l’article 38, paragraphe 3, deuxième phrase, du RGPD s’applique indistinctement tant au DPD qui est un membre du personnel du responsable du traitement ou du sous-traitant qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers, conformément à l’article 37, paragraphe 6, du RGPD, de sorte que cet article 38, paragraphe 3, deuxième phrase, a vocation à s’appliquer aux relations entre un DPD et un responsable du traitement ou un sous-traitant, indépendamment de la nature de la relation de travail unissant ce DPD à ces derniers (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, points 23 et 24).

19      Troisièmement, cette dernière disposition fixe une limite qui consiste à interdire le relèvement des fonctions d’un DPD pour un motif tiré de l’exercice de ses missions, lesquelles comprennent, en particulier, en vertu de l’article 39, paragraphe 1, sous b), du RGPD, le contrôle du respect des dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ainsi que des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 25).

20      En deuxième lieu, en ce qui concerne l’objectif poursuivi par l’article 38, paragraphe 3, deuxième phrase, du RGPD, premièrement, le considérant 97 de ce dernier énonce que les DPD, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. À cet égard, une telle indépendance doit nécessairement leur permettre d’exercer ces missions conformément à l’objectif du RGPD, qui vise notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 26 et jurisprudence citée).

21      Deuxièmement, l’objectif visant à garantir l’indépendance fonctionnelle du DPD, tel qu’il découle de l’article 38, paragraphe 3, deuxième phrase, du RGPD, ressort également de l’article 38, paragraphe 3, première et troisième phrases, de celui-ci qui impose que ce DPD ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions et fasse directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant, ainsi que de l’article 38, paragraphe 5, du RGPD qui prévoit, s’agissant de cet exercice, que ledit DPD est soumis au secret professionnel ou à une obligation de confidentialité (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 27).

22      Ainsi, l’article 38, paragraphe 3, deuxième phrase, du RGPD, en protégeant le DPD contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu’une telle décision serait en relation avec l’exercice de ses missions, doit être considéré comme visant essentiellement à préserver l’indépendance fonctionnelle du DPD et, partant, à garantir l’effectivité des dispositions du RGPD (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 28).

23      Ainsi que la Cour l’a également jugé, cette interprétation est corroborée, en troisième lieu, par le contexte dans lequel s’inscrit cette disposition et, en particulier, par la base juridique sur le fondement de laquelle le législateur de l’Union a adopté le RGPD (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 29).

24      En effet, il ressort du préambule du RGPD que celui-ci a été adopté sur le fondement de l’article 16 TFUE, dont le paragraphe 2 prévoit notamment que le Parlement européen et le Conseil de l’Union européenne, statuant conformément à la procédure législative ordinaire, fixent les règles relatives, d’une part, à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et, d’autre part, à la libre circulation de ces données (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 30).

25      À cet égard, la fixation de règles relatives à la protection contre la révocation d’un DPD employé par un responsable du traitement ou par un sous-traitant ne relève de la protection des personnes physiques à l’égard du traitement des données à caractère personnel que dans la stricte mesure où de telles règles visent à préserver l’indépendance fonctionnelle de ce dernier, conformément à l’article 38, paragraphe 3, deuxième phrase, du RGPD (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 31).

26      Il s’ensuit que chaque État membre est libre, dans l’exercice de sa compétence retenue, de prévoir des dispositions particulières plus protectrices en matière de révocation du DPD, pour autant que ces dispositions soient compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD, notamment son article 38, paragraphe 3, deuxième phrase (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 34).

27      En particulier, une telle protection accrue ne saurait compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait toute révocation, par un responsable du traitement ou par un sous-traitant, d’un DPD qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions, conformément à l’article 37, paragraphe 5, du RGPD, ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions de ce règlement (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 35).

28      À cet égard, il convient de rappeler, ainsi que cela a été relevé au point 20 du présent arrêt, que le RGPD vise à assurer un niveau élevé de protection des personnes physiques au sein de l’Union en ce qui concerne le traitement de leurs données à caractère personnel, et que, pour la réalisation de cet objectif, le DPD doit être en mesure d’exercer ses fonctions et missions en toute indépendance.

29      Ainsi, une protection accrue du DPD qui empêcherait toute révocation de celui-ci dans l’hypothèse où il ne serait pas ou plus en mesure d’exercer ses tâches en toute indépendance en raison de l’existence d’un conflit d’intérêts compromettrait la réalisation de cet objectif.

30      C’est au juge national qu’il incombe de s’assurer que des dispositions particulières telles que celles visées au point 27 du présent arrêt sont compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD.

31      Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un DPD qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce DPD, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.

 Sur la seconde question

32      Eu égard à la réponse à la première question, il n’y a pas lieu de répondre à la seconde question.

 Sur les dépens

33      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (sixième chambre) dit pour droit :

L’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.

Signatures

*      Langue de procédure : l’allemand.