1.

La demande de décision préjudicielle du Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) porte sur l’interprétation et la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ( 2 ).

2.

Cette demande a été présentée dans le cadre d’un litige opposant LH à son employeur, Leistritz AG, au sujet de la rupture de son contrat de travail motivée par une réorganisation de ses services, alors que, selon la loi allemande applicable, LH ne peut être licenciée que pour motif grave sans respecter le délai de préavis du fait de sa désignation en tant que déléguée à la protection des données.

3.

Dans les présentes conclusions, j’exposerai les raisons pour lesquelles je suis d’avis que l’interdiction du relèvement du délégué à la protection des données de ses fonctions, prévue à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, ne résulte pas d’une harmonisation de règles matérielles du droit du travail, ce qui laisse aux États membres la faculté de renforcer la protection de ce délégué dans leurs réglementations nationales dans divers domaines, conformément à l’objectif poursuivi par ce règlement.

4.

Les considérants 10, 13 et 97 du règlement 2016/679 énoncent :

[...]

[...]

5.

L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 1 :

« Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. »

6.

L’article 37 dudit règlement, intitulé « Désignation du délégué à la protection des données », énonce, à ses paragraphes 1 et 4 à 6 :

« 1.   Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

[...]

4.   Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous‑traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

5.   Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

6.   Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »

7.

L’article 38 du même règlement, intitulé « Fonction du délégué à la protection des données », prévoit :

« 1.   Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

[...]

3.   Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

4.   Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.

5.   Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.

6.   Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »

8.

L’article 39 du règlement 2016/679 énonce les principales missions du délégué à la protection des données.

9.

L’article 6 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 ( 3 ), dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019 ( 4 ), intitulé « Fonction », dispose, à son paragraphe 4 :

« La ou le délégué(e) à la protection des données ne peut être relevé(e) de ses fonctions que dans le cadre d’une application par analogie de l’article 626 du Bürgerliches Gesetzbuch [code civil]. Le licenciement d’un(e) délégué(e) à la protection des données est illégal, à moins que les faits autorisent l’organisme public à procéder à son licenciement pour motif grave sans respecter de délai de préavis. Après la cessation des fonctions de délégué(e) à la protection des données, le licenciement est illégal pendant un an, à moins que l’organisme public soit autorisé à procéder au licenciement pour motif grave sans respecter de délai de préavis. »

10.

L’article 38 du BDSG, intitulé « Délégués à la protection des données d’organismes non publics », prévoit :

« (1)   En complément de l’article 37, paragraphe 1, sous b) et c), du règlement [...] 2016/679, le responsable du traitement et le sous-traitant désignent un(e) délégué(e) à la protection des données dès lors qu’ils emploient habituellement au moins dix personnes [ ( 5 )] affectées en permanence au traitement automatisé de données à caractère personnel. [...]

(2)   L’article 6, paragraphe 4, paragraphe 5, seconde phrase, et paragraphe 6, est applicable ; toutefois, l’article 6, paragraphe 4, ne s’applique que lorsque la désignation d’un(e) délégué(e) à la protection des données est obligatoire. »

11.

L’article 134 du code civil, dans sa version publiée le 2 janvier 2002 ( 6 ), intitulé « Interdiction légale », se lit comme suit :

« Tout acte juridique contraire à une interdiction légale est nul à moins que la loi n’en dispose autrement. »

12.

L’article 626 de ce code, intitulé « Résiliation sans préavis pour motif grave », dispose :

« (1)   Chacune des parties au contrat peut résilier la relation de travail pour motif grave sans respecter de délai de préavis lorsque, en raison de certains faits, la poursuite de la relation de travail jusqu’à l’expiration du délai de préavis ou jusqu’au terme convenu de la relation de travail ne peut pas être exigée de la partie qui résilie, eu égard à toutes les circonstances du cas d’espèce et compte tenu des intérêts des deux parties au contrat.

(2)   La résiliation peut uniquement avoir lieu dans un délai de deux semaines. Le délai court à partir du moment où la partie qui peut procéder à la résiliation a connaissance des faits pertinents pour la résiliation [...] »

13.

Leistritz est une société de droit privé, obligatoirement tenue de désigner un délégué à la protection des données en vertu du droit allemand. LH y a exercé les fonctions de cheffe du service des affaires juridiques et de déléguée interne à la protection des données, respectivement, à partir du 15 janvier 2018 et du 1er février 2018.

14.

Par lettre du 13 juillet 2018, Leistritz a licencié LH avec préavis, avec effet au 15 août 2018, en se prévalant d’une mesure de restructuration de l’entreprise, dans le cadre de laquelle l’activité interne de conseil juridique et le service de protection des données étaient externalisés.

15.

Les juges du fond saisis par LH de la contestation de la validité de son licenciement ont décidé que, conformément aux dispositions combinées de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG, LH peut seulement, du fait de sa qualité de déléguée à la protection des données, être licenciée sans préavis, pour motif grave. Or, la mesure de restructuration décrite par Leistritz ne constitue pas un motif grave de licenciement sans préavis.

16.

La juridiction de renvoi, saisie du recours en « Revision » formé par Leistritz, fait observer que, en vertu du droit allemand, le licenciement de LH est nul, en application de ces dispositions et de l’article 134 du code civil ( 7 ). Elle relève toutefois que l’applicabilité de telles dispositions dépend du point de savoir si le droit de l’Union, et, en particulier, l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, autorise une réglementation d’un État membre soumettant le licenciement d’un délégué à la protection des données à des conditions plus strictes que celles prévues par le droit de l’Union. Si tel n’était pas le cas, il lui incomberait de faire droit au recours en « Revision ».

17.

Dans ces conditions, le Bundesarbeitsgericht (Cour fédérale du travail) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

18.

LH, Leistritz, les gouvernements allemand et roumain ainsi que le Parlement européen, le Conseil de l’Union européenne et la Commission européenne ont déposé des observations écrites. Ces parties, à l’exception des gouvernements allemand et roumain, ont présenté leurs observations orales lors de l’audience qui s’est tenue le 18 novembre 2021.

19.

Par sa première question, la juridiction de renvoi demande, en substance, à la Cour si l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui prévoit que l’employeur d’un délégué à la protection des données ne peut le licencier que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.

20.

La réponse à cette interrogation suppose de préciser, en premier lieu, ce que recouvre l’expression « être relevé de ses fonctions [...] pour l’exercice de ses missions » employée par le législateur de l’Union à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679. En second lieu, il devra être déterminé si les États membres ont la faculté d’étendre les garanties dont bénéficie le délégué à la protection des données en application de cette disposition.

21.

L’article 38 du règlement 2016/679 figure au chapitre IV de ce règlement, relatif au « [r]esponsable du traitement et sous-traitant », en particulier au sein de la section 4, intitulée « Délégué à la protection des données ». Cette section contient trois articles relatifs, respectivement, à la désignation du délégué à la protection des données ( 8 ), à sa fonction ( 9 ) et à ses missions, qui consistent, pour l’essentiel, à donner des conseils personnels sur le traitement des données et à contrôler le respect des règles de protection des données ( 10 ).

22.

Pour l’interprétation de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, il y a lieu de tenir compte, selon la jurisprudence constante de la Cour, non seulement des termes de cette disposition, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie ( 11 ).

23.

S’agissant du libellé de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, j’observe qu’il exprime une obligation en termes négatifs. En effet, il énonce que « [l]e délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions » ( 12 ).

24.

Ainsi, cette disposition détermine le périmètre de la protection du délégué à la protection des données. Celui-ci est prémuni, d’une part, contre toute décision qui mettrait fin à ses fonctions ou lui ferait subir un désavantage lorsque, d’autre part, une telle décision serait en relation avec l’exercice de ses missions.

25.

En ce qui concerne la distinction entre la mesure de relèvement des fonctions du délégué à la protection des données et celle qui le pénalise, je constate, premièrement, qu’aucune disposition du règlement 2016/679 ne définit expressément ou implicitement ces mesures ( 13 ).

26.

À l’issue de l’examen comparé d’autres versions linguistiques, il peut être considéré que deux sortes de mesures sont visées à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, à savoir celles qui mettent fin aux fonctions du délégué à la protection des données ainsi que celles qui constituent des sanctions ou défavorisent ce délégué, quel que soit leur cadre. Dès lors, ces définitions peuvent recouvrir les licenciements par lesquels l’employeur met fin à un contrat de travail ( 14 ).

27.

Les résultats des recherches portant sur l’historique législatif de l’article 38 du règlement 2016/679 auquel j’ai pu avoir accès ne permettent pas, faute d’éléments détaillés, d’être éclairé sur les intentions précises du législateur de l’Union quant à la portée du terme « relevé ». Il peut seulement être constaté que l’ajout rédactionnel relatif au relèvement des fonctions est intervenu tardivement dans le processus législatif ( 15 ) au cours duquel, concomitamment, a été supprimé le membre de phrase suivant, qui figurait après « Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données » : « puisse agir en toute indépendance dans l’accomplissement de ses missions » ( 16 ). Il pourrait en être déduit que ce législateur a souhaité concrétiser l’obligation de ne pas relever le délégué à la protection des données de ses fonctions pour l’exercice de ses missions.

28.

Je note, également, que le législateur de l’Union a fait le choix de reproduire à l’identique le libellé de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 à l’article 44, paragraphe 3, deuxième phrase, du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE ( 17 ). Cependant, aucune précision ne peut être tirée des documents relatifs à l’élaboration du règlement 2018/1725, ce qui est justifié, à mon sens, par l’ajout à l’article 44, paragraphe 8, d’une autre garantie essentielle offerte au délégué à la protection des données, à savoir qu’il « ne peut être relevé de ses fonctions par l’institution ou l’organe de l’Union qui l’a désigné s’il ne remplit plus les conditions requises pour l’exercice de ses fonctions qu’avec le consentement du Contrôleur européen de la protection des données ».

29.

Deuxièmement, je relève qu’il n’est pas opéré de distinction à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 selon que le délégué à la protection des données est ou non un membre du personnel du responsable du traitement ou du sous-traitant ( 18 ). En effet, ce règlement ne contient aucune disposition relative à l’interdépendance entre les décisions qui seraient prises par l’employeur dans le cadre de la relation de travail et celles relatives aux fonctions de ce délégué. La seule limite fixée porte sur le motif pour lequel il ne peut être mis fin aux fonctions du délégué à la protection des données, à savoir tout motif tiré de l’exercice de ses missions.

30.

S’agissant de l’objectif poursuivi par le législateur de l’Union, il justifie la rédaction en termes généraux de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 ainsi que le choix de cette limite.

31.

En effet, il est précisé dans le projet d’exposé des motifs du Conseil que la désignation d’un délégué à la protection des données vise à améliorer le respect du règlement 2016/679 ( 19 ). C’est pourquoi l’article 38, paragraphe 3, deuxième phrase, de ce règlement fixe des obligations de nature à garantir l’indépendance de ce délégué. Ainsi, il est prévu dans ce même article que le délégué à la protection des données ne doit recevoir aucune instruction en ce qui concerne l’exercice de ses missions et qu’il doit directement faire rapport au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant ( 20 ). Il est également soumis au secret professionnel ou à une obligation de confidentialité ( 21 ).

32.

L’accent est donc mis sur la rigueur de l’encadrement des fonctions du délégué à la protection des données qui est particulièrement justifiée lorsque ce délégué est désigné par un responsable du traitement qui est son employeur. Dès lors, par l’interdiction énoncée à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, sont garanties les prérogatives dont bénéficie ledit délégué pour l’exercice de ses missions, qui peuvent, dans certains cas, être difficilement conciliables avec celles qui ont été fixées par l’employeur dans le cadre de la relation de travail.

33.

L’analyse selon laquelle cette disposition a pour seul objet d’organiser l’exercice en toute indépendance des fonctions de délégué à la protection des données est corroborée par le contexte dans lequel elle a été prise.

34.

À cet égard, il doit être souligné que le règlement 2016/679 a, selon son article 1er, pour objet d’établir les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ainsi que celles relatives à la libre circulation de ces données. Ainsi, il a été adopté sur le fondement de l’article 16, paragraphe 2, TFUE ( 22 ), ce qui conduit à considérer, comme je l’ai déjà exposé dans de précédentes conclusions, que, bien que la protection des données à caractère personnel soit par nature transversale, l’harmonisation opérée par ce règlement est limitée aux aspects spécifiquement couverts par ledit règlement dans ce domaine ( 23 ).

35.

Pour l’ensemble de ces raisons, il ne fait pas de doute, selon moi, que la protection spécifique du délégué à la protection des données, prévue à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, est propre à l’objet de ce règlement, en ce qu’elle vient renforcer l’autonomie de ce délégué. Elle ne s’inscrit donc pas dans le champ plus large de la protection des travailleurs ( 24 ).

36.

Par conséquent, se pose à nouveau la question de savoir si, en dehors des aspects spécifiquement couverts par le règlement 2016/679, les États membres restent libres de légiférer, sous réserve qu’ils ne portent pas atteinte au contenu et aux objectifs de ce règlement ( 25 ).

37.

Selon moi, l’objectif du règlement 2016/679 énoncé à son considérant 13, en application duquel le législateur de l’Union garantit l’indépendance du délégué à la protection des données en des termes généraux à l’article 38, paragraphe 3, deuxième phrase, de ce règlement ( 26 ), justifie que toute autre mesure visant à renforcer l’autonomie de ce délégué dans l’exercice de ses missions doit pouvoir être prise par un État membre.

38.

Cette analyse n’est pas en contradiction avec les effets d’un règlement, tels qu’ils sont définis à l’article 288, deuxième alinéa, TFUE, ni avec l’obligation subséquente pour les États membres de ne pas déroger à un règlement obligatoire dans tous ses éléments et directement applicable ou de le compléter, à moins que des dispositions de ce règlement reconnaissent aux États membres une marge de manœuvre qui doit ou peut, selon les cas, être utilisée par ces derniers dans les conditions et les limites prévues par ces dispositions ( 27 ).

39.

Par conséquent, je réitère mon avis selon lequel l’étendue de l’harmonisation opérée par le règlement 2016/679 varie selon les dispositions considérées. La détermination de la portée normative de ce règlement requiert donc un examen au cas par cas ( 28 ).

40.

À cet égard, je note que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 traite du relèvement des fonctions du délégué à la protection des données en ce qu’il est lié uniquement à l’exercice de ses missions, lequel est présumé correct ( 29 ), sous forme d’interdiction, sans introduire un degré de gravité du motif invoqué ou envisager les divers aspects du lien de subordination avec son employeur susceptibles d’avoir un effet sur sa désignation. Ainsi, n’ont pas été envisagés, par exemple, la durée du contrat de travail, ou le motif personnel ou économique de la rupture de celui-ci, qui peut le cas échéant être négociée, ou encore la suspension de la relation de travail pour cause de maladie, de formation, de congés annuels ou de longue durée.

41.

Par ailleurs, l’intention du législateur de l’Union de laisser le soin aux États membres de compléter les dispositions protectrices de l’indépendance du délégué à la protection des données sur la base d’un cadre législatif minimal relatif à l’exercice des missions de celui-ci, défini selon les objectifs du règlement 2016/679, se manifeste également par l’absence de prescription relative à la durée du mandat de ce délégué – contrairement à ce que prévoit l’article 44, paragraphe 8, première phrase, du règlement 2018/1725 – ( 30 ) ou relative au cas, comme en l’espèce, de réorganisation d’une entreprise ayant pour effet d’externaliser les fonctions de délégué à la protection des données pour des raisons sans lien avec l’accomplissement de sa mission.

42.

Par conséquent, les États membres peuvent décider de renforcer l’indépendance du délégué à la protection des données, en ce qu’il participe à la mise en œuvre des objectifs du règlement 2016/679, plus spécialement en matière de licenciement, dès lors qu’il n’existe aucune disposition en droit de l’Union susceptible de servir de fondement à une protection spéciale et concrète de celui-ci contre le licenciement pour un motif indépendant de l’exercice de ses missions, alors que la rupture de la relation de travail a nécessairement pour effet de mettre fin à celles‑ci.

43.

À cet égard, il y a lieu de rappeler que, dans le domaine de la protection des travailleurs, en cas de résiliation du contrat de travail, l’article 153, paragraphe 1, sous d), TFUE, précise que l’Union soutient et complète l’action des États membres, et que, plus généralement, dans le domaine de la politique sociale, l’Union et les États membres disposent, en vertu de l’article 4, paragraphe 2, sous b), TFUE, pour les aspects définis dans le traité FUE, d’une compétence partagée, au sens de l’article 2, paragraphe 2, TFUE.

44.

Dans ces conditions, chaque État membre est libre de prévoir des dispositions particulières en matière de licenciement du délégué à la protection des données, pourvu que ces dispositions soient compatibles avec le régime protecteur de celui-ci prévu par le règlement 2016/679 ( 31 ).

45.

Ainsi qu’il résulte de l’examen succinct de la réglementation des États membres que j’ai pu consulter ( 32 ), la plupart d’entre eux n’ont pas pris de dispositions particulières relatives au licenciement, en se limitant à l’interdiction énoncée à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, directement applicable ( 33 ).

46.

Cependant, d’autres États membres ont fait le choix de compléter cet article ( 34 ).

47.

À cet égard, je note que le groupe de travail « Article 29 » a considéré que, « [d]ans le cadre d’une gestion normale, et comme c’est le cas pour tout autre employé ou sous-traitant conformément au droit des contrats ou au droit du travail et au droit pénal applicables au niveau national, et selon les conditions qui y sont fixées, un [délégué à la protection des données] pourra toujours être licencié légitimement pour des motifs autres que l’exercice de ses missions de [délégué à la protection des données] (par exemple, en cas de vol, de harcèlement physique, moral ou sexuel ou d’autres fautes graves similaires) » ( 35 ).

48.

Quel que soit le choix des États membres, l’organe administratif ou juridictionnel dans chacun d’eux chargé de contrôler la légalité du motif de relèvement des fonctions du délégué à la protection des données contribue également, à mon sens, à garantir l’indépendance de ce délégué.

49.

En effet, dès lors qu’il est hautement probable que le lien avec l’exercice satisfaisant des missions du délégué à la protection des données ne résultera pas expressément de la décision de le relever de ses fonctions ( 36 ), une protection générale tirée de la seule qualité de délégué à la protection des données est concevable. En l’occurrence, il résulte des explications de la juridiction de renvoi que c’est la notion de « motif grave », telle qu’elle est interprétée en droit allemand, qui conduit à considérer, par souci de protection supplémentaire, qu’il ne peut être mis fin aux fonctions du délégué à la protection des données en cas de restructuration ( 37 ). Dans le même sens, il pourrait d’ailleurs être considéré que, en cas de difficultés économiques de l’entreprise qui a l’obligation de désigner un délégué à la protection des données et a choisi à cette fin l’un de ses salariés, les missions de celui-ci devraient, en raison de l’objectif du règlement 2016/679 et de la contribution d’un tel délégué à la satisfaction de celui-ci, continuer à être exercées tant que l’activité de l’employeur perdure.

50.

Cependant, l’interdiction énoncée à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 a nécessairement des limites en cas de dysfonctionnements objectifs dans l’exercice des missions du délégué à la protection des données eu égard à ses obligations. Ces limites doivent être fixées en conformité avec l’objectif poursuivi par ce règlement ( 38 ).

51.

Ainsi, une interprétation tout aussi conforme à l’objectif du règlement 2016/679 doit conduire, selon moi, à admettre qu’un délégué à la protection des données puisse être relevé de ses fonctions lorsqu’il ne répond plus aux critères qualitatifs nécessaires à l’exercice de ses missions, tels que ceux énoncés à l’article 37, paragraphe 5, de ce règlement, ou ne satisfait pas aux obligations fixées à l’article 38, paragraphe 3, première et troisième phrases, ainsi que paragraphes 5 et 6, dudit règlement ( 39 ) ou encore lorsque son niveau d’expertise s’avère insuffisant ( 40 ).

52.

Par conséquent, je suis d’avis que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui prévoit que l’employeur d’un délégué à la protection des données ne peut le licencier que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.

53.

Si toutefois la Cour ne partageait pas cet avis et décidait de répondre par l’affirmative à la première question de la juridiction de renvoi, il y aurait lieu de répondre aux deux autres questions préjudicielles.

54.

Par sa deuxième question, la juridiction de renvoi souhaite savoir si l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 s’oppose à une réglementation nationale qui déclare illégal le licenciement du délégué à la protection des données par son employeur en l’absence de motif grave, même si ce licenciement n’est pas lié à l’exercice de ses missions, lorsque la désignation du délégué à la protection des données est obligatoire non pas en vertu de l’article 37, paragraphe 1, de ce règlement, mais uniquement en vertu du droit national, tel que le prévoit l’article 37, paragraphe 4, dudit règlement.

55.

J’observe que ni l’article 38, paragraphe 3, du règlement 2016/679 ni les autres dispositions de la section 4 de ce règlement, relative au délégué à la protection des données, n’opèrent de distinction selon que la désignation de ce délégué est obligatoire ou facultative.

56.

Par conséquent, je suis d’avis de répondre à la juridiction de renvoi que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 s’applique sans qu’il y ait lieu de distinguer selon que le délégué à la protection des données est obligatoirement désigné en vertu du droit de l’Union ou en vertu du droit national.

57.

Par sa troisième question, la juridiction de renvoi s’interroge sur la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 et, en particulier, sur la question de savoir si cette disposition repose sur une base juridique suffisante, notamment en ce qu’elle vise des délégués à la protection des données qui sont liés au responsable du traitement par un contrat de travail.

58.

Je propose à la Cour de considérer que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 repose sur une base juridique suffisante, en ce qu’il a uniquement pour objet de prémunir le délégué à la protection des données contre toute entrave dans l’accomplissement de ses missions et que cette garantie, sans considération de l’existence d’une relation de travail, contribue à la réalisation effective des objectifs de ce règlement.

59.

En effet, d’une part, ainsi que je l’ai exposé dans le cadre de l’analyse de la première question préjudicielle ( 41 ), l’article 16 TFUE constitue la base juridique sur laquelle est fondé ledit règlement. En outre, la Cour a jugé que cet article constitue, sans préjudice de l’article 39 TUE, une base juridique appropriée lorsque la protection des données à caractère personnel est l’une des finalités ou des composantes essentielles des règles adoptées par le législateur de l’Union ( 42 ).

60.

D’autre part, l’une de ces conditions est, à mon sens, pleinement satisfaite s’agissant du rôle du délégué à la protection des données et de son encadrement, tels que définis par le règlement 2016/679. La garantie de l’indépendance fonctionnelle de ce délégué, qui vise à satisfaire à l’exigence d’assurer, à un niveau élevé, le respect des droits fondamentaux des personnes concernées par le traitement des données à caractère personnel ( 43 ), s’est traduite, à l’article 38, paragraphe 3, deuxième phrase, de ce règlement, par l’énoncé d’une interdiction de mettre fin à ses fonctions pour des raisons inhérentes à ses missions. Dès lors que cette disposition n’impose pas une quelconque harmonisation en droit du travail, le législateur de l’Union n’a pas outrepassé les pouvoirs normatifs qui lui ont été conférés à l’article 16, paragraphe 2, TFUE.

61.

S’agissant du respect des principes de subsidiarité et de proportionnalité, sur lequel la juridiction de renvoi s’interroge également, je relève, premièrement, que l’intensification des traitements transfrontaliers des données à caractère personnel justifie que la protection de celles-ci au regard des droits fondamentaux soit mise en œuvre au niveau de l’Union ( 44 ), en garantissant notamment les prérogatives du délégué à la protection des données considéré comme étant un « acteur clé » de cette protection ( 45 ). Deuxièmement, l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 ne me paraît pas aller au-delà de ce qui est nécessaire pour garantir l’indépendance fonctionnelle de ce délégué. Certes, la garantie de ne pas être relevé de ses fonctions, prévue à cette disposition, a nécessairement une incidence sur la relation de travail. Cependant, cette incidence ne vise qu’à préserver l’effet utile de la fonction du délégué à la protection des données.

62.

Par conséquent, je suis d’avis de répondre à la juridiction de renvoi que l’examen de la troisième question préjudicielle n’a révélé aucun élément de nature à affecter la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679.

63.

Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) de la manière suivante :

À titre principal :

À titre subsidiaire, dans l’hypothèse où la Cour répondrait à la première question préjudicielle par l’affirmative :