Dans une réponse ministérielle, le gouvernement précise que le DPD salarié bénéficie d’une réelle protection juridique pour exercer sa mission mais, sans pour autant bénéficier du statut protecteur accordé aux élus ou aux délégués syndicaux.
Le règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016, dit RGPD, prévoit dans ses articles 37 à 39 les dispositions applicables au délégué à la protection des données (DPD).
Ce dernier a notamment pour mission de « contrôler le respect du présent règlement».
Il peut être un membre du personnel du responsable du traitement ou du sous-traitant.
Son indépendance et une protection contre toute sanction infligée en raison de l’exercice de sa mission lui sont garanties par l’article 38 paragraphe 3 qui prévoit que « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions ».
De plus, « le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous- traitant pour l’exercice de ses missions...».
Ainsi, cette protection vise l’interdiction de toute sanction directe ou indirecte.
Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière ou du refus de l’octroi d’avantages dont bénéficient d’autres travailleurs.
Pour le ministère, il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le DPD pour des motifs liés à ses activités de DPD.
Le gouvernement précise, ainsi que si le législateur n’a pas entendu conférer au délégué à la protection des données, le statut de salarié protégé au sens du droit du travail, il bénéficie néanmoins d’une large protection dans l’exercice de ses missions depuis le 25 mai 2018, date d’entrée en vigueur du RGPD.
Rép. Raynal n° 02896, JO 7 février 2019, Sénat quest. p. 712