CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. JEAN RICHARD DE LA TOUR
présentées le 27 janvier 2022 ( 1 )
Affaire C‑534/20
Leistritz AG
contre
LH
[demande de décision préjudicielle formée par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 38, paragraphe 3, deuxième phrase – Délégué à la protection des données – Interdiction de relèvement de ses fonctions pour l’exercice de ses missions – Base juridique – Article 16 TFUE – Validité – Exigence d’indépendance fonctionnelle – Étendue de l’harmonisation – Réglementation nationale interdisant le licenciement d’un délégué à la protection des
données en l’absence d’un motif grave – Délégué à la protection des données désigné obligatoirement en vertu du droit national »
I. Introduction
1. La demande de décision préjudicielle du Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) porte sur l’interprétation et la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des
données) ( 2 ).
2. Cette demande a été présentée dans le cadre d’un litige opposant LH à son employeur, Leistritz AG, au sujet de la rupture de son contrat de travail motivée par une réorganisation de ses services, alors que, selon la loi allemande applicable, LH ne peut être licenciée que pour motif grave sans respecter le délai de préavis du fait de sa désignation en tant que déléguée à la protection des données.
3. Dans les présentes conclusions, j’exposerai les raisons pour lesquelles je suis d’avis que l’interdiction du relèvement du délégué à la protection des données de ses fonctions, prévue à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, ne résulte pas d’une harmonisation de règles matérielles du droit du travail, ce qui laisse aux États membres la faculté de renforcer la protection de ce délégué dans leurs réglementations nationales dans divers domaines, conformément à l’objectif
poursuivi par ce règlement.
II. Le cadre juridique
A. Le règlement 2016/679
4. Les considérants 10, 13 et 97 du règlement 2016/679 énoncent :
« (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes
physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
[...]
(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et
d’obligations et de responsabilités pour les responsables du traitement et les sous‑traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. [...]
[...]
(97) [...] [Les] délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. »
5. L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 1 :
« Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. »
6. L’article 37 dudit règlement, intitulé « Désignation du délégué à la protection des données », énonce, à ses paragraphes 1 et 4 à 6 :
« 1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
b) les activités de base du responsable du traitement ou du sous‑traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous‑traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
[...]
4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous‑traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du
traitement ou des sous-traitants.
5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »
7. L’article 38 du même règlement, intitulé « Fonction du délégué à la protection des données », prévoit :
« 1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
[...]
3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du
sous-traitant.
4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.
5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.
6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »
8. L’article 39 du règlement 2016/679 énonce les principales missions du délégué à la protection des données.
B. Le droit allemand
9. L’article 6 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 ( 3 ), dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019 ( 4 ), intitulé « Fonction », dispose, à son paragraphe 4 :
« La ou le délégué(e) à la protection des données ne peut être relevé(e) de ses fonctions que dans le cadre d’une application par analogie de l’article 626 du Bürgerliches Gesetzbuch [code civil]. Le licenciement d’un(e) délégué(e) à la protection des données est illégal, à moins que les faits autorisent l’organisme public à procéder à son licenciement pour motif grave sans respecter de délai de préavis. Après la cessation des fonctions de délégué(e) à la protection des données, le licenciement
est illégal pendant un an, à moins que l’organisme public soit autorisé à procéder au licenciement pour motif grave sans respecter de délai de préavis. »
10. L’article 38 du BDSG, intitulé « Délégués à la protection des données d’organismes non publics », prévoit :
« (1) En complément de l’article 37, paragraphe 1, sous b) et c), du règlement [...] 2016/679, le responsable du traitement et le sous-traitant désignent un(e) délégué(e) à la protection des données dès lors qu’ils emploient habituellement au moins dix personnes [ ( 5 )] affectées en permanence au traitement automatisé de données à caractère personnel. [...]
(2) L’article 6, paragraphe 4, paragraphe 5, seconde phrase, et paragraphe 6, est applicable ; toutefois, l’article 6, paragraphe 4, ne s’applique que lorsque la désignation d’un(e) délégué(e) à la protection des données est obligatoire. »
11. L’article 134 du code civil, dans sa version publiée le 2 janvier 2002 ( 6 ), intitulé « Interdiction légale », se lit comme suit :
« Tout acte juridique contraire à une interdiction légale est nul à moins que la loi n’en dispose autrement. »
12. L’article 626 de ce code, intitulé « Résiliation sans préavis pour motif grave », dispose :
« (1) Chacune des parties au contrat peut résilier la relation de travail pour motif grave sans respecter de délai de préavis lorsque, en raison de certains faits, la poursuite de la relation de travail jusqu’à l’expiration du délai de préavis ou jusqu’au terme convenu de la relation de travail ne peut pas être exigée de la partie qui résilie, eu égard à toutes les circonstances du cas d’espèce et compte tenu des intérêts des deux parties au contrat.
(2) La résiliation peut uniquement avoir lieu dans un délai de deux semaines. Le délai court à partir du moment où la partie qui peut procéder à la résiliation a connaissance des faits pertinents pour la résiliation [...] »
III. Le litige au principal et les questions préjudicielles
13. Leistritz est une société de droit privé, obligatoirement tenue de désigner un délégué à la protection des données en vertu du droit allemand. LH y a exercé les fonctions de cheffe du service des affaires juridiques et de déléguée interne à la protection des données, respectivement, à partir du 15 janvier 2018 et du 1er février 2018.
14. Par lettre du 13 juillet 2018, Leistritz a licencié LH avec préavis, avec effet au 15 août 2018, en se prévalant d’une mesure de restructuration de l’entreprise, dans le cadre de laquelle l’activité interne de conseil juridique et le service de protection des données étaient externalisés.
15. Les juges du fond saisis par LH de la contestation de la validité de son licenciement ont décidé que, conformément aux dispositions combinées de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG, LH peut seulement, du fait de sa qualité de déléguée à la protection des données, être licenciée sans préavis, pour motif grave. Or, la mesure de restructuration décrite par Leistritz ne constitue pas un motif grave de licenciement sans préavis.
16. La juridiction de renvoi, saisie du recours en « Revision » formé par Leistritz, fait observer que, en vertu du droit allemand, le licenciement de LH est nul, en application de ces dispositions et de l’article 134 du code civil ( 7 ). Elle relève toutefois que l’applicabilité de telles dispositions dépend du point de savoir si le droit de l’Union, et, en particulier, l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, autorise une réglementation d’un État membre soumettant le
licenciement d’un délégué à la protection des données à des conditions plus strictes que celles prévues par le droit de l’Union. Si tel n’était pas le cas, il lui incomberait de faire droit au recours en « Revision ».
17. Dans ces conditions, le Bundesarbeitsgericht (Cour fédérale du travail) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 38, paragraphe 3, deuxième phrase, du règlement [2016/679] doit-il être interprété en ce sens qu’il s’oppose à des dispositions de droit national, telles que, en l’occurrence, les dispositions combinées de l’article 38, paragraphes 1 et 2, et de l’article 6, paragraphe 4, deuxième phrase, du [BDSG], qui déclarent illégal le licenciement avec préavis du délégué à la protection des données par le responsable du traitement qui est son employeur, indépendamment du point de savoir si
ce licenciement intervient en lien avec l’exercice des missions du délégué ?
2) En cas de réponse affirmative à la première question :
L’article 38, paragraphe 3, deuxième phrase, du [règlement 2016/679] s’oppose-t-il également à de telles dispositions du droit national lorsque la désignation du délégué à la protection des données est obligatoire non pas en vertu de l’article 37, paragraphe 1, [de ce règlement], mais uniquement en vertu du droit de l’État membre ?
3) En cas de réponse affirmative à la première question :
L’article 38, paragraphe 3, deuxième phrase, du [règlement 2016/679] repose-t-il sur une base juridique suffisante, notamment en ce qu’il vise des délégués à la protection des données qui sont liés au responsable du traitement par un contrat de travail ? »
18. LH, Leistritz, les gouvernements allemand et roumain ainsi que le Parlement européen, le Conseil de l’Union européenne et la Commission européenne ont déposé des observations écrites. Ces parties, à l’exception des gouvernements allemand et roumain, ont présenté leurs observations orales lors de l’audience qui s’est tenue le 18 novembre 2021.
IV. Analyse
A. Sur la première question préjudicielle
19. Par sa première question, la juridiction de renvoi demande, en substance, à la Cour si l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui prévoit que l’employeur d’un délégué à la protection des données ne peut le licencier que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.
20. La réponse à cette interrogation suppose de préciser, en premier lieu, ce que recouvre l’expression « être relevé de ses fonctions [...] pour l’exercice de ses missions » employée par le législateur de l’Union à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679. En second lieu, il devra être déterminé si les États membres ont la faculté d’étendre les garanties dont bénéficie le délégué à la protection des données en application de cette disposition.
1. Sur la protection du délégué à la protection des données prévue à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679
21. L’article 38 du règlement 2016/679 figure au chapitre IV de ce règlement, relatif au « [r]esponsable du traitement et sous-traitant », en particulier au sein de la section 4, intitulée « Délégué à la protection des données ». Cette section contient trois articles relatifs, respectivement, à la désignation du délégué à la protection des données ( 8 ), à sa fonction ( 9 ) et à ses missions, qui consistent, pour l’essentiel, à donner des conseils personnels sur le traitement des données et à
contrôler le respect des règles de protection des données ( 10 ).
22. Pour l’interprétation de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, il y a lieu de tenir compte, selon la jurisprudence constante de la Cour, non seulement des termes de cette disposition, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie ( 11 ).
23. S’agissant du libellé de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, j’observe qu’il exprime une obligation en termes négatifs. En effet, il énonce que « [l]e délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions » ( 12 ).
24. Ainsi, cette disposition détermine le périmètre de la protection du délégué à la protection des données. Celui-ci est prémuni, d’une part, contre toute décision qui mettrait fin à ses fonctions ou lui ferait subir un désavantage lorsque, d’autre part, une telle décision serait en relation avec l’exercice de ses missions.
25. En ce qui concerne la distinction entre la mesure de relèvement des fonctions du délégué à la protection des données et celle qui le pénalise, je constate, premièrement, qu’aucune disposition du règlement 2016/679 ne définit expressément ou implicitement ces mesures ( 13 ).
26. À l’issue de l’examen comparé d’autres versions linguistiques, il peut être considéré que deux sortes de mesures sont visées à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, à savoir celles qui mettent fin aux fonctions du délégué à la protection des données ainsi que celles qui constituent des sanctions ou défavorisent ce délégué, quel que soit leur cadre. Dès lors, ces définitions peuvent recouvrir les licenciements par lesquels l’employeur met fin à un contrat de
travail ( 14 ).
27. Les résultats des recherches portant sur l’historique législatif de l’article 38 du règlement 2016/679 auquel j’ai pu avoir accès ne permettent pas, faute d’éléments détaillés, d’être éclairé sur les intentions précises du législateur de l’Union quant à la portée du terme « relevé ». Il peut seulement être constaté que l’ajout rédactionnel relatif au relèvement des fonctions est intervenu tardivement dans le processus législatif ( 15 ) au cours duquel, concomitamment, a été supprimé le membre de
phrase suivant, qui figurait après « Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données » : « puisse agir en toute indépendance dans l’accomplissement de ses missions » ( 16 ). Il pourrait en être déduit que ce législateur a souhaité concrétiser l’obligation de ne pas relever le délégué à la protection des données de ses fonctions pour l’exercice de ses missions.
28. Je note, également, que le législateur de l’Union a fait le choix de reproduire à l’identique le libellé de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 à l’article 44, paragraphe 3, deuxième phrase, du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces
données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE ( 17 ). Cependant, aucune précision ne peut être tirée des documents relatifs à l’élaboration du règlement 2018/1725, ce qui est justifié, à mon sens, par l’ajout à l’article 44, paragraphe 8, d’une autre garantie essentielle offerte au délégué à la protection des données, à savoir qu’il « ne peut être relevé de ses fonctions par l’institution ou l’organe de l’Union qui l’a désigné s’il ne remplit plus les
conditions requises pour l’exercice de ses fonctions qu’avec le consentement du Contrôleur européen de la protection des données ».
29. Deuxièmement, je relève qu’il n’est pas opéré de distinction à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 selon que le délégué à la protection des données est ou non un membre du personnel du responsable du traitement ou du sous-traitant ( 18 ). En effet, ce règlement ne contient aucune disposition relative à l’interdépendance entre les décisions qui seraient prises par l’employeur dans le cadre de la relation de travail et celles relatives aux fonctions de ce délégué. La
seule limite fixée porte sur le motif pour lequel il ne peut être mis fin aux fonctions du délégué à la protection des données, à savoir tout motif tiré de l’exercice de ses missions.
30. S’agissant de l’objectif poursuivi par le législateur de l’Union, il justifie la rédaction en termes généraux de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 ainsi que le choix de cette limite.
31. En effet, il est précisé dans le projet d’exposé des motifs du Conseil que la désignation d’un délégué à la protection des données vise à améliorer le respect du règlement 2016/679 ( 19 ). C’est pourquoi l’article 38, paragraphe 3, deuxième phrase, de ce règlement fixe des obligations de nature à garantir l’indépendance de ce délégué. Ainsi, il est prévu dans ce même article que le délégué à la protection des données ne doit recevoir aucune instruction en ce qui concerne l’exercice de ses
missions et qu’il doit directement faire rapport au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant ( 20 ). Il est également soumis au secret professionnel ou à une obligation de confidentialité ( 21 ).
32. L’accent est donc mis sur la rigueur de l’encadrement des fonctions du délégué à la protection des données qui est particulièrement justifiée lorsque ce délégué est désigné par un responsable du traitement qui est son employeur. Dès lors, par l’interdiction énoncée à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, sont garanties les prérogatives dont bénéficie ledit délégué pour l’exercice de ses missions, qui peuvent, dans certains cas, être difficilement conciliables avec
celles qui ont été fixées par l’employeur dans le cadre de la relation de travail.
33. L’analyse selon laquelle cette disposition a pour seul objet d’organiser l’exercice en toute indépendance des fonctions de délégué à la protection des données est corroborée par le contexte dans lequel elle a été prise.
34. À cet égard, il doit être souligné que le règlement 2016/679 a, selon son article 1er, pour objet d’établir les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ainsi que celles relatives à la libre circulation de ces données. Ainsi, il a été adopté sur le fondement de l’article 16, paragraphe 2, TFUE ( 22 ), ce qui conduit à considérer, comme je l’ai déjà exposé dans de précédentes conclusions, que, bien que la protection des
données à caractère personnel soit par nature transversale, l’harmonisation opérée par ce règlement est limitée aux aspects spécifiquement couverts par ledit règlement dans ce domaine ( 23 ).
35. Pour l’ensemble de ces raisons, il ne fait pas de doute, selon moi, que la protection spécifique du délégué à la protection des données, prévue à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, est propre à l’objet de ce règlement, en ce qu’elle vient renforcer l’autonomie de ce délégué. Elle ne s’inscrit donc pas dans le champ plus large de la protection des travailleurs ( 24 ).
36. Par conséquent, se pose à nouveau la question de savoir si, en dehors des aspects spécifiquement couverts par le règlement 2016/679, les États membres restent libres de légiférer, sous réserve qu’ils ne portent pas atteinte au contenu et aux objectifs de ce règlement ( 25 ).
2. Sur la faculté des États membres d’étendre les garanties offertes au délégué à la protection des données par l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679
37. Selon moi, l’objectif du règlement 2016/679 énoncé à son considérant 13, en application duquel le législateur de l’Union garantit l’indépendance du délégué à la protection des données en des termes généraux à l’article 38, paragraphe 3, deuxième phrase, de ce règlement ( 26 ), justifie que toute autre mesure visant à renforcer l’autonomie de ce délégué dans l’exercice de ses missions doit pouvoir être prise par un État membre.
38. Cette analyse n’est pas en contradiction avec les effets d’un règlement, tels qu’ils sont définis à l’article 288, deuxième alinéa, TFUE, ni avec l’obligation subséquente pour les États membres de ne pas déroger à un règlement obligatoire dans tous ses éléments et directement applicable ou de le compléter, à moins que des dispositions de ce règlement reconnaissent aux États membres une marge de manœuvre qui doit ou peut, selon les cas, être utilisée par ces derniers dans les conditions et les
limites prévues par ces dispositions ( 27 ).
39. Par conséquent, je réitère mon avis selon lequel l’étendue de l’harmonisation opérée par le règlement 2016/679 varie selon les dispositions considérées. La détermination de la portée normative de ce règlement requiert donc un examen au cas par cas ( 28 ).
40. À cet égard, je note que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 traite du relèvement des fonctions du délégué à la protection des données en ce qu’il est lié uniquement à l’exercice de ses missions, lequel est présumé correct ( 29 ), sous forme d’interdiction, sans introduire un degré de gravité du motif invoqué ou envisager les divers aspects du lien de subordination avec son employeur susceptibles d’avoir un effet sur sa désignation. Ainsi, n’ont pas été envisagés,
par exemple, la durée du contrat de travail, ou le motif personnel ou économique de la rupture de celui-ci, qui peut le cas échéant être négociée, ou encore la suspension de la relation de travail pour cause de maladie, de formation, de congés annuels ou de longue durée.
41. Par ailleurs, l’intention du législateur de l’Union de laisser le soin aux États membres de compléter les dispositions protectrices de l’indépendance du délégué à la protection des données sur la base d’un cadre législatif minimal relatif à l’exercice des missions de celui-ci, défini selon les objectifs du règlement 2016/679, se manifeste également par l’absence de prescription relative à la durée du mandat de ce délégué – contrairement à ce que prévoit l’article 44, paragraphe 8, première
phrase, du règlement 2018/1725 – ( 30 ) ou relative au cas, comme en l’espèce, de réorganisation d’une entreprise ayant pour effet d’externaliser les fonctions de délégué à la protection des données pour des raisons sans lien avec l’accomplissement de sa mission.
42. Par conséquent, les États membres peuvent décider de renforcer l’indépendance du délégué à la protection des données, en ce qu’il participe à la mise en œuvre des objectifs du règlement 2016/679, plus spécialement en matière de licenciement, dès lors qu’il n’existe aucune disposition en droit de l’Union susceptible de servir de fondement à une protection spéciale et concrète de celui-ci contre le licenciement pour un motif indépendant de l’exercice de ses missions, alors que la rupture de la
relation de travail a nécessairement pour effet de mettre fin à celles‑ci.
43. À cet égard, il y a lieu de rappeler que, dans le domaine de la protection des travailleurs, en cas de résiliation du contrat de travail, l’article 153, paragraphe 1, sous d), TFUE, précise que l’Union soutient et complète l’action des États membres, et que, plus généralement, dans le domaine de la politique sociale, l’Union et les États membres disposent, en vertu de l’article 4, paragraphe 2, sous b), TFUE, pour les aspects définis dans le traité FUE, d’une compétence partagée, au sens de
l’article 2, paragraphe 2, TFUE.
44. Dans ces conditions, chaque État membre est libre de prévoir des dispositions particulières en matière de licenciement du délégué à la protection des données, pourvu que ces dispositions soient compatibles avec le régime protecteur de celui-ci prévu par le règlement 2016/679 ( 31 ).
45. Ainsi qu’il résulte de l’examen succinct de la réglementation des États membres que j’ai pu consulter ( 32 ), la plupart d’entre eux n’ont pas pris de dispositions particulières relatives au licenciement, en se limitant à l’interdiction énoncée à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679, directement applicable ( 33 ).
46. Cependant, d’autres États membres ont fait le choix de compléter cet article ( 34 ).
47. À cet égard, je note que le groupe de travail « Article 29 » a considéré que, « [d]ans le cadre d’une gestion normale, et comme c’est le cas pour tout autre employé ou sous-traitant conformément au droit des contrats ou au droit du travail et au droit pénal applicables au niveau national, et selon les conditions qui y sont fixées, un [délégué à la protection des données] pourra toujours être licencié légitimement pour des motifs autres que l’exercice de ses missions de [délégué à la protection
des données] (par exemple, en cas de vol, de harcèlement physique, moral ou sexuel ou d’autres fautes graves similaires) » ( 35 ).
48. Quel que soit le choix des États membres, l’organe administratif ou juridictionnel dans chacun d’eux chargé de contrôler la légalité du motif de relèvement des fonctions du délégué à la protection des données contribue également, à mon sens, à garantir l’indépendance de ce délégué.
49. En effet, dès lors qu’il est hautement probable que le lien avec l’exercice satisfaisant des missions du délégué à la protection des données ne résultera pas expressément de la décision de le relever de ses fonctions ( 36 ), une protection générale tirée de la seule qualité de délégué à la protection des données est concevable. En l’occurrence, il résulte des explications de la juridiction de renvoi que c’est la notion de « motif grave », telle qu’elle est interprétée en droit allemand, qui
conduit à considérer, par souci de protection supplémentaire, qu’il ne peut être mis fin aux fonctions du délégué à la protection des données en cas de restructuration ( 37 ). Dans le même sens, il pourrait d’ailleurs être considéré que, en cas de difficultés économiques de l’entreprise qui a l’obligation de désigner un délégué à la protection des données et a choisi à cette fin l’un de ses salariés, les missions de celui-ci devraient, en raison de l’objectif du règlement 2016/679 et de la
contribution d’un tel délégué à la satisfaction de celui-ci, continuer à être exercées tant que l’activité de l’employeur perdure.
50. Cependant, l’interdiction énoncée à l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 a nécessairement des limites en cas de dysfonctionnements objectifs dans l’exercice des missions du délégué à la protection des données eu égard à ses obligations. Ces limites doivent être fixées en conformité avec l’objectif poursuivi par ce règlement ( 38 ).
51. Ainsi, une interprétation tout aussi conforme à l’objectif du règlement 2016/679 doit conduire, selon moi, à admettre qu’un délégué à la protection des données puisse être relevé de ses fonctions lorsqu’il ne répond plus aux critères qualitatifs nécessaires à l’exercice de ses missions, tels que ceux énoncés à l’article 37, paragraphe 5, de ce règlement, ou ne satisfait pas aux obligations fixées à l’article 38, paragraphe 3, première et troisième phrases, ainsi que paragraphes 5 et 6, dudit
règlement ( 39 ) ou encore lorsque son niveau d’expertise s’avère insuffisant ( 40 ).
52. Par conséquent, je suis d’avis que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui prévoit que l’employeur d’un délégué à la protection des données ne peut le licencier que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.
53. Si toutefois la Cour ne partageait pas cet avis et décidait de répondre par l’affirmative à la première question de la juridiction de renvoi, il y aurait lieu de répondre aux deux autres questions préjudicielles.
B. Sur la deuxième question préjudicielle
54. Par sa deuxième question, la juridiction de renvoi souhaite savoir si l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 s’oppose à une réglementation nationale qui déclare illégal le licenciement du délégué à la protection des données par son employeur en l’absence de motif grave, même si ce licenciement n’est pas lié à l’exercice de ses missions, lorsque la désignation du délégué à la protection des données est obligatoire non pas en vertu de l’article 37, paragraphe 1, de ce
règlement, mais uniquement en vertu du droit national, tel que le prévoit l’article 37, paragraphe 4, dudit règlement.
55. J’observe que ni l’article 38, paragraphe 3, du règlement 2016/679 ni les autres dispositions de la section 4 de ce règlement, relative au délégué à la protection des données, n’opèrent de distinction selon que la désignation de ce délégué est obligatoire ou facultative.
56. Par conséquent, je suis d’avis de répondre à la juridiction de renvoi que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 s’applique sans qu’il y ait lieu de distinguer selon que le délégué à la protection des données est obligatoirement désigné en vertu du droit de l’Union ou en vertu du droit national.
C. Sur la troisième question préjudicielle
57. Par sa troisième question, la juridiction de renvoi s’interroge sur la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 et, en particulier, sur la question de savoir si cette disposition repose sur une base juridique suffisante, notamment en ce qu’elle vise des délégués à la protection des données qui sont liés au responsable du traitement par un contrat de travail.
58. Je propose à la Cour de considérer que l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 repose sur une base juridique suffisante, en ce qu’il a uniquement pour objet de prémunir le délégué à la protection des données contre toute entrave dans l’accomplissement de ses missions et que cette garantie, sans considération de l’existence d’une relation de travail, contribue à la réalisation effective des objectifs de ce règlement.
59. En effet, d’une part, ainsi que je l’ai exposé dans le cadre de l’analyse de la première question préjudicielle ( 41 ), l’article 16 TFUE constitue la base juridique sur laquelle est fondé ledit règlement. En outre, la Cour a jugé que cet article constitue, sans préjudice de l’article 39 TUE, une base juridique appropriée lorsque la protection des données à caractère personnel est l’une des finalités ou des composantes essentielles des règles adoptées par le législateur de l’Union ( 42 ).
60. D’autre part, l’une de ces conditions est, à mon sens, pleinement satisfaite s’agissant du rôle du délégué à la protection des données et de son encadrement, tels que définis par le règlement 2016/679. La garantie de l’indépendance fonctionnelle de ce délégué, qui vise à satisfaire à l’exigence d’assurer, à un niveau élevé, le respect des droits fondamentaux des personnes concernées par le traitement des données à caractère personnel ( 43 ), s’est traduite, à l’article 38, paragraphe 3, deuxième
phrase, de ce règlement, par l’énoncé d’une interdiction de mettre fin à ses fonctions pour des raisons inhérentes à ses missions. Dès lors que cette disposition n’impose pas une quelconque harmonisation en droit du travail, le législateur de l’Union n’a pas outrepassé les pouvoirs normatifs qui lui ont été conférés à l’article 16, paragraphe 2, TFUE.
61. S’agissant du respect des principes de subsidiarité et de proportionnalité, sur lequel la juridiction de renvoi s’interroge également, je relève, premièrement, que l’intensification des traitements transfrontaliers des données à caractère personnel justifie que la protection de celles-ci au regard des droits fondamentaux soit mise en œuvre au niveau de l’Union ( 44 ), en garantissant notamment les prérogatives du délégué à la protection des données considéré comme étant un « acteur clé » de
cette protection ( 45 ). Deuxièmement, l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 ne me paraît pas aller au-delà de ce qui est nécessaire pour garantir l’indépendance fonctionnelle de ce délégué. Certes, la garantie de ne pas être relevé de ses fonctions, prévue à cette disposition, a nécessairement une incidence sur la relation de travail. Cependant, cette incidence ne vise qu’à préserver l’effet utile de la fonction du délégué à la protection des données.
62. Par conséquent, je suis d’avis de répondre à la juridiction de renvoi que l’examen de la troisième question préjudicielle n’a révélé aucun élément de nature à affecter la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679.
V. Conclusion
63. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) de la manière suivante :
À titre principal :
– L’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui prévoit que l’employeur d’un délégué à la
protection des données ne peut le licencier que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.
À titre subsidiaire, dans l’hypothèse où la Cour répondrait à la première question préjudicielle par l’affirmative :
– L’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 s’applique sans qu’il y ait lieu de distinguer selon que le délégué à la protection des données est obligatoirement désigné en vertu du droit de l’Union ou en vertu du droit national.
– L’examen de la troisième question préjudicielle n’a révélé aucun élément de nature à affecter la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : le français.
( 2 ) JO 2016, L 119, p. 1, tel que rectifié par le JO 2018 L 127, p. 2.
( 3 ) BGBl. 1990 I, p. 2954.
( 4 ) BGBl. 2017 I, p. 2097, ci-après le « BDSG ».
( 5 ) À l’article 38, paragraphe 1, première phrase, du BDSG, dans sa version en vigueur depuis le 26 novembre 2019, le nombre des employés a été porté à « 20 ».
( 6 ) BGBl. 2002 I, p. 42, rectifié p. 2909, et BGBl. 2003 I, p. 738.
( 7 ) La juridiction de renvoi a ajouté que, selon sa jurisprudence, le fait que, en raison d’un changement organisationnel, la protection des données au sein de l’entreprise sera assurée, à l’avenir, par un délégué externe à la protection des données ne constitue pas un motif grave de révocation [voir arrêt du Bundesarbeitsgericht (Cour fédérale du travail) 10 AZR 562/09, du 23 mars 2011, point 18, disponible à l’adresse Internet suivante :
https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/].
( 8 ) Article 37 de ce règlement.
( 9 ) Article 38 dudit règlement.
( 10 ) Article 39 du même règlement.
( 11 ) Voir, notamment, arrêt du 12 mai 2021, Bundesrepublik Deutschland (Notice rouge d’Interpol) (C‑505/19, EU:C:2021:376, point 77).
( 12 ) Italique ajouté par mes soins.
( 13 ) À cet égard, dans le document intitulé « Lignes directrices concernant les délégués à la protection des données (DPD) » (ci-après les « lignes directrices sur les DPD »), adoptées le 13 décembre 2016 et révisées le 5 avril 2017, disponibles à l’adresse Internet suivante : https://ec.europa.eu/newsroom/article29/items/612048/en, le groupe de travail sur la protection des personnes à l’égard du traitement des données à caractère personnel, institué par l’article 29 de la directive 95/46/CE du
Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 13) (ci-après le « groupe de travail “Article 29” ») a précisé que « [l]es sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes. Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière
ou du refus de l’octroi d’avantages dont bénéficient d’autres travailleurs. Il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le [délégué à la protection des données] pour des motifs liés à ses activités de [délégué à la protection des données] » (p. 18 et 19). Depuis l’entrée en vigueur du règlement 2016/679, ce groupe de travail a été remplacé par le Comité européen de la protection des données
(CEPD). Celui-ci a approuvé les lignes directrices sur les DPD au cours de sa première assemblée plénière, le 25 mai 2018 (voir https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).
( 14 ) Ainsi que le souligne LH, outre la version en langue allemande de l’article 38, paragraphe 3, deuxième phrase, du règlement 2016/679 (« abberufen »), des versions linguistiques, telles que celles en langues espagnole (« destituido »), française (« relevé ») ou portugaise (« destituído »), indiquent clairement que ce règlement traite du fait de mettre un terme à la fonction du délégué à la protection des données et non pas de la « relation de travail » (« kündigen » en langue allemande). Voir,
également, versions en langues anglaise (« dismissed »), italienne (« rimosso »), polonaise (« odwoływany ») et roumaine « demis ».
( 15 ) Voir note de la présidence du Conseil de l’Union européenne, du 3 octobre 2014, relative à la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) [première lecture] – Chapitre IV, disponible à l’adresse Internet suivante :
https://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/fr/pdf, concernant l’ajout, à l’article 36, paragraphe 3, de cette proposition, du fait que le délégué à la protection des données ne saurait être pénalisé pour l’accomplissement de ses missions (p. 34). Voir, également, position du Conseil en première lecture en vue de l’adoption du règlement du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation
de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), du 6 avril 2016, disponible à l’adresse Internet suivante : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, adoptant le libellé actuel de l’article 38 du règlement 2016/679.
( 16 ) L’expression « en toute indépendance » figure dans la dernière phrase du considérant 97 du règlement 2016/679.
( 17 ) JO 2018, L 295, p. 39.
( 18 ) Voir article 37, paragraphe 6, du règlement 2016/679.
( 19 ) Voir position du Conseil en première lecture en vue de l’adoption du règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), et abrogeant la directive 95/46/CE – Projet d’exposé des motifs du Conseil, du 31 mars 2016, disponible à l’adresse Internet suivante :
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (p. 22). S’agissant du rôle majeur du délégué à la protection des données dans l’application du règlement 2016/679, voir considérant 97 de ce règlement, ainsi que ses missions définies à l’article 39 dudit règlement. À cet égard, le groupe de travail « Article 29 » a rappelé, dans les lignes directrices sur les DPD, que, avant l’adoption du règlement 2016/679, il avait fait valoir que le délégué à la
protection des données était « l’une des pierres angulaires du régime de responsabilité et que la désignation d’un [délégué à la protection des données] pouvait faciliter le respect des règles » (p. 5). Ce groupe de travail a également relevé que ce règlement reconnaît le délégué à la protection des données « en tant qu’acteur clé dans le nouveau système de gouvernance des données » (p. 6). Voir, à titre d’illustration des besoins d’informations du responsable du traitement ou de son sous-traitant
auxquels le délégué à la protection des données devrait répondre, arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 134).
( 20 ) Voir article 38, paragraphe 3, première et troisième phrases, du règlement 2016/679.
( 21 ) Voir article 38, paragraphe 5, du règlement 2016/679.
( 22 ) Voir préambule et considérant 12 du règlement 2016/679, ainsi que arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, point 44).
( 23 ) Voir mes conclusions dans l’affaire Facebook Ireland (C‑319/20, EU:C:2021:979, point 51).
( 24 ) Dans ce contexte, je suis d’avis qu’il ne peut être tiré argument des dispositions de l’article 88, paragraphe 1, dudit règlement pour considérer qu’elles constituent une clause d’ouverture.
( 25 ) Voir mes conclusions dans l’affaire Facebook Ireland (C‑319/20, EU:C:2021:979, point 51).
( 26 ) Voir point 31 des présentes conclusions.
( 27 ) Voir, notamment, s’agissant du règlement 2016/679, mes conclusions dans l’affaire Facebook Ireland (C‑319/20, EU:C:2021:979, point 52).
( 28 ) Voir mes conclusions dans l’affaire Facebook Ireland (C‑319/20, EU:C:2021:979, point 52). En outre, au point 55 de celles-ci, j’ai déjà appelé l’attention de la Cour sur le fait que le règlement 2016/679 contient de nombreuses clauses d’ouverture par lesquelles il transfère explicitement la compétence normative aux États membres, ce qui permet de le distinguer d’un règlement classique et le rapproche d’une directive.
( 29 ) À cet égard, ainsi que le souligne Bielak-Jomaa, E., « Artykuł 38. Status inspektora ochrony danych », dans Bielak-Jomaa, E., et Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varsovie, 2018, p. 794 à 806, en particulier point 5, quatrième paragraphe, le groupe de travail « Article 29 » n’a indiqué aucun critère qui serait utile pour déterminer l’exécution correcte ou incorrecte des tâches du délégué à la protection des données. De même, Foret, O., « Le
rôle du DPO », dans Bensamoun, A., et Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, p. 233 à 239, en particulier p. 235 et 236, relève que « le CEPD précise dans ses lignes directrices que [...] “le niveau d’expertise requis [pour être désigné délégué à la protection des données] n’est pas strictement défini, [mais] il doit [...] être proportionné à la sensibilité, à la complexité et au volume des données traitées
par un organisme” » [voir lignes directrices sur les DPD (p. 13)]. Voir, également, p. 14 de ces lignes directrices. Voir, en outre, points 50 et 51 des présentes conclusions.
( 30 ) Voir Bergt, M., « Art 38. Stellung des Datenschutzbeauftragten », dans Kühling, J., et Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3e éd., C. H. Beck, Munich, 2020, en particulier point 29. Cet auteur souligne que « [c]ontrairement aux projets de la Commission et du Parlement, l’article 38 ne prévoit pas de durée minimale de mandat pour laquelle le délégué à la protection des données doit être désigné » (traduction libre).
( 31 ) Voir points 31 et 32 des présentes conclusions. Il peut être ajouté que le législateur de l’Union a délibérément pris cette option en ne retenant pas la proposition du Comité économique et social européen, dans le cadre des travaux législatifs relatifs au règlement 2016/679, visant à ce que soient mieux précisées « les conditions liées à [la] fonction [de délégué à la protection des données], notamment la protection contre les licenciements qui doit être clairement définie et s’étendre
au-delà de la période pendant laquelle la personne concernée aura assumé cette fonction » : voir point 4.11.1 de l’avis du Comité économique et social européen sur la « Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) » (JO 2012, C 229, p. 90).
( 32 ) Voir, notamment, informations disponibles aux adresses Internet suivantes : https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= et https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.
( 33 ) C’est le cas du Royaume de Danemark, de l’Irlande, de la République de Croatie, de la République italienne, de la République de Chypre, de la République de Malte, du Royaume des Pays-Bas, de la République d’Autriche, de la République de Pologne, de la République portugaise, de la Roumanie et de la République de Finlande. Dans les Républiques de Croatie, de Malte et de Pologne, comme en République de Bulgarie, la révocation ou le changement du délégué doit être communiqué à l’autorité
nationale pour la protection des données à caractère personnel. Dans certains États membres, comme la République française et le Grand‑Duché de Luxembourg, il a été précisé que le délégué à la protection des données ne bénéficie pas du statut de salarié protégé qui offrirait une garantie supplémentaire à celle prévue par le règlement 2016/679.
( 34 ) Voir, dans la loi belge, article 6, troisième alinéa, de l’arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015 (Moniteur belge du 28 décembre 2015, p. 79268), antérieur à l’entrée en vigueur du règlement 2016/679, aux termes duquel « [l]’employeur ou l’autorité compétente ne peut rompre le contrat du conseiller, mettre fin à l’occupation statutaire du conseiller ou l’écarter
de sa fonction que pour des motifs qui sont étrangers à son indépendance ou pour des motifs qui démontrent qu’il est incompétent à exercer ses missions ». Italique ajouté par mes soins. Voir, également, dans la loi espagnole, article 36, paragraphe 2, de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (loi organique no 3/2018 relative à la protection des données à caractère personnel et à la garantie des droits numériques), du 5 décembre 2018 (BOE
no 294, du 6 décembre 2018, p. 119788), selon lequel « [l]orsque le délégué à la protection des données est une personne physique au sein de l’organisation du responsable du traitement ou du sous-traitant, il ne peut être ni révoqué ni sanctionné par le responsable du traitement ou par le sous-traitant au titre de l’exercice de ses fonctions, sauf en cas de faute intentionnelle ou de négligence grave lors de l’exercice de celles-ci ». Italique ajouté par mes soins.
( 35 ) Voir lignes directrices sur les DPD (p. 19). Italique ajouté par mes soins.
( 36 ) Voir, en ce sens, Fajgielski, P., « Artykuł 38. Status inspektora ochrony danych », Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varsovie, 2018, p. 430 à 437, en particulier point 5, cinquième paragraphe. Voir, également, Kremer, S., « § 6 Datenschutzbeauftragter », dans Laue, P., Nink, J., et Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2e éd., Nomos, Baden-Baden, 2019, en particulier point 36, et Bergt, M.,
« Art 38. Stellung des Datenschutzbeauftragten », op. cit., en particulier point 30, ainsi que Bussche, A., « Art. 38 DSGVO », dans Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3e éd., Otto Schmidt, Cologne, 2018, en particulier point 19.
( 37 ) Voir note en bas de page 7 des présentes conclusions.
( 38 ) Voir points 31, 60 et 61 des présentes conclusions.
( 39 ) Voir point 31 des présentes conclusions. Voir, également, affaires X-FAB Dresden (C-453/21) et KISA (C-560/21), actuellement pendantes, dans lesquelles la Cour est saisie par deux chambres différentes du Bundesarbeitsgericht (Cour fédérale du travail) qui ont posé les mêmes questions préjudicielles, mais dans des cas de relèvement des fonctions pour cause de conflits d’intérêts. Dans la première de ces affaires, une question supplémentaire porte sur les critères d’un tel conflit.
( 40 ) Voir, en ce sens, Kremer, S., « § 6 Datenschutzbeauftragter », op. cit., en particulier point 35, ainsi que Bussche, A., « Art. 38 DSGVO », op. cit., en particulier point 17.
( 41 ) Voir point 34 des présentes conclusions.
( 42 ) Avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017 (EU:C:2017:592, point 96).
( 43 ) Voir arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, points 44, 45 et 91).
( 44 ) Voir, en ce sens, arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, point 45 et, par analogie, point 47)
( 45 ) Voir note en bas de page 19, quatrième phrase, des présentes conclusions.