À l’heure à laquelle je vous partage cette information, elle est si fraîche qu’elle n’est même pas encore officielle. En effet, l’information provient d’un « leak » d’un document partiel de service juridique. Ce « leak » prétend que la Cour allemande, dans l’affaire C-453/21, ait demandé à la Cour de justice de l’Union européenne (UE), par un renvoi préjudiciel signifié le 29 septembre 2021, de juger de la validité partielle du Règlement (UE) 2016/679 du parlement européen et du conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ou RGPD) en ce qui a trait à son article 38, paragraphe 3.
La Cour fédérale du travail en Allemagne, la neuvième chambre du Bundersarbeitsgericht, a suspendu l’affaire C-453/21 opposant « X-FAB Dresden GmbH & Co. KG » à « FC » en attendant une révision suivant la réponse de la Cour de Justice de l’UE. Cette affaire porte sur la validité de la résiliation sans préavis de « FC », délégué à la protection des données de son employeur, la demanderesse. La demanderesse, « X-FAB » prétend que la défenderesse est en conflit d’intérêt par ses rôles simultanés de délégué à la protection des données et de président du comité d’entreprise du responsable du traitement. Ce conflit d’intérêts représenterait alors un motif grave, passable de résiliation sans préavis. La défenderesse soutient n’avoir pas été adéquatement notifiée de sa résiliation par son employeur et avoir alors été résiliée injustement, prétendant n’être en aucun conflit d’intérêts.
On est face ici à une situation particulière puisque le rôle de délégué à la protection des données, reconnu dans la section 4, articles 37 à 39 du RGPD, est un poste créé par ce règlement européen qui en légifère sa désignation, sa fonction et ses missions. Le problème se trouve alors à l’article 38, paragraphe 3, lequel interdit la résiliation du délégué à la protection des données pour l’exercice de ses fonctions.
« Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions » (art. 38, par. 3 RGPD)
Toutefois, comme le soulève le tribunal, cette disposition est beaucoup plus faible en matière de protection du salarié que le sont les dispositions pertinentes du droit allemand. L’article 6 (4) de la « Bundesdatenschutzgesetz », la Loi fédérale sur la protection des données communément appelée « BDSG », ajoute que le délégué ne peut être résilié sans motif grave et que, même après la cessation de ses fonctions, son licenciement est illégal pendant un délai d’un an, l’exception unique étant le motif grave.
L’élément distinctif principal entre les dispositions de l’Union européenne et les dispositions allemandes en matière de résiliation d’un délégué à la protection des données est alors ce critère de « motif grave » qui doit justifier le licenciement, critère qu’on ne retrouve pas dans le RGPD.
Première question préjudicielle
La première question que pose alors le tribunal est de savoir si les dispositions de l’Union peuvent être complémentées par des dispositions nationales. Il faut noter que le GRPD est obligatoire, dans son entièreté, à tous ses états membres en vertu de l’article 288, al. 2 du Traité sur le fonctionnement de l’Union européenne (TFEU) et du dernier article du RGPD, l’article 99, par. 2. L’Allemagne ne peut donc pas déroger à l’article 38, paragraphe 3, sur la résiliation du délégué.
« Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre. » (art. 99, par. 2 RGPD)
Dans l’affirmative que les dispositions nationales puissent être ajoutées aux dispositions de l’Union, le critère de motif grave pourrait alors prévaloir en Allemagne en ce qui a trait à la résiliation de délégué. Or, si ce n’est pas le cas et la Cour de justice EU statue que la disposition 38, paragraphe 3, du RGPD doit être appliquée seule, alors toutes dispositions contraires seront rendues inapplicables de plein droit. Dans un tel cas, l’article 6 (4) BDSG serait rendu inapplicable.
« (…) en vertu du principe de primauté du droit de l’Union, les dispositions des traités et les actes des institutions directement applicables ont pour effet, dans leurs rapports avec le droit interne des États membres, de rendre inapplicable de plein droit » (arrêt Sebat Ince, par. 52)
La question préjudicielle la plus importante!
La troisième question posée par le tribunal (et celle qui justifie la rédaction d’un billet!) est de savoir si l’article 38, paragraphe 3, du RGPD est fondé sur une base juridique suffisante. Le tribunal soulève, avec cette question, la compétence de cette disposition, l’attribuant à une règle matérielle du droit du travail. Or, au paragraphe 32 de l’affaire C-453/21, le tribunal rappelle que l’Union européenne est soumise au principe d’attribution en vertu des articles 2 à 6 du TFEU et de l’article 5, paragraphes 1 et 2, du Traité sur l’Union européenne (TEU). Les matières dont elle n’a pas compétence reviennent aux États membres.
« En vertu du principe d’attribution, l’Union n’agit que dans les limites des compétences que les États membres lui ont attribuées dans les traités pour atteindre les objectifs que ces traités établissent. Toute compétence non attribuée à l’Union dans les traités appartient aux États membres » (art. 5, par. 2 TEU)
L’adoption du RGPD a été faite en vue de l’article 16 de la TFEU cherchant à protéger les données à caractère personnel concernant les individus. Selon le tribunal, il pourrait donc s’en déduire que ce règlement a été adopté dans le même champ de compétence que l’article 16, paragraphe 2, de la TFEU.
« Le libellé de l’article 16, paragraphe 2, première phrase, TFUE est toutefois compris par une partie de la doctrine nationale en ce sens que la compétence législative qui est conférée à l’Union par le traité se limite à la protection des données (…) » (Affaire C-453/21, par. 33)
Au paragraphe 24 de l’affaire C-453/21, le tribunal compare encore une fois l’article 38, paragraphe 3, du RGPD à l’article 6 (4) du BDSG, relevant la similarité de leurs compétences et précisant que l’article 6 (4) BDSG constituait une règle du droit du travail selon le législateur allemand. Toutefois, comme le soulève le tribunal et en vertu de l’article 153 TFEU, l’Union européenne n’a pas de compétence législative en matière de fond du droit du travail et, si l’on reconnaît l’article 38 al. 3 comme étant de compétence de fond du droit du travail, le RGPD serait partiellement invalide faute de compétence.
On pourrait toutefois prétendre que cette mesure découlant de l’article 38, paragraphe 3, est faite au sens de l’article 114 TFEU, soit la compétence à l’Union de rapprocher les législations des États membres qui ont pour objet le marché intérieur. Or cet article (art. 114, par. 2 TFEU) exclut explicitement à son application les dispositions relatives aux droits et intérêts des travailleurs salariés, dont en font partie les délégués à la protection des données.
Le tribunal conclut cet argumentaire aux paragraphes 36 et 37 de l’affaire en soulignant les propos de certaines doctrines moins discrètes remettant en cause la validité du RGPD au motif qu’il enfreint le principe de subsidiarité du droit de l’Union (art 5, par. 3 TEU) et le principe de proportionnalité (art. 5, par. 4 TEU)
« l’Union intervient seulement si, et dans la mesure où, les objectifs de l’action envisagée ne peuvent pas être atteints de manière suffisante par les États membres » (art 5, par. 3 TEU)
« le contenu et la forme de l’action de l’Union n’excèdent pas ce qui est nécessaire pour atteindre les objectifs des traités » (art. 5, par. 4 TEU)
Peut-être verrons-nous un petit changement dans cet univers des traités internationaux suivant l’invalidation partielle de l’article 38, paragraphe 3, du RGPD. Toutefois, je serais plutôt porté à croire que la Cour de justice de l’Union européenne jugerait la disposition comme étant auxiliaire et nécessaire, maintenant le statu quo.
Commentaires