Tribunal du travail francophone de Bruxelles, 17 mai 2024, R.G. 23/853/A

Terra Laboris

Un jugement du tribunal du travail francophone de Bruxelles du 17 mai 2024 rappelle la jurisprudence de la Cour de Justice de l’Union européenne, dans son arrêt LEISTRITZ, qui a précisé l’étendue de la protection en cas de licenciement, celui-ci étant interdit pour un motif tiré de l’exercice des missions du délégué. Le tribunal relève également l’absence de disposition en droit belge prévoyant une indemnité de protection.

Les faits

Un employé au service d’un établissement hospitalier depuis 2018 en qualité de conseiller spécialisé a reçu une lettre contenant une proposition de licenciement, dont la copie lui fut remise en date du 28 avril 2022. Le motif était « un manque de satisfaction quant au travail fourni ».

L’intéressé réagit, faisant notamment valoir qu’il occupait des fonctions de « Data Privacy Officer ».

La décision de licenciement est intervenue quelques semaines plus tard, moyennant le paiement d’une indemnité compensatoire de préavis de 13 semaines.

La demande

Une procédure est introduite devant le tribunal du travail francophone de Bruxelles, procédure contenant deux chefs de demande, étant d’une part une indemnité pour licenciement d’un travailleur protégé (pour laquelle l’équivalent de trois mois de rémunération est postulé) ainsi qu’une indemnité pour licenciement manifestement déraisonnable (le maximum de la fourchette de 17 semaines de rémunération étant réclamé).

La décision du tribunal

Le tribunal se saisit du premier chef de demande, vu les fonctions de Data Privacy Officer exercées par le demandeur.

Il relève en premier lieu que celui-ci se fonde sur le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (RGPD).

Le tribunal examine le mécanisme mis en place par le législateur européen quant à la création de la fonction de délégué à la protection des données, ses missions et sa protection.

La désignation est imposée en son article 37, § 1^er, lorsque le traitement est effectué par une autorité publique ou un organisme public (sauf les juridictions agissant dans le cadre de l’exercice de leurs fonctions juridictionnelles) et lorsque les activités de base du responsable du traitement ou du sous-traitant consistent (i) soit en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes concernées, (ii) soit en un traitement à grande échelle de catégories particulières de données (reprises à l’article 9) et de données à caractère personnel relatives à des condamnations pénales ou des infractions (reprises à l’article 10).

La personne désignée peut être un membre du personnel du responsable du traitement ou d’un sous-traitant, ou un prestataire de services.

Cette désignation intervient sur la base des qualités professionnelles de l’intéressé et celui-ci est soumis au secret professionnel. Il fait directement rapport au niveau le plus élevé de la direction de ce département.

Le tribunal poursuit en rappelant le texte de l’article 39, § 1^er, qui contient les missions du titulaire de cette fonction, celles-ci étant essentiellement relatives au respect du règlement.

Le délégué peut exercer d’autres missions et tâches dans la mesure où celles-ci n’entraînent pas de conflit d’intérêt.

Le tribunal met encore en exergue que ce délégué exerce sa mission en toute indépendance, rappelant qu’en vertu de l’article 38, § 3, du règlement, il doit être veillé à ce qu’il ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Il ne peut par ailleurs être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

Les termes « relevé de ses fonctions ou pénalisé (...) pour l’exercice de ses missions » ont été précisés dans un arrêt de la Cour de Justice du 22 juin 2022 (C.J.U.E., 22 juin 2022, Aff. n° C-534/20 (LEISTRITZ AG c/ LH), EU:C:2022:495), étant qu’il s’agit de protéger le délégué contre toute décision par laquelle il serait mis fin à ses fonctions ou par laquelle il subirait un désavantage ou une mesure constituant une sanction. Des exemples sont donnés par la Cour, ainsi une mesure de licenciement qui mettrait fin non seulement à la relation de travail mais également à la fonction de délégué au sein de l’entreprise concernée.

Le tribunal souligne également un considérant (considérant 25) de l’arrêt de la Cour, selon lequel la disposition en cause (article 38, § 3) fixe une limite, qui consiste à « interdire le licenciement d’un délégué à la protection des données pour un motif tiré de l’exercice de ses missions ». S’agissant d’un règlement et non d’une directive, cette disposition ne régit pas globalement les relations de travail mais laisse chaque État membre libre de prévoir des dispositions particulières plus protectrices en matière de licenciement pour autant que celles-ci soient compatibles avec le droit de l’Union.

L’arrêt LEISTRITZ concerne, précisément, le licenciement pour motif grave d’un délégué à la protection des données, mode de rupture admis par la Cour.

Le tribunal renvoie également ici à un autre arrêt de la Cour de Justice (C.J.U.E., 9 février 2023, Aff. n° C-560/21 (ZS c/ ZWECKVERBAND « KOMMUNALE INFORMATIONSVERARBEITUNG SACHSEN » KISA, KÖRPERSCHAFT DES ÖFFENTLICHEN RECHTS), EU:C:2023:81), qui est également une affaire allemande.

Il relève encore qu’en droit belge la loi du 30 juillet 2018 relative à la protection des données physiques à l’égard des traitements de données à caractère personnel ne contient aucune disposition relative au licenciement d’un délégué.

En l’espèce, le demandeur réclame une indemnité fixée ex aequo et bono à trois mois de rémunération.

La position de l’employeur étant que le délégué n’est pas protégé contre le licenciement (n’étant interdit que le licenciement en représailles de la façon dont il exerce ses missions) et le demandeur ayant été licencié parce qu’il ne répondait plus aux attentes de l’employeur, le tribunal examine les motifs invoqués, qui - pour ce dernier - ne sont pas liés à l’essence même de la fonction mais sont plutôt du domaine de la communication et de la compréhension mutuelle, celui-ci ayant notamment minimisé l’intérêt et le rôle de cette fonction.

Les explications de l’employeur mêlent en réalité les deux fonctions et, celui-ci n’établissant pas que le motif de licenciement ne réside que dans la première, il y a violation de l’interdiction établie à l’article 38, § 3, du RGPD.

Sur la réparation, le tribunal relève que les trois mois postulés sont « des évaluations bien éloignées » des montants forfaitaires prévus par diverses législations, rappelant celles-ci et que cette demande de réparation est raisonnable.

Il en vient à la demande relative à l’indemnité pour licenciement manifestement déraisonnable : il accueille ici les griefs de l’employeur et la rejette.

Intérêt de la décision

La règle instaurée par le RGPD en matière de licenciement est qu’il est interdit de licencier un délégué à la protection des données pour un motif tiré de l’exercice de ses missions.

Aucune disposition ne figure cependant dans le texte européen en ce qui concerne la sanction de l’interdiction de licencier, les États membres ayant toute latitude pour fixer cette sanction et même pour accorder une protection plus étendue.

Deux arrêts ont été rendus par la Cour de Justice sur la question, concernant toutes deux le droit allemand.

Le premier, qui est repris à plusieurs reprises dans le second pour le rappel des principes a jugé que l’article 38, § 3, 2^e phrase, du Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive n° 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement (C.J.U.E., 22 juin 2022, Aff. n° C-534/20 (LEISTRITZ AG c/ LH), EU:C:2022:495).

Le second (relatif à une révocation) a apporté des précisions, relevant notamment que la fixation de règles relatives à la protection contre la révocation d’un DPD employé par un responsable du traitement ou par un sous-traitant ne relève de la protection des personnes physiques à l’égard du traitement des données à caractère personnel que dans la stricte mesure où de telles règles visent à préserver l’indépendance fonctionnelle de ce dernier, conformément à l’article 38, § 3, deuxième phrase, du RGPD. Il contient les mêmes conclusions que le précédent dans son dispositif (C.J.U.E., 9 février 2023, Aff. n° C-560/21 (ZS c/ ZWECKVERBAND « KOMMUNALE INFORMATIONSVERARBEITUNG SACHSEN » KISA, KÖRPERSCHAFT DES ÖFFENTLICHEN RECHTS), EU:C:2023:81)