Une réponse ministérielle n°02896 en date du 7 février 2019 précise qu’il est interdit de sanctionner un salarié délégué à la protection des données en raison de l’exercice de ses fonctions. Toutefois, l’intéressé ne bénéficie pas pour autant du statut protecteur conféré aux élus du personnel ou aux représentants syndicaux.

La désignation d’un délégué à la protection des données (DPD) n’est obligatoire que dans certains cas mais fortement encouragée par le Comité européen de la protection des données qui considère que ce délégué est un acteur clé dans le nouveau système de gouvernance des données personnelles.

Le ministère du travail a rappelé qu’en application du Règlement n°2016/679 du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant en raison de l’exercice de ses missions. Selon les recommandations émises au niveau européen, cette protection interdit les sanctions directes comme indirectes : absence de promotion, retard dans la promotion, freins à l’avancement de carrière dont bénéficient d’autres salariés. En effet, la violation de l’article 38 du RGPD relatif à la fonction du DPD et à sa protection est susceptible de donner lieu à une amende administrative pouvant s’élever jusqu’à 10.000.000 d’euros ou, pour les entreprises, jusqu’à 2% du chiffre d’affaires.

Cependant, tout en rappelant la protection ainsi octroyée au DPD, le ministère du Travail précise que « le législateur n’a pas entendu conférer au délégué à la protection des données le statut de salarié protégé au sens du droit du travail ». En conséquence, le DPD peut être sanctionné ou licencié pour des motifs non liés à ses missions, selon la procédure classique s’appliquant à tout salarié et sans qu’il soit nécessaire de solliciter une autorisation administrative.