Un hôpital a décidé de licencier un travailleur qui combinait les fonctions de Chief Information Security Officer et de Data Protection Officer. Selon l'hôpital, ce travailleur n'exécutait pas correctement son travail. Le travailleur a contesté son licenciement devant le tribunal du travail francophone de Bruxelles. Conformément au RGPD, un DPO ne peut pas être licencié ou sanctionné en raison de l’exercice de ses fonctions. Bien que la législation belge et le RGPD ne prévoient pas d'indemnité de protection spécifique pour les DPO, le tribunal a tout de même accordé une indemnité égale à trois mois de rémunération. La demande de dommages et intérêts pour licenciement abusif a été rejetée.
Qu'est-ce qu'un DPO ?
La désignation d'un Délégué à la Protection des Données (DPD), mieux connu sous la dénomination anglaise de Data Protection Officer (DPO), est obligatoire pour certaines organisations en vertu du RGPD. En particulier pour les autorités publiques, les organisations qui observent régulièrement et systématiquement des individus à grande échelle et les organisations qui traitent des données sensibles à grande échelle. En dehors de ces obligations générales, il existe parfois des obligations légales spécifiques de désigner un DPO. C'est par exemple le cas pour les entreprises et les services internes qui effectuent des enquêtes privées.
Le DPO peut être un travailleur ou un prestataire de services indépendant. Le DPO a généralement pour mission de fournir des informations et des conseils sur la protection des données, de veiller au respect du RGPD et de servir de point de contact pour les personnes concernées et l'Autorité de Protection des Données.
Un aspect important de sa fonction est que le DPO ne peut être licencié ou sanctionné pour des raisons liées à l'exercice de ses fonctions. Il s’agit de l'une des garanties qui sont prévues pour préserver l'indépendance du DPO.
Contexte factuel
Le travailleur avait été engagé dans le cadre d’un contrat de travail à durée indéterminée pour le poste de "conseiller spécialisé (Chief Information Security Officer/ Data Privacy Officer)" dans un hôpital du secteur public. Bien que l'intitulé de la fonction ne corresponde pas explicitement à celui du RGPD (à savoir Data Protection Officer), il n'est pas contesté dans cette affaire que le travailleur agissait effectivement en tant que DPO au sens du RGPD. Après près de 4 ans d’ancienneté, le travailleur a reçu une proposition de licenciement pour cause d’insatisfaction quant au travail fourni.
Le travailleur a refusé d’y donner suite, indiquant que son licenciement était lié à l'exercice de ses fonctions de DPO.
Quelques semaines plus tard, l'employeur a tout de même procédé au licenciement du travailleur moyennant le paiement d'une indemnité compensatoire de préavis de 13 semaines.
Le travailleur a ensuite introduit une procédure devant le tribunal du travail francophone de Bruxelles. Il réclamait, d'une part, une indemnité pour le licenciement d'un « travailleur protégé », qu’il a calculé ex aequo et bono à 3 mois de rémunération, et, d’autre part, une indemnité supplémentaire équivalente à 17 semaines de rémunération pour licenciement prétendument abusif. Au moment de la procédure, le concept de « licenciement manifestement déraisonnable » n'existait pas encore dans le secteur public. Toutefois, le juge s'est référé à un arrêt de la Cour de cassation (101/2016) pour s'inspirer de la CCT n° 109 dans l'examen de cette demande. Le tribunal précise dans son jugement que la demande porte sur un licenciement abusif.
Dommages et intérêts pour cause de licenciement du DPO
Le tribunal a rappelé que l'employeur supportait la charge de prouver que le licenciement du travailleur était étranger à l'exercice de ses fonctions de DPO.
In casu l'employeur soutenait que le licenciement n'avait rien à voir avec la substance même des tâches du travailleur en tant que DPO, mais était lié à un manque de communication claire et de compréhension mutuelle. En particulier, l'employeur affirmait que le DPO était trop théorique et rigide, ce qui l'empêchait de proposer des plans d'action concrets sur la mise en œuvre pratique de ses recommandations.
Cependant, le tribunal a jugé que l’employeur avait reconnu qu’il attachait plus d’importance à l’exercice de la fonction de CISO et n’avait donc montré qu’un intérêt minimal pour la manière dont le travailleur exerçait sa fonction de DPO. C'est précisément en raison de l'exercice insuffisant de sa fonction de DPO que, selon l'interprétation du tribunal, le travailleur n'aurait pas été en mesure d'exercer correctement sa fonction de CISO.
Le tribunal a également jugé que les fonctions de CISO et de DPO étaient en fait liées et que l'employeur ne pouvait pas prouver que la raison du licenciement était exclusivement liée à l'exercice des fonctions de CISO.
Ni la législation belge, ni le RGPD ne prévoient d'indemnisation pour le DPO en cas de licenciement pour des raisons liées à ses fonctions. Le travailleur a donc calculé cette indemnité ex aequo et bono à 3 mois de rémunération. Se référant à la jurisprudence de la Cour de Justice, le tribunal a jugé que la législation belge était insuffisante à cet égard et a fait référence dans son évaluation à divers autres mécanismes légaux de protection contre le licenciement. Le tribunal a finalement accordé une indemnité équivalente à 3 mois de rémunération, mais en précisant qu'il devait respecter la demande du travailleur. En d’autres termes, le tribunal a suggéré qu’il aurait pu accorder un montant plus élevé si le travailleur l'avait demandé.
Il s’agit de l'une des premières affaires publiées en Belgique pour lesquelles une telle indemnité a été accordée après le licenciement d'un DPO.
Pas de licenciement abusif
En ce qui concerne la demande d’indemnisation pour licenciement abusif, le tribunal a déclaré qu’il incombait au travailleur d’en apporter la charge de la preuve. L'employeur soulignait à cet égard plusieurs problèmes concernant le travail fourni par le travailleur. Par exemple, il n'aurait rendu que dix avis en quatre ans, le registre des activités de traitement (registre des données) n'avait pas été mis à jour après 2019 et le travailleur avait omis d'informer l'employeur de l'existence d'un registre des violations de données personnelles (registre des fuites de données) et n'avait pas correctement rempli ce registre.
Le tribunal a également conclu à cet égard que tout employeur prudent et raisonnable confronté à une telle situation aurait envisagé un licenciement. Par conséquent, le tribunal a estimé qu'il n’était pas question d’un licenciement abusif et a rejeté cette demande.
Point d’attention
Il est essentiel de faire une distinction claire entre les différentes tâches d'un travailleur lorsque celui-ci, en plus de son rôle de DPO, exerce également d'autres fonctions au sein de la même organisation. Il appartient à l'employeur de prouver que le licenciement n’est pas en lien avec l'exercice des fonctions de DPO. Dans le cas contraire, il risque une condamnation à des dommages et intérêts.
N'hésitez pas à contacter notre équipe Data & Privacy si vous avez des questions à ce sujet.
