Une salariée exerçant la fonction de déléguée à la protection des données (DPO) est licenciée et demande l’annulation pour excès de pouvoir de la décision de la CNIL par laquelle sa plainte, relative aux conditions dans lesquelles elle a exercé ses fonctions de déléguée au sein de cette société et à l’exercice de son droit d’accès à ses données personnelles, a été clôturée. La salariée faisait valoir une atteinte au principe d’indépendance du DPO et à l’impossibilité de le sanctionner pour l’exercice de ses missions. En effet, le licenciement reposait sur des défaillances de la salariée dans l’exercice de ses fonctions. La CNIL a notamment estimé que l’exigence de protection de l’indépendance fonctionnelle du délégué à la protection des données ne faisait pas obstacle, par principe, à ce que la société puisse reprocher à la salariée des carences dans l’exercices de ses fonctions ainsi que le non-respect de règles internes à la société, dont il n’est pas allégué qu’elles étaient incompatibles avec l’indépendance fonctionnelle du délégué. Le Conseil d’Etat, qui se prononçait pour la première fois sur l’étendue de la protection du DPO, a validé la position adoptée par la CNIL. L’article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l’entreprise fasse l’objet d’une sanction ou d’un licenciement à raison de règles internes à l’entreprise applicables à tous ses salariés (CE, 21 octobre 2022 n°459254).