De nouveaux référents font leur entrée dans l'entreprise

Avril 2019

 

La loi « pour la liberté de choisir son avenir professionnel » du 5 septembre 2018 rend obligatoire, sous certaines conditions d’effectif, la désignation de référents. Muriel Besnard, Juriste au sein des équipes du Pôle Veille d’ADP, fait le point sur ces nouveaux référents et revient sur le délégué à la protection des données introduit par le RGPD.

 

Après la désignation du délégué à la protection des données rendue obligatoire par le règlement européen, la loi « pour la liberté de choisir son avenir professionnel »[1] met en place de nouveaux référents :

Un référent chargé d’orienter, d’informer et d’accompagner les personnes en situation de handicap[2],
Un référent en matière de lutte contre le harcèlement sexuel et les agissements sexistes[3],
Au sein du CSE, également un référent en matière de lutte contre le harcèlement sexuel et les agissements sexistes[4].

Dans certains cas, la désignation de ces référents est une obligation pour l’employeur. A l’inverse, si l’employeur n’est pas contraint de les désigner, il peut être encouragé à le faire. Je vous propose un tour d’horizon sur ces référents dans l’entreprise.

Le délégué à la protection des données[5]

La désignation d'un délégué à la protection des données (ou DPO) est obligatoire pour :

Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics).
Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d'assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d'accès internet.
Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale) ou relatives à des condamnations pénales et infractions.


En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par la Cnil. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

 

Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé. Par exemple si l’entreprise fait partie d’un groupe, elle peut désigner un DPO unique pour toutes les entités du groupe. Cette possibilité n’est pas ouverte aux autorités ou organismes publics. La mutualisation de la fonction permet ainsi de lisser les coûts sur plusieurs sociétés.

Le DPO doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle. D’ailleurs son identité et ses coordonnées doivent être communiquées à l’autorité de contrôle (en France, la Cnil).

Quelle différence entre le CIL et le délégué ?

Le délégué à la protection des données est le successeur naturel du correspondant informatique et liberté (CIL). Leurs statuts sont similaires.

Toutefois, le règlement précise les exigences portant sur le délégué s’agissant de ses qualifications (qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données) et de sa formation continue (entretien de ses connaissances spécialisées).

Ses prérogatives et missions sont renforcées, s’agissant en particulier de son rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

Par ailleurs, les organismes doivent fournir à leur délégué les ressources nécessaires à ses missions (notamment l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données, lui donner accès aux données ou encore lui permettre de se former).

Enfin, contrairement au CIL dont la désignation est facultative, celle du délégué est obligatoire dans certains cas (voir ci-dessus).

Qui peut être délégué ?

Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions »[6].

La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :

l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »). 
une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre.
une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
un positionnement efficace en interne pour être en capacité de faire directement un rapport au niveau le plus élevé de l’organisme et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).

Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).

Quelle est la responsabilité du DPO ?

La responsabilité du délégué est similaire à celle du CIL. Les lignes directrices du G29 précisent que le délégué n’est pas responsable en cas de de non-respect du règlement. Ce dernier établit clairement que c’est le responsable du traitement (RT) ou le sous-traitant (ST) qui est tenu de s’assurer et d'être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24.1 du règlement). Le respect de la protection des données relève donc de la responsabilité du RT ou du ST.

Il n’est pas possible de transférer au Délégué, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant. En effet, cela reviendrait à conférer au Délégué un pouvoir décisionnel sur la finalité et les moyens du traitement ce qui serait constitutif d’un conflit d’intérêts contraire à l’article 38.6 du règlement européen.
 

Quelle protection pour le DPO ?

Le délégué doit agir d’une manière indépendante et bénéficier d’une protection suffisante dans l’exercice de ses missions. Le règlement prévoit ainsi que le délégué ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

Les sanctions ne sont pas possibles si elles sont imposées en raison de l’exercice par le délégué de sa fonction. A titre d’exemple, si un délégué estime qu’un traitement est susceptible d’engendrer un risque élevé et conseille au responsable de traitement de procéder à une analyse d’impact, et si le responsable de traitement n’est pas d’accord avec l’analyse du délégué, ce dernier ne peut être relevé de sa fonction pour avoir formulé ce conseil.

Les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes. Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière ou du refus de l’octroi d’avantages dont bénéficient d’autres employés. Il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le délégué pour des motifs liés à ses activités en tant que délégué.

A noter toutefois que le délégué n’est pas un salarié protégé au sens du code du travail français. Dès lors, il pourrait être licencié légitimement, comme tout autre employé, pour des motifs autres que l’exercice de ses missions de délégué (par exemple, en cas de vol, de harcèlement physique, moral ou sexuel ou fautes graves similaires). 

Où le délégué doit-il être localisé ?

Afin de permettre que le délégué soit joignable, il est recommandé qu’il soit localisé dans un Etat membre de l’Union européenne.

Toutefois, dans certaines situations où l’organisme n’a pas d’établissement dans l’Union européenne, un délégué peut être en mesure d’exercer ses missions plus efficacement s’il est localisé en dehors de l’Union européenne. 

Quelles sont les missions du DPO ?

Le délégué à la protection des données est principalement chargé :

d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
de contrôler le respect du règlement et du droit national en matière de protection des données ;
de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;
de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci. L’obligation de confidentialité ou de secret professionnel du délégué ne doit pas l’empêcher de demander conseil à l’autorité sur tout sujet, si nécessaire. 

Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Les lignes directrices détaillent le rôle du délégué en matière de contrôle, d’analyse d’impact et de tenue du registre des activités de traitement.

Elles indiquent que le délégué n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.

 

Quels sont les moyens d’action du DPO ?

Le délégué doit bénéficier du soutien de l’organisme qui le désigne.

L’organisme devra en particulier :

s’assurer de son implication dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation)
lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe)
lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions)
lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme)
veiller à l’absence de conflit d’intérêts.

 

Les lignes directrices fournissent des exemples concrets et opérationnels des ressources nécessaires à adapter selon la taille, la structure et l’activité de l’organisme. S'agissant du conflit d'intérêts, le délégué ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (ne pas être juge et partie). L’existence d’un conflit d’intérêt est appréciée au cas par cas. Les lignes directrices indiquent les fonctions qui, en règle générale, sont susceptibles de conduire à une situation de conflit d’intérêts.

Comment désigner un DPO ?

La désignation du délégué à la protection des données peut désormais se faire en ligne[7] : https://www.cnil.fr/designation-dpo

Sa désignation prendra officiellement effet le lendemain de sa désignation en ligne.

 

 

Le référent handicap

Dans toute entreprise employant au moins deux 250 salariés, est désigné un référent[8] chargé d’orienter, d’informer et d’accompagner les personnes en situation de handicap.

Cette nouvelle obligation est entrée en vigueur le 7 septembre 2018.

Cet accompagnement concerne notamment les droits et interlocuteurs privilégiés des personnes handicapées. Les référents pourront être désignés au sein du service des ressources humaines des entreprises concernées[9].

Le référent harcèlement

Depuis le 1er janvier 2019, les entreprises d’au moins 250 salariés doivent désigner un référent en matière de lutte contre le harcèlement sexuel et les agissements sexistes[10]. Ce référent est chargé d’orienter, d’informer et d’accompagner les salariés en matière de lutte contre le harcèlement sexuel et les agissements sexistes.

De plus, quel que soit l’effectif de l’entreprise, le CSE (Comité social et économique) doit lui aussi, depuis le 1er janvier 2019, désigner parmi ses membres un référent[11]. Cette désignation obligatoire est faite en réunion par l‘adoption d’une résolution à la majorité des membres présents et vaut pour la durée du mandat de l’élu désigné.

Le référent du CSE bénéficie, comme les autres membres de la délégation, de la formation en matière de santé, de sécurité et de conditions de travail[12].

Enfin, les coordonnées du référent entreprise et du référent CSE doivent être portées à la connaissance des salariés par tout moyen dans les lieux de travail ainsi que  dans les locaux ou à la porte des locaux où se fait l’embauche[13].

 

[1] Loi n° 2018-771 du 5 septembre 2018 pour la liberté de choisir son avenir professionnel

[2] Article L. 5213-6-1 du Code du travail

[3] Article L. 1153-5-1 du Code du travail

[4] Article L. 2314-1 du Code du travail

[5] https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

[6] Article 37.5 du RGPD

[7]  https://www.cnil.fr/fr/designation-dpo

[8] Article L. 5213-6-1 du Code du travail

[9] Exposé des motifs de la loi 2018-771 du 5 septembre 2018

[10] Article L. 1153-5-1 du Code du travail

[11] L. 2314-1 du Code du travail

[12] Article L. 2315-18 du Code du travail

[13] Article L. 1153-5 du Code du travail