DÉLÉGUÉ À LA PROTECTION DES DONNÉES ET LANCEUR D’ALERTE : DEUX NOUVEAUX ACTEURS ENTRENT EN SCENE

Dans les entreprises et les administrations, son rôle sera bientôt aussi connu que celui du DRH, du directeur de la communication ou du responsable juridique. Mais pour l’heure, le Délégué à la Protection des Données (DPD) reste un personnage assez mystérieux pour la plupart des acteurs de la vie économique. Le DPD, également appelé selon la terminologie anglo-saxonne DPO (Data Privacy Officer), a été mis sur orbite par le Règlement général sur la protection des données (RGPD) : un texte adopté par l’Union   européenne   le   27   avril 2016, applicable au 25 mai 2018, qui  vise  à  adapter  l’espace  communautaire  à  la  nouvelle  donne numérique et à protéger les informations personnelles et la vie privée des citoyens.

Le RGPD dessine notamment le portrait robot du fameux DPD qui est chargé de mettre en  œuvre  la  protection des données   au sein de toute structure qui récolte, compile, traite et exploite des informations numérisées à des fins commerciales ou dans le cadre de son fonctionnement interne.

Jusqu’ici facultative, la désignation d’un DPD devient une obligation pour l’ensemble des autorités et organismes publics. Pour les structures privées, en revanche, la nomination d’un délégué n’est obligatoire qu’en fonction de la nature et de l’envergure  des  traitements  des  données. Si le RGPD ne précise pas de seuil quantitatif, la CNIL (Commission nationale de l’informatique et des libertés) et Bruxelles encouragent toutes  les  entreprises  à  recourir  à un  DPD,  considérant  que  la  quasitotalité des acteurs économiques utilisent aujourd’hui des informations numériques contenant des informations à caractère personnel. Un simple fichier clients ou administrés, voire une base recensant les profils de salariés pouvant justifier la nomination d’un DPD…

Les missions du délégué sont multiples. C’est lui qui conseille le responsable de traitement des données, veille au respect du RGPD, collabore avec la CNIL, tient à jour les registres, décide des procédures à mettre en place en cas de faille de sécurité, informe le public de la finalité des données collectées.

A  noter que son indépendance est garantie par le règlement européen qui précise notamment  que le délégué doit être doté d’un budget propre.  En cas de manquement à ces obligations, les sanctions seraient lourdes. Pour le secteur privé, par exemple, l’entreprise qui ne se doterait pas d’un DPD ou ne lui donnerait pas les moyens d’exercer son mandat s’exposerait à des pénalités financières pouvant atteindre jusqu’à  20  millions  d’euros  ou  4% de son chiffre d’affaires mondial. En outre, le texte indique que les administrations ne peuvent en aucun cas  désigner  le  directeur  général des services ou le directeur des services informatiques pour occuper cette fonction. Le choix de la bonne personne  pour  occuper  le  poste de DPD s’avère donc une décision stratégique.

« Il s’agit de dénicher le mouton à cinq pattes, souligne Jérôme Etter, consultant chez Sémaphores. Le délégué doit avoir à la fois des compétences juridiques, informatiques, organisationnelles  et  relationnelles. Si aucun salarié ne correspond à ce profil, l’entreprise ou l’organisme public pourront toutefois externaliser la fonction. Les plus petites structures auront également la possibilité de mutualiser les services du DPD ».

Au moment où le DPD entre en scène, le statut d’un autre personnage pourrait bientôt également émerger  au  sein  des entreprises et des structures publiques : celui du lanceur d’alerte. Médiatisée par plusieurs affaires retentissantes, la fonction de lanceur d’alerte est désormais reconnue sur le plan juridique. En France, elle est protégée depuis  peu par le Défenseur des droits, tandis  que l’Union européenne met actuellement la dernière main à une directive qui apportera des garanties supplémentaires  à  ceux  qui  signalent des dysfonctionnements dans leur environnement professionnel.

La réglementation définit le statut du lanceur d’alerte et son champ d’intervention. Ce dernier doit être une personne physique ayant eu personnellement connaissance de faits lui paraissant devoir être révélés. Il doit être désintéressé et doit avoir des motifs raisonnables permettant de croire à la véracité des dysfonctionnements signalés.

A l’exclusion d’informations couvertes par le secret défense, le secret médical ou le secret des relations entre avocat et son client, les faits dénoncés par le lanceur d’alerte doivent découler d’un crime ou d’un délit, d’une violation de la loi, d’un règlement ou d’un engagement international, ou encore d’une menace ou d’un préjudice pour l’intérêt général.

Le signalement auprès de l’employeur ou du Défenseur des droits doit se faire dans le respect de la confidentialité de l’identité du lanceur d’alerte, de celles des personnes visées et des faits signalés.

Depuis le 1er janvier 2018, les personnes morales de droit public ou de droit privé comptant au moins cinquante agents ou salariés, les administrations de l’État, les communes de plus de 10 000 habitants, les départements,  les  régions,  les  EPCI regroupant au moins une commune de plus de 10 000 habitants ont l’obligation de mettre en place des procédures de recueil des signalements. Après le Délégué à la Protection des Données, le lanceur d’alerte est donc sur le point de trouver une légitimité au sein de l’entreprise.

Laidant familial pourrait prochainement emboîter le pas à ces deux nouveaux acteurs du monde du travail. Si les salariés devant soutenir un proche atteint d’une maladie, d’un handicap ou en perte d’autonomie ne bénéficient pas aujourd’hui d’un statut reconnu par l’employeur, la donne pourrait changer à court et moyen terme. Pour les dirigeants d’entreprise, les managers et les représentants du personnel, il n’est pas trop tôt pour s’y préparer…

 

DANS CE NUMÉRO :