Développement du télétravail, utilisation des réseaux sociaux, dispositifs d’alertes professionnelles… Les sujets RH sont aussi des sujets d’intérêt pour le DPO. Le point avec Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats.

Le DPO est aujourd’hui un acteur-clé en matière de gestion et de pilotage des ressources humaines. En effet, il est associé à de très nombreuses décisions au titre de la mise en conformité en matière de ressources humaines (tenue des registres, mise en place des modalités de gestion des droits des salariés par exemple, encadrement contractuel des prestataires, etc.), mise en conformité qui doit se déployer dans le temps. Il a également un rôle important à jouer avec le développement du télétravail et des nouvelles organisations notamment afin d’assurer une protection efficace de la vie privée des salariés. Ce rôle intègre aussi des aspects prospectifs au vu de l’utilisation accélérée des réseaux sociaux dans le cadre professionnel ou du recours au gaming. La Cnil n’a d’ailleurs pas manqué de souligner la nécessité de protéger les données des collaborateurs et de faciliter leur droit à la transparence, s’agissant du traitement de leurs données. À ce titre, le DPO a un rôle à jouer dans la mise en œuvre concrète des dispositifs d’information des salariés et pour assurer une réelle transparence, au moyen de chartes internes ou de notices d’information par exemple, en complément des dispositions des contrats de travail. La variété des traitements de données personnelles des salariés nécessite ainsi de veiller à une information exhaustive et conforme aux articles 12 et suivants du RGPD. Information qui permettra de garantir la mise en place des procédures d’exercice des droits, procédures indispensables alors que le recours au droit d’accès notamment tend à augmenter de manière importante. 

Le développement de ces missions dépasse ainsi le cadre de la simple « mise en conformité » et nécessite d’organiser une gouvernance efficace et effective de la gestion des données personnelles, autour du DPO. Avec un appui ou un soutien par ce dernier dans le pilotage des dossiers en matière de ressources humaines (par exemple lors du déploiement d’un logiciel de gestion des congés ou de la mise en place d’une charte informatique). En pratique, le rôle du DPO va également au-delà de ces aspects. En effet, acteur au quotidien de la mise en conformité, le DPO est également impliqué dans la mise en œuvre des programmes de compliance. C’est le cas par exemple lors de la conduite des analyses d’impact liées aux dispositifs d’alertes professionnelles, notamment au titre de la loi Sapin 2 et conformément au référentiel de la Cnil du 10 décembre 2019. Piloter et suivre ces analyses d’impact (AIPD), participer à la rédaction de la documentation d’information des salariés, vérifier la conformité de la procédure et des dispositifs d’enquêtes internes constituent autant de missions qui impliquent pour le DPO de mettre en œuvre une approche transversale et de disposer d’une vision d’ensemble de l’organisation dont il dépend. Ce dernier doit notamment pouvoir être impliqué au titre des traitements de données mis en place, des dispositifs d’information afférents ou de l’exercice des droits des personnes concernées. 

Au-delà de son avis dans le cadre de ces AIPD, le DPO doit pouvoir influer sur les programmes de compliance et les orienter si nécessaire, afin de permettre une protection efficace des données personnelles (du lanceur d’alerte ou des personnes visées). Son avis est notamment nécessaire lors des exercices de cartographie des risques. Son action doit aussi anticiper d'éventuelles procédures à venir et prévenir toute contestation des traitements de données personnelles mis en œuvre. La montée en puissance du droit de la protection des données dans le cadre des contentieux en matière sociale doit aussi être prise en compte. Le DPO doit à ce titre anticiper les contestations qui pourront être faites de certains traitements de données ou des réponses apportées lors de l’exercice par les salariés de leurs droits. Et documenter efficacement les outils de mise en conformité déployés afin de permettre de répondre à la variété des moyens qui peuvent être soulevés lors d’un contentieux. 

 

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.