La note de synthèse envoyée par le Forem courant juillet 2024 a suscité pas mal de remous au sein des ALE.
Et pour cause, elles y ont appris qu’en vertu de la loi du 30 juillet 2018, elles sont considérées comme une autorité publique dans le cadre d’un certain nombre de traitements de données personnelles. De ce fait, elles doivent se plier à un ensemble d’obligations, dont la nomination d’un Data Protection Officer (DPO), qui est l’équivalent en anglais du Délégué à la Protection des Données.
“Notons tout de même que l’information figure déjà dans le document intitulé “Mise en conformité des ALE au RGPD : Conseils et outils” mis à jour par le Forem en juillet 2023.”
Notes préliminaires
Avant d’aller plus loin, il convient peut-être de rappeler le sens de la démarche qui présida à l’adoption du Règlement général sur la Protection des Données ou RGPD en 2016. La titulature peut entrainer une sorte de confusion dans les esprits. L’objectif du RGPD est bien de protéger le droit à la vie privée des citoyens. Les données ici évoquées sont bien des données personnelles. Il ne s’agit pas de protéger des manuels techniques comportant des informations sur le voltage ou la pression de pneu.
Si cet enjeu est important lors des échanges entre les citoyens et les entreprises, il peut s’avérer vital lorsqu’il s’agit d’échange avec l’administration. C’est en ce sens que des obligations spécifiques sont dévolues aux autorités publiques, dont les ALE.
Notons également que ce souci de protéger les droits et libertés des personnes ne s’arrête pas aux échanges entre l’ALE et les demandeurs d’emploi ou les clients, mais qu’il s’étend à toutes les personnes qui participent à son activité, y compris le personnel et les membres des organes de décision.
Loi du 30/07/2018, art. 5 :
Les définitions du Règlement s’appliquent. Pour l’application de la présente loi, on entend par « autorité publique » :
1° l’état fédéral, les entités fédérées et les autorités locales ;
2° les personnes morales de droit public qui dépendent de l’État fédéral, des entités fédérées ou des autorités locales ;
3° les personnes, quelles que soient leur forme et leur nature qui : — ont été créées pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial ; et —sont dotées de la personnalité juridique ; et — dont soit l’activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance sont désignés par ces autorités ou organismes ;
4° les associations formées par une ou plusieurs autorités publiques visées au 1°,2° ou 3°.
Responsabilité d’un responsable de traitement
Le droit européen et la loi belge font donc des ALE un responsable de traitement à part entière.
Attention, cependant, une administration doit répondre aux exigences liées à son statut d’autorité publique (ne serait-ce que par le biais d’une délégation de missions de service public), tandis qu’une ALE relève bien de la sphère privée. Elle peut donc se voir imposer des amendes allant jusqu’à 20 millions d’euros, ou encore 4 % du chiffre d’affaires annuel.
Soyons de bon compte, il s’agit de cas extrêmes dont on voit mal actuellement comment il pourrait s’appliquer à une ALE.
Les articles 83 et suivant, précisent tout de même que, « chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4,5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ».
Plus plausibles sont une enquête fastidieuse de l’APD (Autorité de Protection des Données), l’application d’amendes administratives bien plus faible, l’interdiction définitive ou temporaire d’un traitement de données jugé problématique (comment une ALE pourrait-elle fonctionner sans accès aux listes de demandeurs d’emploi ?) assortie d’astreintes.
D’autre part, le non-respect — même simplement formel du RGPD — est de plus en plus souvent évoqué lors des contentieux en droit social. Enfin, il ne faut pas négliger d’éventuelles procédures en réparation pour “dommage moral” en cas de vol de données.
On notera que le statut hiérarchique du fonctionnaire en ALE interroge. Quelle est sa responsabilité en tant que membre actif du responsable de traitement « ALE » (ce qui ne l’exonère pas de fautes professionnelles et donc du respect du RGPD dans sa pratique quotidienne) ?
Or, c’est bien le responsable de traitement, c’est-à-dire la structure juridique dans son ensemble qui est responsable du respect de la réglementation.
En cas d’enquête, l’une des premières questions qui risquent de lui être posées — au-delà de la licéité du traitement des données — concerne le nom de son DPO et la fourniture du registre de traitement.
Notez, par ailleurs, qu’il s’agit bien ici de la structure juridique dans son ensemble… les règles qui s’appliquent par suite de la mission de service public des ALE rejaillissent en quelque sorte sur les activités titres-services et l’APD, en cas d’enquête, n’hésitera pas à s’en inquiéter également.
Le lecteur curieux pourra se référer à cet avis récent – 17/12/24 – qui éclaire bien des points ici rapidement esquissés.
Il est tentant de caler la définition de Responsable de traitement sur l’existence des sections sui generis destinées à gérer l’activité titres-services qui, en quelque sorte, isolerait ces dernières de l’activité ALE historique. Sauf que l’organe de décision est identique et que c’est lui qui fixe les finalités et les moyens de traitement des données.
Par ailleurs, les administrateurs d’ALE doivent intégrer dans leur réflexion la notion de responsabilité solidaire. Ne pas respecter un prescrit légal les expose donc à se voir reprocher individuellement cette faute collective.
Enfin, la réputation de l’ensemble des ALE pourrait être atteinte s’il appert qu’elles ne respectent pas leurs obligations légales. Au-delà des structures, ce sont bien, en dernier ressort, les hommes et les femmes qui s’y engagent qui sont susceptibles de devoir justifier de leur éventuelle inaction.
Qu’est-ce qu’un DPO ?
Le DPO a une mission de conseil et un rôle de contrôle.
Il conseille le responsable de traitement lorsqu’un traitement de données personnelles est mis en place. Il aide également à documenter ces traitements.
Il contrôle la conformité des mesures mises en place par le responsable de traitement au regard des prescrits légaux.
Un DPO peut être aussi bien interne qu’externe. Il peut s’agir d’une personne physique comme d’une personne morale.
Un DPO peut également être désigné pour un groupe d’organisation comme il ressort de l’article 37,2 du RGPD.
Attention cependant, que la tâche du DPO ne peut être entachée d’une suspicion de conflit d’intérêt (art 38 du RGPD). C’est la raison qui explique que les membres de la hiérarchie ne peuvent remplir la fonction. On peut étendre le raisonnement au responsable des achats ou au responsable de la sécurité informatique. Deux fonctions où le DPO se trouverait juge et partie dans le choix de moyens à mettre en œuvre.
De la même façon, l’ambiguïté hiérarchique dans laquelle se trouvent les fonctionnaires œuvrant en ALE pose question. Comment garantir qu’ils bénéficient du temps nécessaire pour exercer une fonction de DPO alors que le donneur d’ordre est une administration qui n’est en rien tenue de la remplir et pourrait lui confier des missions qui entreraient potentiellement en contradiction avec la lecture du RGPD que sa fonction au sein d’une ASBL lui dicterait ? L’indépendance dans laquelle la fonction place le DPO (art 38,3) vis-à-vis du responsable de traitement ne s’appliquerait que vis-à-vis d’un seul des intervenants menant à des conflits de loyautés insolubles.
Pour pouvoir remplir sa mission, le DPO doit pouvoir dialoguer avec les différents intervenants de l’entreprise. Il doit pouvoir comprendre la circulation de l’information.
Il doit également faire rapport au plus haut niveau de la hiérarchie — l’organe d’administration — et être associé aux projets qui impliquent un échange de données (p. ex., le développement d’un site Internet, une campagne E-mailing, l’élaboration d’une procédure d’accueil pour un nouveau prestataire, etc.) en temps utile que pour que son avis soit facilement pris en compte.
Rappelons qu’il n’a aucun pouvoir décisionnel et que la responsabilité finale appartient toujours et exclusivement au responsable de traitement.
Dans sa mission de conseil, l’information est un élément important du travail attendu. Le DPO doit maintenir à jour ses connaissances, compte tenu des évolutions tant de la législation que des menaces, mais aussi celles du responsable du traitement (qui est donc ici l’ALE dans son ensemble).
Dans son article 38,5, le RGPD précise que « le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres ».
Il est tentant de transférer la fonction — et donc le coût — de DPO à une autre entité publique, comme le Forem ou la commune où se situe l’ALE. Cependant, ni le Forem, ni la commune n’ont la fonction de DPO dans leurs missions. Dans ce cas, c’est donc le DPO – personne physique – qui remplirait la mission auprès d’une ASBL qui devrait tout de même le désigner nommément.
D’autre part, ces DPO sont sans doute déjà fort occupés par leurs missions internes que pour pouvoir endosser une mission en externe supplémentaire pour le compte d’une entité séparée et répondant à ses propres impératifs, contraintes et finalités.
Cette notion de temps n’est d’ailleurs pas de pure forme, dans un arrêt récent, la chambre du contentieux de l’APD a infligé une amende de 171 000,00€ à une entreprise qui tentait de faire porter la faute du non-respect de ses obligations à son DPO en prétextant ignorer sa charge de travail (voir ici).
Il est d’ailleurs intéressant de noter que l’Union des villes et communes, interrogée à ce propos, nous a poliment adressé une fin de non-recevoir.
Signalons encore que la commune, si elle fournit tout ou partie de ses infrastructures à l’ALE devient un sous-traitant de celle-ci.
Quant au Forem, il convient de souligner qu’il est lui-même le responsable de traitement pour des données qui sont, notamment, transmises par les ALE. L’idée que son DPO s’occuperait en plus des 246 ALE wallonnes parait quelque peu schizophrénique et difficilement praticable.
Enfin, le DPO doit également coopérer avec l’autorité de contrôle (ici, l’APD) et faire office de point de contact.
On notera que le rapport entre le Forem et les ALE est celui de responsables de traitement successifs. En effet, si des informations personnelles transitent bien de l’une à l’autre, les finalités et les moyens du traitement dépendent des deux entités qui agissent en totale autonomie. Une contractualisation qui balise ces échanges est cependant à conseiller.
Rappelons enfin que la fonction de DPO n’est pas formelle et que, si le travail n’est pas fait, c’est le responsable de traitement qui sera poursuivi.
Que propose la PAW ?
La PAW recrute actuellement un DPO certifié ayant de l’expérience dans le domaine des ALE. Ce dernier, ou cette dernière, se référeront aux règles déontologiques préconisées par l’association professionnelle des DPO (voir ici).
Notre objectif est de clairement vous offrir un service de DPO as a service, c’est-à-dire de faire office de DPO pour les ALE qui le souhaitent dès le mois de janvier.
Vous êtes déjà nombreux à avoir manifesté votre intérêt pour cette initiative et nous vous en remercions. Cela nous permet d’avancer vers une solution à la fois économiquement aussi adaptée que possible à nos réalités que pertinente au vu de nos spécificités.
Notons que la mutualisation de la fonction de DPO par un grand nombre d’ALE est aussi l’opportunité de limiter les intervenants entre le FOREM et ces dernières. Une facilité dans le cadre de la mise en place du dossier unique qui se fera à l’avantage, d’abord, de notre public cible : les citoyens/demandeurs d’emploi.
C’est aussi l’opportunité de bénéficier du soutien d’une équipe qui s’étoffe de profils complémentaires peu, voir pas du tout, présent en ALE.
La spécialisation sur notre structuration spécifique permet aussi de tirer parti des différentes situations rencontrées et d’établir des documents types adaptés à nos métiers.
Rappelons aussi que les ALE membres de la PAW bénéficient d’un droit de regard sur le fonctionnement financier de la PAW. Une garantie qu’aucun autre acteur du petit monde de la sécurité des données ne peut leur offrir.
C’est au fond une solution Win Win qui clarifie la chaine de communication entre le Forem et les ALE. C’est aussi l’occasion pour ces dernières de réfléchir de façon autonome sur l’usage qu’elles font des données personnelles tout en ajoutant une sérieuse touche de professionnalisme dans leur communication à l’égard de leurs publics.
Enfin, c’est la manière la plus économique de remplir nos obligations légales et de réduire le risque de prêter le flanc à de lourdes procédures judiciaires, voire à des amendes.
Et la suite ?
Les conditions financières et une proposition de contractualisation vont parvenir dans les prochains jours aux ALE qui ont manifesté leur intérêt.
Elle s’accompagnera d’une lettre de mission qui formalise et clarifie les relations entre les parties dans le respect des prescrits légaux.
Il est important d’être conscient que plus nous serons à nous mutualiser, plus nous pourrons offrir un service de qualité à un prix contenu.
Conclusion
Le présent article ne prétend pas à l’exhaustivité sur un sujet complexe. Son but est plutôt de vous aider à comprendre l’importance de se pencher sur la question et de vous proposer une solution susceptible de rapidement répondre à vos besoins et obligations.
Il est important d’être conscient que le RGPD n’impose pas une recette toute faite de gestion des données personnelles, mais au contraire, un processus qui doit s’adapter à la maturité de chaque entreprise et aux évolutions du monde dans lequel elles évoluent.
Comme vous le constaterez en lisant l’invitation à la journée consacrée aux trente ans des ALE, la fonction de DPO et la connaissance du RGPD et de ses enjeux a servi de fil rouge à l’élaboration du programme.
Au-delà, la PAW et son futur(e) DPO se tiennent à votre disposition pour apporter les précisions nécessaires, y compris au sein de vos instances.
Jean-Michel Lovinfosse