La Déclaration Sociale Nominative (“DSN”) est un mécanisme introduit par la loi n°2012-387 du 22 mars 2012 relative à la simplification du droit et à l’allégement des démarches administratives, grâce auquel l’employeur dispose d’un “guichet unique” pour réaliser ses différentes déclarations sociales. La déclaration, qui contient un grand nombre de données à caractère personnel relatives à l’employé concerné, communiquées aux organismes sociaux en vue de la réalisation de leurs missions, constitue à l’évidence un traitement de ces données au sens de la réglementation applicable.
Se pose cependant la question, délicate, de la qualification des différents acteurs en présence : qui, de l’employeur ou de l’organisme social, doit être vu comme “détermin[ant] les finalités et les moyens du traitement“, et par conséquent être qualifié de “responsable du traitement” au sens de l’article 4.7 du nouveau règlement général sur la protection des données (GDPR) ? De prime abord, l’employeur se contente de transmettre les données requises par l’organisme social ; parce qu’il agit ainsi “sur instruction”, son rôle s’apparente plutôt à celui d’un sous-traitant au sens de l’article 4.8 du même GDPR. De cette vision naît une difficulté pratique majeure : l’article 28 du règlement imposerait alors à l’organisme social de conclure un contrat de sous-traitance avec chacun des employeurs déclarants, solution hautement coûteuse en termes opérationnels.
La même difficulté se retrouve par ailleurs dans l’analyse alternative où employeur et organisme social seraient responsables conjoints du traitement : l’article 26 exige en effet lui aussi que soit conclu un contrat (quoique de façon moins détaillée) entre de tels responsables conjoints, pour la bonne répartition de leurs obligations respectives.
Le Groupe de travail de l’Article 29, réunissant l’ensemble des autorités de contrôle compétentes en matière de protection des données à caractère personnel dans les différents Etats membres de l’Union Européenne, adoptait à l’égard de situations similaires, dans un avis du 16 février 2010 (exemple n°9, p. 20), une approche qui relève quelque peu du “bottage en touche” : il faudrait voir dans l’activité de l’employeur et dans celle de l’organisme social deux traitements distincts, dont chacun serait individuellement responsable. La proposition ne convainc pas entièrement : on ne saurait éluder le fait, au principe même de ces mécanismes de déclaration obligatoire, que l’organisme social “délégue” à l’employeur la charge de collecter et transmettre les données qui lui sont nécessaires.
Pas de réponse définitive à la sortie de cette douche ; la discussion est ouverte autour du café !