Anticiper le virage. Dès novembre 2017, la Fédération du service aux particuliers (Fesp) avait désigné le premier Data Protection Officer (DPO), avocat expert et correspondant informatique et libertés (CIL) spécialisé pour le secteur des services à la personne. « Au sein de nos activités, garde d’enfants, maintien à domicile par exemple, les entreprises et structures sont amenées à collecter et traiter des données à caractère personnel, voire des données sensibles telles que les données de santé. La désignation d’un DPO mutualisé a permis aux adhérents d’anticiper la mise en conformité avec leurs obligations légales du règlement général de protection des données (RGPD). Il a été nécessaire également de sensibiliser les prestataires sur la réglementation sur l’hébergement de données de santé, la mise en conformité des logiciels de paye, les logiciels de gestion. Un certain nombre de documents contractuels ont été modifiés afin de sensibiliser les bénéficiaires de services à la personne sur les informations qui seraient nécessairement traitées ou conservées et recueillir leur consentement. L’entrée en vigueur du RGPD a permis une prise de conscience des professionnels sur les éléments qui pouvaient être demandés, ceux qui devaient être nécessairement demandés, et ceux qui ne pouvaient pas être demandés compte tenu des métiers et voir comment traiter l’information avec les différents intervenants à domicile et sécuriser la conservation des données à caractère personnel au sein des agences.
La Fesp a créé une commission RGPD qui réunit entre 50 et 100 adhérents et qui permet de travailler, avec parfois l’aide de la Commission nationale de l’informatique et des libertés (CNIL), sur un certain nombre de points sensibles et spécifiques au secteur des services à la personne. Par exemple, les entreprises de service à la personne sont tenues de contrôler l’extrait n° 3 du casier judiciaire des intervenants à domicile et de le conserver pour prouver aux familles que cette obligation avait été remplie. Mais avec l’entrée en vigueur du RGPD, les structures n’avaient plus la possibilité de conserver ce document. Nous avons travaillé avec la CNIL pour trouver une solution pour répondre aux obligations réglementaires, d’une part, et être en conformité avec le RGPD, d’autre part. La CNIL est encore dans une démarche pédagogique et pas encore dans une logique de répression immédiate. Mais nos adhérents ont bien conscience que les montants des sanctions en cas de non-conformité au RGPD sont conséquents et peuvent mettre en péril l’équilibre économique d’une structure. »