conseil

Le Document Unique d’Evaluation des Risques Professionnels (DUERP)

La loi n°2021-1018 du 2 août 2021, dite « Loi Santé » et le décret d’application du 18 mars 2022 ont remis à plat les modalités de mise à jour, de mise à disposition et de conservation du Document Unique d’Evaluation des Risques Professionnels (DUERP), à compter du 31 mars 2022. Le DUERP a désormais une valeur législative et le code du travail lui consacre un article en « L ».

Le Document Unique constitue un outil central de prévention et devient la mémoire du risque dans l’entreprise depuis la « Loi Santé » en imposant une obligation de traçabilité des expositions collectives.

Contexte légal et règlementaire

Aux termes de l’article L. 4121-3 du Code du travail (entré en application le 31 mars 2022), « l’employeur, compte tenu de la nature des activités de l'établissement, évalue les risques pour la santé et la sécurité des travailleurs, y compris dans le choix des procédés de fabrication, des équipements de travail, des substances ou préparations chimiques, dans l'aménagement ou le réaménagement des lieux de travail ou des installations, dans l'organisation du travail et dans la définition des postes de travail. Cette évaluation des risques tient compte de l'impact différencié de l'exposition au risque en fonction du sexe. »

« L’employeur transcrit et met à jour dans un Document Unique les résultats de l’évaluation des risques pour la santé et la sécurité des travailleurs (R. 4121-1 Code du travail).

En matière de sécurité au travail, les tribunaux font peser une obligation de sécurité de résultat sur l’employeur (Cass. Ass. Plén., 24 juin 2005, n° 03-30.038).

Objet ?

Il s'agit d'inventorier, d'évaluer les risques auxquels les salariés sont exposés et d’assurer la traçabilité collective de ces expositions (article L. 4121-3-1 du Code du travail – version en vigueur au 31 mars 2022). L’annexe sur les facteurs à risque visée à l’article R. 4121-1-1 doit aussi être établie.

Il débouche sur la mise en place :

• Entreprises dont l’effectif est supérieur ou égal à 50 salariés : d’un programme annuel de prévention des risques professionnels et d’amélioration des conditions de travail (PAPRIPACTdont le contenu est défini par l’article R. 4121-3-1 ;
• Entreprises dont l’effectif est inférieur à 50 salariés : d’actions de prévention des risques et de protection des salariés et consignées dans le DUERP et ses mises à jour successives.

Qui ?

Cette obligation s’impose à toute entreprise ou société ayant au moins un salarié (même un membre de la famille ou conjoint). L’évaluation des risques doit tenir compte de l’impact différencié de l’exposition au risque selon le sexe (article R.4121-3 du Code du travail).

Quand ?

Aux termes de l’article R. 4121-2 du Code du travail, la mise à jour est réalisée :

1. Au moins chaque année dans les entreprises d'au moins onze salariés ;
2. Lors de toute décision d'aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail ;
3. Lorsqu'une information supplémentaire intéressant l'évaluation d'un risque est portée à la connaissance de l'employeur.

La mise à jour du programme annuel de prévention des risques professionnels et d'amélioration des conditions de travail ou de la liste des actions de prévention et de protection est effectuée à chaque mise à jour du document unique d'évaluation des risques professionnels, si nécessaire. Les mises à jour de ces documents sont donc simultanées et en continu.

La mise à jour peut-être moins fréquente dans les entreprises de moins de 11 salariés sous réserve que soit garantie un niveau équivalent de protection de la santé et de la sécurité des travailleurs (article L. 4121-3, 3°du Code du travail).

Pour qui ?

Le personnel, les anciens salariés (pour la période d’emploi dans l’entreprise uniquement), les membres du CSE/CSSCT, de l’ensemble du Service de Prévention et de santé au travail – SPT (médecin du travail, des professionnels de santé et autres Intervenants en prévention des risques professionnels), les agents de l’inspection du travail, de la CARSAT, de l’OPPBTP.

A compter du 31 mars 2022, le Document Unique doit être transmis par l’employeur à chaque mise à jour au service de prévention et de santé au travail auquel il adhère (article L.4121-3-1 du Code du travail). Cette nouvelle obligation ne s’applique que pour les DUERP établi à compter de cette date.

Quelles sanctions à défaut ?

Qu’il s’agisse de ne pas transcrire, ne pas évaluer de manière suffisante, ne pas mettre à jour les résultats de l’évaluation des risques ou le défaut d’engagement des mesures de prévention identifiées, expose l’employeur à des sanctions pénales et civiles :

• amende de 1 500 € et de 3 000 € en cas de récidive (ces montants sont multipliés par 5 pour les sociétés)
• Amende de 450 € en cas de délit d'entrave à contrôle de l'Inspection du travail
• Qualification de Faute inexcusable de l'employeur engageant sa responsabilité civile (condamnation à des dommages et intérêts) et pénale personnelle en cas d'accident du travail ou de maladie professionnelle

ATTENTION : La Cour de cassation, Chambre sociale du 8 juillet 2014 a décidé le versement de dommages-intérêts à tous les salariés qui en feraient la demande en justice en cas de défaut d'établissement du Document Unique permettant d'évaluer les risques professionnels (soit, 166 salariés dans l'arrêt de la Cour de cassation précitée).

Conservation du DUERP – Dépôt dématérialisé

A compter du 31 mars 2022, l’entreprise a l’obligation de conserver et mettre à disposition le Document Unique au profit des salariés, des anciens salariés ainsi que toute personne ou instance pouvant justifier d’un intérêt à y avoir accès, et ce pendant une durée d’au moins 40 années (articles L. 4121-3-1 et R. 4121-4 modifié du Code du travail selon le décret 2022-395 du 18 mars 2022).

Le Document Unique d’Evaluation des Risques Professionnels et ses mises à jour doivent faire l’objet d’un dépôt dématérialisé sur un portail numérique déployé et administré par un organisme géré par les organisations professionnelles d’employeurs représentatives sur le plan national et interprofessionnel (article L. 4121-3-1 du code du travail), à compter du :

• 01/07/2023 : entreprises ayant un effectif > 150 salariés
• 01/07/2024 : entreprises ayant un effectif < 150 salariés

La « Loi Santé » renforce ainsi les obligations de l’employeur en matière de rédaction et de suivi du plan d’actions de prévention selon l’effectif de +/- 50 salariés (article L. 4121-3-1, III au Code du travail)

Et 3 bonnes raisons pour l’établir ou le mettre à jour :

• se METTRE EN CONFORMITE avec le code du travail et éviter des sanctions pénales ou civiles en réparation des préjudices subis, mises en demeure des agents de l’inspection du travail
• assurer la PREVENTION et la SENSIBILSATION du personnel aux risques d’accidents du travail et maladies professionnelles et les bonnes pratiques professionnelles pour les éviter
• augmenter ainsi la PERFORMANCE de l’entreprise

Nos plus proposés :

• Une offre de service personnalisée et adaptée à vos besoins
• Un Document Unique composé de 3 parties : présentation de l’entreprise, évaluation des risques, plan d’actions de prévention ou programme annuel de prévention (effectif > 50 salariés)
• Une version en PDF du DUERP et un plan d’actions en version EXCEL sur demande

Nos principaux domaines d’intervention :

• Professions de santé
  • Dentistes
  • Orthodontistes
  • Prothésistes dentaires
• Prestataires de services
  • Bureaux d'études, professions libérales, …
  • Prestataires de services à l'industrie ou aux PME
  • Vente et maintenance de matériels de reprographie , informatiques, …
  • Hôtels, cafés, restaurants, traiteur
  • Centres de contrôle technique de véhicules
  • Concessionnaires automobiles
  • Garagistes automobiles
  • Experts-automobiles
  • Réparation de machines agricoles
  • Promoteurs immobiliers
  • Agences immobilières
  • Cabinet d'expertise-comptable
• L'artisanat
  • Salons de coiffure
  • Entreprises de propreté et de nettoyage
  • Imprimerie
  • Entreprises du BTP : peinture, gros-œuvre et second œuvre, dallage industriel, ...
  • Menuiserie bois et métal, ébénisterie, …
  • Boulangerie, Pâtisserie, Chocolaterie, Glacerie
• Commerce non alimentaire, Commerce de gros
  • Magasins (meubles, habillement, décoration, …)
  • Opticien lunetier
  • Commerce de gros d’adhésifs et articles pour la communication, l’imprimerie
• Industrie
  • Mécanique générale
  • Mécanique et outillage de précision
  • Maintenance et installation d'équipements de production
  • Découpe et emboutissage de pièces
  • Pelliculage
  • Routage
• Association
  • Refuge et fourrière pour animaux

Depuis le 25/05/18, les entreprises doivent se mettre en conformité avec le Règlement Général sur la Protection des Données - dit "RGPD" (UE 2016/679 du 27/04/2016) et la Loi Informatique et Libertés modifiée (Loi du 20/06/2018).

Objet :

Cette règlementation encadre désormais strictement le traitement des données à caractère personnel (DCP) et poursuit 3 objectifs :

• Renforcer les droits des personnes qui peuvent faire valoir leurs droits auprès des détenteurs de leurs données ;
• Responsabiliser les acteurs traitant des données ;
• Assurer la régulation des traitements de données à caractère personnel dans l’Union Européenne par une coopération renforcée entre les autorités nationales de protection des données.

Quoi ?

La CNIL définit la « donnée personnelle » comme toute information se rapportant à une personne physique identifiée ou identifiable à partir d’une seule donnée ou du croisement d’un ensemble de données.

Aussi, selon l’activité d’une entreprise, beaucoup de données personnelles peuvent être traitées :

• Clients, patients, adhérents, bénévoles, … : identification, âge, domicile, N° de Sécurité Sociale (métiers de la Santé), mode de vie, centres d’intérêts, images issues de la vidéosurveillance, prise de photos, …
• Personnel, stagiaires, intérimaires, candidats, … : identification, âge, enfants à charge, salaires, prélèvements fiscaux, données de santé, données issues des pointeuses, géolocalisation, vidéosurveillance, image de l’équipe pour un site internet, …
• Fournisseurs, partenaires, Institutionnels, …

Comment ?

Un « traitement de données personnelles » est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (tels que la collecte, l’enregistrement, la conservation, l’adaptation, la modification, l’extraction, la consultation, la communication, …) par voie informatique mais aussi sur supports papier :

• Formulaire d’inscription à une newsletter, adhésion d’un bénévole, demande de remboursement de frais, …
• Formulaire d’ouverture d’un compte client, réservation d’une chambre d’hôtel, paiement en ligne, adresse électronique, adresse personnelle, gestion de demande de financement ou de subventions octroyées à des clients, …
• Gestion des contrats de travail, des candidatures, de la paie, des stages, …
• Mission de sous-traitance de traitement de données à un service social externalisé auprès par exemple d’un Cabinet d’expertise-comptable, …
• Données collectées via un site internet (gestion des cookies, …), dispositif de vidéosurveillance et géolocalisation, alarme, etc ...

Et quelles obligations en découlent ?

Pour chaque activité de traitement des données personnelles, l’entreprise doit définir les objectifs/finalité de traitement (pourquoi), catégories de personnes concernées (qui), catégories de données (quoi), durée de conservation (combien de temps), destinataires internes et externes (à qui), sous-traitants, mesures de sécurisation prises pour éviter des fuites ou pertes de données (protection).

Les traitements de données doivent respecter des principes fondamentaux :

loyauté, finalité, proportionnalité, durée de conservation limitée, sécurisation des données, respect des droits et libertés des personnes.

Entreprises concernées ?

Toutes les entreprises du secteur privé ou public établies sur le territoire de l'Union Européenne (UE) ou hors de l'UE mais assurant un traitement de données d'un résident européen.

Les entreprises concernées sont considérées comme "Responsable du Traitement". Les obligations des sous-traitants assurant des traitements de données pour le compte de leurs clients sont fortement encadrées et renforcées.

Dorénavant, tout détenteur privé ou public de données personnelles est garant du respect de la protection des données. Il est responsable des données détenues et doit assurer la protection de ces données. La CNIL assure un contrôle a posteriori.

Sanctions ?

En cas de méconnaissance ou violation des dispositions du RGPD et de la Loi Informatique et Libertés, les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions pouvant être très lourdes, à savoir :

• Avertissement ;
• Mise en demeure ;
• Limitation temporaire ou définitive d’un traitement de données ;
• Suspension des flux de données ;
• Injonction de satisfaire les demandes d’exercice des droits des personnes ;
• Injonction de rectification, limitation ou effacement des données ;
• Amende administrative de 10 à 20 000 000 € ou 2% à 4 % du CA annuel mondial de l'exercice précédent prononcée par la CNIL après enquête ;
• Risque de contentieux : action individuelle ou collective en réparation du préjudice subi sur le plan civil ;
• Condamnations pénales selon les infractions (article 226-1 : atteinte à la vie privée, au droit à l’image) ;
• Mais aussi, d’un point de vue pratique : atteinte à l’image de marque de l’entreprise, perte de confiance ….

Comment se mettre en conformité avec le RGPD ?

• Réaliser un état des lieux pour cartographier, inventorier les traitements de données à caractère personnel réalisés ;
• Faire le tri dans les données collectées et supprimer les données inutiles, modifier les procédures de travail selon l'objectif poursuivi de traitement ;
• Elaborer un Registre de traitement des Données personnelles et une Fiche de registre pour chaque activité de traitement des données personnelles : objectifs/finalités de traitement, catégories de personnes concernées, catégories de données (courantes, sensibles, ...), durée de conservation, destinataires internes et externes, sous-traitants, mesures de sécurisation prises pour éviter des fuites ou pertes de données ... ;
• Mettre en conformité l’ensemble des supports de traitement de données personnelles (informatique et papier, en ligne, …) avec les dispositions du RGPD ;
• Assurer le droit des personnes par des mentions d'information sur les formulaires utilisés, note d'information des personnes concernées, mentions sur le site internet, traitement des réclamations, des demandes de désinscription aux newsletters, e-mailing, ... (personnel, clients, partenaires, …) ;
• Intégrer le RGPD dans la Gestion des Ressources Humaines : modification du règlement intérieur, charte informatique, note d'information, gestion de la paie, ... ;
• Sécuriser les données personnelles collectées, stockées, exploitées, ... : anti-virus, changement de mots de passe, modifier la durée de mise en veille des écrans d'ordinateur mais aussi les données sur supports papier !
• Selon les situations, réaliser une Analyse d'Impact relative à la Protection des Données (AIPD ou "PIA") lorsque le traitement génère un risque élevé pour les droits et libertés des personnes (mineurs, données de santé, ...), nommer un Délégué à la Protection des Données ou un Responsable à la Protection des Données ;
• Dans tous les cas, documenter votre démarche de protection des données : mettre en place des procédures écrites de bonnes pratiques, formation, plan d'actions de protection, etc ... .

Conclusion : avec cette nouvelle règlementation, c'est l'occasion de transformer une obligation légale en réelles opportunités :

• Renforcer la confiance et valoriser l'image de l'entreprise : clients, patients, donneurs d'ordre, salariés
• Améliorer l'efficacité commerciale et exploiter des données à jour
• Mieux gérer son entreprise en se posant les bonnes questions en matière de procédures de travail et d'organisation
• Revoir les procédures de sécurisation des données (stockage local, stockage CLOUD, ...)