Le CSE n’est pas épargné par la protection des données personnelles. En effet, depuis le 22 mai 2018, le Règlement européen n°2016/679, dit Règlement Général sur la Protection des Données ou  RGPD est entré en vigueur.

Il est appliqué en France par loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles.

RGPD CSE

Nouvelle réglementation RGPD, que dire ?

Le RGPD prévoit une nouvelle réglementation en matière de traitement de données à caractère personnel à l’encontre de toute société présente sur le territoire de l’Union européenne.

En effet, l’article premier précise que ce règlement vient mettre en place un ensemble de règles pour protéger les personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que réglementer la libre circulation de ces données.

Qu’en est-il du CSE qui collecte ce type de données dans le cadre de son budget lié aux activités sociales et culturelles ou de son budget de fonctionnement ?

Les étapes de protection des données personnelles de votre CSE/CE 

Le CSE, dans le cadre de ses activités sociales et culturelles, va proposer aux salariés et leurs familles des prestations en lien avec les loisirs. Cela peut être des sorties cinéma, sur des thématiques spécifiques, ou encore des voyages.

Afin d’organiser au mieux ses prestations, le CSE va leur demander des informations plus ou moins personnelles : nom, prénom, adresse personnelle, date de naissance, antécédents médicaux, etc.

Dans le cadre du budget de fonctionnement, le CSE va également demander des informations personnelles lorsque l'instance dispose de salariés ou d’informations relatives à ses fournisseurs ou clients.

protection des données personnelles

A partir de là, la protection des données commence à jouer.

En effet, une donnée à caractère personnelle est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, notamment par la référence à un identifiant comme un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle et sociale (loi 78-17 du 6 janvier 1978, loi 2018-493 du 20 juin 2018, règlement général sur la protection des données UE 2019/679 du 27 avril 2016).

Le CSE se doit, dans le cadre du RGPD, de protéger l’ensemble de ces informations.

Ainsi, il doit s’assurer de l’accessibilité qu’à des personnes autorisées et s’engager à ne pas détourner ces données.

Des données sensibles à protéger, que faire ?

Le CSE doit donc se conformer au RGPD selon les 4 étapes de la CNIL :

A) Instaurer un registre de traitement des données

Le registre de traitement des données est un document recensant l‘ensemble des données personnelles des fichiers.

L'objectif est d'identifier les activités qui nécessite la collecte et le traitement de données.

Il est recommandé de s’appuyer sur le modèle de registre de la CNIL.

B) Faire le tri dans ses données

Grâce au registre de traitement de données, élus, vous devez vous interroger sur les données auxquelles le CSE a réellement besoin.

Le CSE a la faculté de désigner dans son règlement intérieur un délégué à la protection des données (DPO), dont le rôle est d’agir comme un intermédiaire auprès du responsable de traitement des données. Même si la désignation du DPO n'est pas obligatoire, elle reste toutefois recommandée !

consentement des salariés

C) Recueillir le consentement des salariés

Le RGPD vient renforcer l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (salariés et leurs familles, fournisseurs, clients...).

Ce qui est important c’est de leur rappeler leurs droits, à savoir l’accès aux informations les concernant, la rectification de leurs données personnelles et la suppression de leur profil.

D) Sécuriser ses données

Enfin, vous devez sécuriser au maximum les données en évitant tout vol ou piratage.

Afin de garantir une sécurité maximale des données, vous devez vous posez les questions suivantes :

  • Les comptes utilisateurs sont-ils protégés par un mot de passe suffisamment fort ?
  •  Les locaux sont-ils sécurisés ?
  •  Y-a-t-il une procédure de sauvegarde des données en cas d’incident ?

Il est indispensable que le CSE suive les 4 étapes de la CNIL et rédige ou étoffe son règlement intérieur, notamment en désignant un délégué à la protection des données.


Cette rédaction lui permettra d’être en conformité avec le RGPD et la loi sur la protection des données personnelles.

Des sanctions ?

Le défaut des CSE de se mettre en conformité face au RGPD pourra est passible de sanctions de la part de la CNIL allant d’un simple rappel à l’ordre à une amende administrative en passant par la mise en demeure d’une mise en conformité, en limitant temporairement ou définitivement le traitement, en suspendant les flux de données, ou encore en ordonnant de satisfaire les demandes d‘exercice des droits des personnes.

CONCLUSION : quoi retenir sur la RGPD ?

Le CSE doit être vigilant le flux de données personnelles qu'il gère, en particulier la BDES et les fichiers partagés. Ils sont des traitements de données et doivent être inscrits dans le registre de traitement de données.


Le CSE doit veiller également à respect des droits des salariés en appliquant le principe de transparence. Le RGPD a pour objectif de veiller aux droits des personnes.


Elus, il vous appartient de recueillir le consentement des personnes dont vous traitez les données en leur rappelant leur 3 droits, à savoir :

 

  1. l'accès aux informations les concernant
  2. la rectification de leurs données personnelles
  3.  la suppression de leur profil.

En tout état de cause, le CSE a l'obligation de se mettre en conformité avec le RGPD : modifier ou ajuster son règlement intérieur, désigner un délégué à la protection des données (DPO) et de suivre les recommandations de la CNIL par les quatre étapes listées ci-dessus.