La protection des données personnelles au CSE : attention à la RGPD !

Le CSE n’est pas épargné par la protection des données personnelles. En effet, le règlement général sur la protection des données (ou RGPD) est entré en vigueur en Europe le 22 mai 2018. Il a été transposé et appliqué en France par la loi relative à la protection des données personnelles.

Toute structure, entreprise, organisation qui en détient doit s'y conformer. Cela concerne donc également le CSE.

Découvrez, dans cet article, tout ce qu'il faut savoir sur la protection des données personnelles détenues et gérées par le CSE.

RGPD CSE

Que prévoit la nouvelle règlementation sur les données personnelles ?

Le RDPG est un texte européen qui encadre et prévoit une nouvelle réglementation en matière de traitement de données à caractère personnel sur le territoire de l’Union Européenne.

En effet, l’article premier précise que ce règlement vient mettre en place un ensemble de règles pour protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel, et réglementer la libre circulation de ces données.

Ce nouveau cadre juridique essaie de s'adapter aux évolutions technologiques de nos sociétés, caractérisées par une utilisation toujours plus croissante du numérique et le développement du commerce en ligne. Il permet également d'harmoniser les règles au sein de l'ensemble du territoire européen, pour assurer le contrôle, par les citoyens, de l'utilisation de leurs données personnelles.

Ce cadre juridique pose 5 grands principes pour protéger les données personnelles :

  • la finalité : la conservation des données d'une personne  doit ce faire dans un but précis, légal et légitime. ;
  • la proportionnalité et la pertinence : les types de données conservées doivent être nécessaires selon la finalité établie précédemment ;
  • la conservation limitée : les données ne peuvent être conservées pour une durée indéterminée, celle-ci doit être fixée à l'avance puis les données supprimées au-delà de ce délai ;
  • la sécurité et la confidentialité : seules des personnes autorisées peuvent avoir accès aux données détenues ; 
  • la reconnaissance du droit des personnes : elles disposent d'un droit d'information, d'accès, de modification et de suppression de leurs données. 

Qu’en est-il du CSE qui collecte ce type de données personnelles dans le cadre des activités sociales et culturelles par exemple ?

Le CSE est-il concerné par la protection des données personnelles ? 

Le CSE, dans le cadre de ses activités sociales et culturelles, va proposer aux salariés et leurs familles des prestations en lien avec les loisirs. Cela peut être des sorties cinéma, des sorties aux thématiques spécifiques, ou encore des voyages.

Afin d’organiser au mieux ces prestations, le CSE va demander aux collaborateurs des informations plus ou moins personnelles : nom, prénom, adresse personnelle, date de naissance, antécédents médicaux, etc.

Dans le cadre du budget de fonctionnement, le CSE va également demander des informations personnelles lorsque l'instance dispose elle-même de salariés ou d’informations relatives à ses fournisseurs ou clients.

Dès lors, dans toutes ces situations, la protection des données entre en jeu et le CSE doit donc se conformer aux 5 grands principes énoncés précédemment :

  • finalité : les activités sociales et culturelles ainsi que le fonctionnement du CSE constituent un but légitime à la collecte de certaines données personnelles ; 
  • proportionnalité et pertinence : le CSE ne doit collecter que des informations nécessaires à la réalisation des activités sociales et culturelles ou à son fonctionnement ;
  • durée de conservation limitée : le Code du Travail impose de conserver les pièces justificatives de versement de prestations ou de paiements (du salarié ou des fournisseurs dans le cadre du budget de fonctionnement) pendant 10 ans ;
  • la sécurité et la confidentialité : le CSE doit garantir la confidentialité des données qu'il stocke, tous les élus n'ont pas nécessairement obligation d'y avoir accès et une gestion des droits doit être mise en place ;
  • la reconnaissance du droit des personnes : tout salarié est en droit de refuser de transmettre toutes ou partie de ses données personnelles, mais en conséquence le CSE ne pourra pas lui faire bénéficier de toutes les prestations proposées, en tout état de cause, le recueil du consentement par les élus du CSE est nécessaire.
protection des données personnelles

Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, notamment par la référence à un identifiant comme un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle et sociale (selon la loi 78-17 du 6 janvier 1978, la loi 2018-493 du 20 juin 2018 et le règlement général sur la protection des données UE 2019/679 du 27 avril 2016).

Le CSE se doit donc dans le cadre du RGPD, de protéger l’ensemble de ces informations.

Ainsi, il doit s’assurer de l’accessibilité de ces données à des personnes autorisées uniquement. Mais encore il doit s’engager à ne pas détourner ces données et doit pouvoir permettre aux personnes à qui elles appartiennent de les consulter, les modifier ou les supprimer à tout moment.

Peut-on demander l'email des salariés pour la communication au CSE ?

Le recueil du consentement et la finalité de la donnée sont deux éléments de base qui doivent permettre aux élus de savoir s'ils peuvent récolter ou non une donnée personnelle.  


Si les salariés consentent à recevoir une newsletter du CSE informant des offres et des activités en cours, il est tout à fait possible de contacter les salariés sur leur email professionnel. Certains salariés peuvent préférer une communication sur leur email personnel, mais doivent explicitement donner leur consentement pour l'utilisation de cette donnée personnelle, qui doit avoir une finalité (inscription à une activité par exemple).

Comment faire en tant que CSE pour assurer la protection de ces données ?

Ainsi le CSE doit se conformer au RGPD selon les 4 étapes de la CNIL :

1) Instaurer un registre de traitement des données

Le registre de traitement des données est un document recensant l’ensemble des données personnelles des fichiers.

L'objectif est d'identifier les activités qui nécessite la collecte et le traitement de données.

Il est recommandé de s’appuyer sur le modèle de registre de la CNIL.

2) Faire le tri dans ses données

Grâce au registre de traitement de données, les élus doivent s'interroger sur les données dont le CSE a réellement besoin pour effectuer ses missions.

Le CSE a la faculté de désigner dans son règlement intérieur un délégué à la protection des données (DPO), dont le rôle est d’agir comme un intermédiaire auprès du responsable de traitement des données. Même si la désignation du DPO n'est pas obligatoire, elle reste toutefois recommandée !

3) Recueillir le consentement des salariés

Le RGPD vient renforcer l’obligation d’information et de transparence à l’égard des personnes dont on traite les données (salariés et leurs familles, fournisseurs, clients...).

Ce qui est important, c’est de leur rappeler leurs droits, à savoir l’accès aux informations les concernant, la rectification de leurs données personnelles et la suppression de celles-ci à tout moment s'ils le souhaitent.

4) Sécuriser ses données

Enfin, le CSE doit sécuriser au maximum les données en évitant tout risque de vol ou piratage.

Afin de garantir une sécurité maximale des données, il est essentiel de se poser les questions suivantes :

  • Les comptes utilisateurs sont-ils protégés par un mot de passe suffisamment fort ?
  •  Les locaux sont-ils sécurisés ?
  •  Y-a-t-il une procédure de sauvegarde des données en cas d’incident ?

Il est indispensable que le CSE suive les 4 étapes de la CNIL et rédige ou étoffe son règlement intérieur, notamment en désignant un délégué à la protection des données.


Cela lui permettra d’être en conformité avec le RGPD et la loi sur la protection des données personnelles.

Quelles sont les sanctions possibles ?

La non-conformité d'un CSE au RGPD pourra est passible de sanctions de la part de la CNIL allant d’un simple rappel à l’ordre à une amende administrative.

Précisément, il peut s'agir :

  • d'un rappel à l'ordre ;
  • d'une mise en demeure de mise en conformité, en limitant temporairement ou définitivement le traitement, en suspendant les flux de données, ou encore en ordonnant de satisfaire les demandes d'exercice des droits des personnes ;
  • d'une amende qui peut  s'élever jusqu'à jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Que retenir sur le RGPD ?


Le CSE doit être vigilant le flux de données personnelles qu'il gère, en particulier la BDES et les fichiers partagés. Ils sont des traitements de données et doivent être inscrits dans le registre de traitement de données.


Le CSE doit veiller également à respect des droits des salariés en appliquant le principe de transparence. Le RGPD a pour objectif de veiller aux droits des personnes.


Elus, il vous appartient de recueillir le consentement des personnes dont vous traitez les données en leur rappelant leur 3 droits, à savoir :

 

  1. l'accès aux informations les concernant
  2. la rectification de leurs données personnelles
  3.  la suppression de leur profil.

En tout état de cause, le CSE a l'obligation de se mettre en conformité avec le RGPD : modifier ou ajuster son règlement intérieur, désigner un délégué à la protection des données (DPO) et de suivre les recommandations de la CNIL par les quatre étapes listées ci-dessus.

Nos autres articles

Comparez plusieurs prestataires 

cse guide
384 Partages
Tweetez
Partagez384
Partagez