Le CSE n’est pas épargné par la protection des données personnelles. En effet, le règlement général sur la protection des données (ou RGPD) est entré en vigueur en Europe le 22 mai 2018. Il a été transposé et appliqué en France par la loi relative à la protection des données personnelles.
Toute structure, entreprise, organisation qui en détient doit s'y conformer. Cela concerne donc également le CSE.
Découvrez, dans cet article, tout ce qu'il faut savoir sur la protection des données personnelles détenues et gérées par le CSE.
Que prévoit la nouvelle règlementation sur les données personnelles ?
Le RDPG est un texte européen qui encadre et prévoit une nouvelle réglementation en matière de traitement de données à caractère personnel sur le territoire de l’Union Européenne.
En effet, l’article premier précise que ce règlement vient mettre en place un ensemble de règles pour protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel, et réglementer la libre circulation de ces données.
Ce nouveau cadre juridique essaie de s'adapter aux évolutions technologiques de nos sociétés, caractérisées par une utilisation toujours plus croissante du numérique et le développement du commerce en ligne. Il permet également d'harmoniser les règles au sein de l'ensemble du territoire européen, pour assurer le contrôle, par les citoyens, de l'utilisation de leurs données personnelles.
Ce cadre juridique pose 5 grands principes pour protéger les données personnelles :
- la finalité : la conservation des données d'une personne doit ce faire dans un but précis, légal et légitime. ;
- la proportionnalité et la pertinence : les types de données conservées doivent être nécessaires selon la finalité établie précédemment ;
- la conservation limitée : les données ne peuvent être conservées pour une durée indéterminée, celle-ci doit être fixée à l'avance puis les données supprimées au-delà de ce délai ;
- la sécurité et la confidentialité : seules des personnes autorisées peuvent avoir accès aux données détenues ;
- la reconnaissance du droit des personnes : elles disposent d'un droit d'information, d'accès, de modification et de suppression de leurs données.
Qu’en est-il du CSE qui collecte ce type de données personnelles dans le cadre des activités sociales et culturelles par exemple ?
Besoin d'une formation CSE / SSCT ? Billetterie ? Compte rendu ? Autres ?
Le CSE est-il concerné par la protection des données personnelles ?
Le CSE, dans le cadre de ses activités sociales et culturelles, va proposer aux salariés et leurs familles des prestations en lien avec les loisirs. Cela peut être des sorties cinéma, des sorties aux thématiques spécifiques, ou encore des voyages.
Afin d’organiser au mieux ces prestations, le CSE va demander aux collaborateurs des informations plus ou moins personnelles : nom, prénom, adresse personnelle, date de naissance, antécédents médicaux, etc.
Dans le cadre du budget de fonctionnement, le CSE va également demander des informations personnelles lorsque l'instance dispose elle-même de salariés ou d’informations relatives à ses fournisseurs ou clients.
Dès lors, dans toutes ces situations, la protection des données entre en jeu et le CSE doit donc se conformer aux 5 grands principes énoncés précédemment :
- finalité : les activités sociales et culturelles ainsi que le fonctionnement du CSE constituent un but légitime à la collecte de certaines données personnelles ;
- proportionnalité et pertinence : le CSE ne doit collecter que des informations nécessaires à la réalisation des activités sociales et culturelles ou à son fonctionnement ;
- durée de conservation limitée : le Code du Travail impose de conserver les pièces justificatives de versement de prestations ou de paiements (du salarié ou des fournisseurs dans le cadre du budget de fonctionnement) pendant 10 ans ;
- la sécurité et la confidentialité : le CSE doit garantir la confidentialité des données qu'il stocke, tous les élus n'ont pas nécessairement obligation d'y avoir accès et une gestion des droits doit être mise en place ;
- la reconnaissance du droit des personnes : tout salarié est en droit de refuser de transmettre toutes ou partie de ses données personnelles, mais en conséquence le CSE ne pourra pas lui faire bénéficier de toutes les prestations proposées, en tout état de cause, le recueil du consentement par les élus du CSE est nécessaire.
Attention toutefois, la durée de conservation du CSE dépend aussi du type de données personnelles traitées. Leur traitement doit rester en lien avec les autres principes du RGPD (finalité, proportionnalité, sécurité, etc.) et leur durée de conservation dépend du type de données personnelles dont on parle (ainsi que de leur finalité).
Pour cela, on peut se référer aux précisions apportées par le ministère du Travail de toutes les obligations et recommandations du Code du Travail pour les entreprises (le CSE est soumis aux mêmes règles que les entreprises).
Qu'est-ce qu'une donnée à caractère personnel ?
Une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, notamment par la référence à un identifiant comme un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle et sociale (selon la loi 78-17 du 6 janvier 1978, la loi 2018-493 du 20 juin 2018 et le règlement général sur la protection des données UE 2019/679 du 27 avril 2016).
Le CSE se doit donc dans le cadre du RGPD, de protéger l’ensemble de ces informations.
Ainsi, il doit s’assurer de l’accessibilité de ces données à des personnes autorisées uniquement. Mais encore il doit s’engager à ne pas détourner ces données et doit pouvoir permettre aux personnes à qui elles appartiennent de les consulter, les modifier ou les supprimer à tout moment.
Comment faire en tant que CSE pour assurer la protection de ces données ?
Ainsi le CSE doit se conformer au RGPD selon les 4 étapes de la CNIL :
Instaurer un registre de traitement des données
Le registre de traitement des données est un document recensant l’ensemble des données personnelles des fichiers.
L'objectif est d'identifier les activités qui nécessite la collecte et le traitement de données.
Il est recommandé de s’appuyer sur le modèle de registre de la CNIL.
Faire le tri dans ses données
Grâce au registre de traitement de données, les élus doivent s'interroger sur les données dont le CSE a réellement besoin pour effectuer ses missions.
Le CSE a la faculté de désigner dans son règlement intérieur un délégué à la protection des données (DPO), dont le rôle est d’agir comme un intermédiaire auprès du responsable de traitement des données. Même si la désignation du DPO n'est pas obligatoire, elle reste toutefois recommandée !
Recueillir le consentement des salariés
Le RGPD vient renforcer l’obligation d’information et de transparence à l’égard des personnes dont on traite les données (salariés et leurs familles, fournisseurs, clients...).
Ce qui est important, c’est de leur rappeler leurs droits, à savoir l’accès aux informations les concernant, la rectification de leurs données personnelles et la suppression de celles-ci à tout moment s'ils le souhaitent.
Sécuriser ses données
Enfin, le CSE doit sécuriser au maximum les données en évitant tout risque de vol ou piratage.
Afin de garantir une sécurité maximale des données, il est essentiel de se poser les questions suivantes :
Il est indispensable que le CSE suive les 4 étapes de la CNIL et rédige ou étoffe son règlement intérieur, notamment en désignant un délégué à la protection des données.
Cela lui permettra d’être en conformité avec le RGPD et la loi sur la protection des données personnelles.
Besoin d'une formation pour votre CSE ?
Service 100% Gratuit & Rapide
Quelles sont les sanctions possibles ?
La non-conformité d'un CSE au RGPD pourra est passible de sanctions de la part de la CNIL allant d’un simple rappel à l’ordre à une amende administrative.
Précisément, il peut s'agir :
- d'un rappel à l'ordre ;
- d'une mise en demeure de mise en conformité, en limitant temporairement ou définitivement le traitement, en suspendant les flux de données, ou encore en ordonnant de satisfaire les demandes d'exercice des droits des personnes ;
- d'une amende qui peut s'élever jusqu'à jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.
Que retenir sur le RGPD ?
Le CSE doit être vigilant le flux de données personnelles qu'il gère, en particulier la BDES et les fichiers partagés. Ils sont des traitements de données et doivent être inscrits dans le registre de traitement de données.
Le CSE doit veiller également à respect des droits des salariés en appliquant le principe de transparence. Le RGPD a pour objectif de veiller aux droits des personnes.
Elus, il vous appartient de recueillir le consentement des personnes dont vous traitez les données en leur rappelant leur 3 droits, à savoir :
- l'accès aux informations les concernant
- la rectification de leurs données personnelles
- la suppression de leur profil.
En tout état de cause, le CSE a l'obligation de se mettre en conformité avec le RGPD : modifier ou ajuster son règlement intérieur, désigner un délégué à la protection des données (DPO) et de suivre les recommandations de la CNIL par les quatre étapes listées ci-dessus.