Les obligations RGPD et les points de vigilance pour les CSE

Pourquoi les CSE sont-ils concernés ?

Les CSE ont accès à des données personnelles pour leurs missions :

• Accès à des données dans le cadre de missions de représentation et de défense des intérêts des salariés ;
• Assistance individuelle des salariés ;
• Représentation collective des salariés ;
• Mission de contrôle et d’alerte ;
• Accès à des données pour les activités sociales et culturelles au profit des salariés et des ayants droit.

Toute entité, quels que soient l’activité, la taille, le lieu d’établissement (UE ou hors UE) ou le secteur (public/privé), qui traitent des données de personnes qui se trouvent dans l’UE, est soumise à la règlementation sur la protection des données.

Cadre réglementaire obligatoire

Le règlement européen général sur la protection des données (RGPD) est applicable depuis le 25 mai 2018. La loi relative à l’Informatique, aux Fichiers et aux Libertés du 6 janvier 1978 (modifiée par ordonnance du 12 décembre 2018) est entrée en vigueur le 1^er juin 2019.

Les objectifs de cette règlementation sont les suivants :

• Mettre en place des pratiques visant à protéger les données personnelles ;
• Renforcer les droits des personnes ;
• Imposer aux entités de rendre compte de leur conformité ;
• Rendre les sanctions dissuasives.

Responsabilité des CSE d’entreprises de plus de 50 salariés

Le CSE d’entreprise de plus de 50 salariés est doté d’une personnalité civile, c’est un organisme à part entière qui gère son patrimoine, avec un budget, une gouvernance et selon le cas, ses propres salariés.

Dans l’exercice de ses missions, comme l’organisation des commissions, la gestion des activités sociales et culturelles, le CSE traite de données personnelles de ses salariés de l’entreprise et de leurs ayants droit et agit comme responsable de traitement des données personnelles.

Il doit être mesure de présenter la documentation juridique mise en place pour se conformer au RGPD et les mesures de sécurité adoptées.

Dans les CSE d’entreprise de moins de 50 salariés, les obligations RGPD relèvent de la responsabilité de l’entreprise.

Points de vigilance des CSE

Sur les catégories de données personnelles

La règlementation prévoit que certaines données bénéficient d’une protection particulière :

• Les données dites « sensibles » : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses et philosophiques, l’appartenance syndicale des données génétiques ;
• Des données biométriques aux fins d’identifier une personne physique de manière unique ;
• Des données concernant la santé ;
• Des données concernant la vie ou l’orientation sexuelle d’une personne physique ;
• Le numéro de Sécurité sociale (NIR), son usage étant strictement encadré par la loi.

Sur les destinataires des données personnelles

Les destinataires des données personnelles sont notamment les suivants :

• Les sous-traitants, comme les prestataires externes en charge de l’informatique ;
• Les destinataires non sous-traitants, comme par exemple des avocats ou une assurance. Dans ce cas, la formalisation par un engagement de confidentialité est nécessaire ;
• Les tiers autorisés, par exemple l’huissier de justice, le conseil de prud’homme, l’expert comptable dans le cadre des missions d’enquêtes. Pour obtenir des informations, le tiers autorisé doit faire la demande écrite qui doit préciser :
  • Le texte législatif qui fonde la demande ;
  • Les personnes nommément identifiées ou identifiables ;
  • Les catégories de données auxquelles il souhaite accéder ;

Les données doivent être transmises de façon sécurisée.

• Le responsable conjoint de traitement, comme par exemple le CSE central. La formalisation est effectuée par un accord fixant les obligations respectives de chaque responsable de traitement pour se conformer au RGPD.

Sur la gestion des habilitations 

Le CSE doit connaître et gérer les droits d’accès, de modification et de suppression des données personnelles utilisées. La gestion des habilitations permet :

• De donner l’accès des données aux utilisateurs (membres du bureau, membres de commissions, salariés du CSE) que pour les actions strictement nécessaires à leur métier, à leur activité et uniquement pendant la durée de leur fonction (mandat, contrat de travail) ;
• de tracer tous les accès aux données et les actions effectuées ;
• De vérifier à tout moment qui possède quelles habilitations pour les traitements et données dont ils ont la charge.

Sur le site Internet du CSE

Lorsque le CSE met à disposition des salariés un site Internet, il doit identifier les données collectées dans le cadre du site.

Les cookies publicitaires nécessitent le consentement de la personne. Le site Internet peut renvoyer vers d’autres plateformes, par exemple si le site renvoie à une agence de voyages ou site de réservation de billets de spectacles, le CSE n’est pas responsable des données traitées par l’autre plateforme. Il faut le préciser aux salariés.

Se mettre en conformité

La démarche de mise en conformité est la suivante :

Faire un état des lieux

Il s’agit d’identifier et de cartographier :

• Les données personnelles traitées ;
• Les finalités des traitements ;
• Les personnes concernées ;
• Les acteurs intervenant sur les données ;
• Les flux de données entre le CSE et ces acteurs ;
• Les durées de conservation des données ;
• Les mesures de sécurité mises en place.

Mettre en place des actions

Les actions prioritaires sont notamment les suivantes :

• Désignation d’un référent/délégué à la protection des données (DPO) ;
• La mise en place du registre des traitements ;
• Les mesures d’information des personnes concernées ;
• Le recueil du consentement si besoin ;
• La formalisation avec les destinataires de données ;
• La sensibilisation du personnel du CSE et des élus.

D’autres actions de mise en conformité sont recommandées, parmi lesquelles :

• L’amendement du règlement intérieur du CSE ;
• La définition d’une politique de conservation et d’archivage ;
• La procédure interne en cas de faille de sécurité ;
• La procédure de gestion des demandes de rectification, d’accès, d’effacement, etc.