Komitê
Nous contacter
Tel : 01 84 80 40 74

Parce qu’un CSE informé en vaut deux, inscrivez-vous à notre lettre d’information ! (Rédigée par nos avocats, pour vous)

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.

Le CSE et le RGPD

Le Règlement Général sur la Protection des Données est devenu le nouvel épouvantail de bien des CSE. Les missions du comité, et plus particulièrement la gestion des ASC, nécessitent la collecte de données personnelles, protégées par le RGPD. Pourtant, quelques réflexes simples permettent aux élus de mettre leurs pratiques en conformité avec le fameux règlement.

Quelques rappels sur le RGPD

Le RGPD est un règlement européen harmonisant les pratiques au sein de l’Union Européennes sur la gestion des données personnelles. En vigueur depuis le 25 mai 2018, il remplace la Loi Informatique et Liberté, qui encadrait jusqu’ici cette question en France.

La loi informatique et liberté misait sur un système de déclaration des systèmes de traitement de données. La logique du RGPD repose sur la mise en place d’outils de protection internes chez les collecteurs de données. Chaque entité traitant des données doit mettre en place des dispositifs permettant de garantir les droits protégés par le règlement.

Les obligations de déclaration préalables du traitement de données à la CNIL ont ainsi été majoritairement supprimées.

Qu’est-ce qu’une donnée personnelle ?

La donnée personnelle se définit comme une information permettant d’identifier une personne. Cette identification peut être directe ou indirecte. Elle peut également résulter d’un recoupement de données. Sans surprise, le nom, le prénom, l’adresse mail, ou encore le numéro de sécurité sociale sont des données personnelles. Toute information permettant par croisement de désigner un salarié est également couverte par le RGPD. L’âge et la rémunération notamment entrent dans cette définition.

Le RGPD distingue une catégorie spécifique de données : les données sensibles. Appartenance syndicale, données de santé, données biométriques… Celles-ci font l’objet d’une protection renforcée. Leur collecte est en principe interdite, sauf nécessité absolue.

Le CSE est-il soumis au RGPD ?

Le RGPD concerne tout organisme amené à traiter de manière automatisée des données personnelles. Il s’applique également à la constitution d’un fichier contenant des données personnelles. Qu’elle soit effectuée par le biais d’un logiciel de gestion élaboré ou d’un fichier Excel artisanal, la gestion de données doit respecter le RGPD.

Le CSE est concerné par le RGPD s’il collecte des données personnelles. Cela sera le cas généralement dans le cadre de la gestion des activités sociales et culturelles. Les critères fixés par le CSE, mais également les justificatifs demandés par l’URSSAF, nécessitent souvent de solliciter des informations personnelles. Le versement des prestations du CSE peut ainsi être conditionné à la justification de la situation familiale ou financière du salarié.

Le recueil de données peut également concerner les attributions économiques du CSE. Le comité peut être amené à réaliser un fichier des adresses emails des salariés, ou avoir connaissance d’informations personnelles les concernant.

Les principaux points d’attention du CSE

Somme toute, le RGPD est affaire de bon sens. Celui-ci s’articule autour de quelques principes que les élus doivent avoir à l’esprit lorsqu’ils sont au contact de données personnelles.

Avant toute chose, le RGPD a sacralisé le droit à l’information des personnes dont les données sont traitées. L’information porte tant sur l’existence d’une collecte de donnée que des garanties dont disposent les salariés.

A ce titre, le RGPD prévoit un droit d'accès aux informations personnelles collectées et qui les concernent. Les salariés peuvent rectifier des données inexactes ou erronées et bénéficient d’un droit à l'oubli. Les salariés peuvent également s’opposer au traitement de leurs données.

Enfin, le CSE doit se poser la question de la pertinence des données recueillies. On parle aussi de principe de finalité : pourquoi demande-t-on une information personnelle à quelqu’un ? Les informations collectées doivent être nécessaires. Ainsi, une prestation du CSE destinées aux enfants des salariés peut justifier qu’il soit demandé un justificatif familial. La question de la pertinence concerne aussi la durée de conservation. Celle-ci doit être justifiée par les obligations du CSE. Illustration classique, collecter des données permet de se prémunir contre un contrôle URSSAF. La durée de conservation des informations sera fixée selon la prescription en la matière, à savoir trois ans.

Quelles sont les données que le CSE peut récolter ?

Les données nécessaires ! En amont, les membres du CSE doit mener une réflexion sur les informations dont ils ont besoin. Cela commence par définir avec précision les prestations qui seront délivrées aux salariés et les éventuels critères d’attributions.

Si le CSE se contente de remettre des bons d’achats, aucune information personnelle ne sera nécessaire. En revanche, s’il conditionne la prestation à un critère de revenu, les élus pourront solliciter une fiche de paie. Un calcul objectif/nécessité doit être effectué.

Le consentement des salariés est-il nécessaire ?

Qui pense RGPD pense généralement à l’encadré s’ouvrant sur toute nouvelle page internet demandant au lecteur s’il consent au traitement de ses données. Le RGPD n’impose cependant pas obligatoirement de recueillir le consentement. Dans certains cas, le collecteur peut s’affranchir de l’accord du titulaire des données. A ce titre, si une obligation légale nécessite la collecte de certaines données ou si les intérêts légitimes du responsable du traitement le justifient, le consentement n’est pas nécessaire.

Pour le CSE, et selon l’opinion commune, le recueil du consentement n’est pas nécessaire. Les données sont collectées dans le cadre d’une double obligation légale : gérer les ASC et exercer les attributions économiques du comité. Ajoutons à cela la nécessité de se prémunir des contrôles de l’URSSAF.

Qu’est-ce que le CSE doit mettre en place pour respecter le RGPD ?

-          Le registre des activités de traitement du CSE

Le CSE doit mettre en place un registre synthétisant les données collectées.  Sa mise en place est assez simple, elle peut être faite par le biais d’un document papier ou informatisé. Un onglet doit être rédigé pour chaque activité nécessitant la collecte et le traitement de données.

Chaque onglet doit contenir un certain nombre d’informations, portant notamment sur la nature des données collectées et de la finalité de la collecte. Les coordonnées du responsable de traitement (l’élu en charge) doivent y être mentionnées.

-          Le responsable du traitement des données du CSE

Le CSE doit désigner parmi ses membres un responsable du traitement des données. Celui-ci se voit confier deux missions. Il doit rédiger en premier lieu le registre des activités de traitement. Surtout, il doit veiller à la mise en place d’une organisation permettant une gestion des données conformes au CSE. Cela passe tant par le choix des données sollicitées que du recours à des outils informatiques fiables.

-          Recourir à des moyens de protections efficaces

Au-delà des règles, le respect du RGPD passe par la technique. Le CSE doit stocker les informations personnelles sur des supports sécurisés. Oubliée la clé USB ou le fichier qui traine sur le bureau. Le comité doit veiller aux supports qu’il utilise et à leur protection. Il aura tout intérêt à se servir de disques durs ou de Drives externes protégés par des mots de passe régulièrement modifiés. En outre, il est préférable d’accorder un accès réduit à ces espaces sécurisés.

Que doit contenir le registre des activités de traitement ?

Le registre est organisé par fiche, chaque fiche étant propre à une activité nécessitant la collecte des données (par exemple, aide à la rentrée scolaire, voyage du CSE…). Principalement, chaque fiche doit mentionner le type de données personnelle collectée et le nom et les coordonnées du responsable traitement. En outre, la finalité du traitement, les catégories de personnes concernées doivent y figurer. Le cas échéant, si les données peuvent être transférées, il faut indiquer les destinataires potentiels.  Enfin, le registre doit préciser les mesures de sécurité techniques et organisationnelles mises en place pour protéger les données.

Une idée très simple pour se guider. Si la CNIL vient effectuer un contrôle, le registre doit immédiatement lui donner une idée claire et rassurante de la manière dont les données sont traitées et protégées.

Comment informer les salariés de leurs droits sur le RGPD ?

Un grand nombre d’informations doivent être transmises au salarié, au premier desquelles leurs droits au titre du RGPD. La nature des données collectées, le responsable de traitement, la durée de conservation, la finalité du traitement, les droits d’opposition ou de rectification, les personnes auxquelles les données peuvent être transmises, toutes ces informations doivent être fournies aux salariés.

La manière la plus simple est souvent d’insérer un encart dans les communications du CSE aux salariés, qu’elles soient effectuées par email, par une brochure ou par le biais du site internet du Comité.

Il faut également mentionner la possibilité d’effectuer un recours devant la CNIL.

Les prestataires du CSE et le RGPD

Recourir à un prestataire n’absout pas le CSE de ses propres obligations. Avant de faire appel à une entreprise extérieure à laquelle des données peuvent être transmises, les élus doivent s’assurer de son sérieux et de son propre respect du RGPD.

Le CSE peut, et doit, solliciter toute information et garantie nécessaire pour s’assurer que son prestataire respecte lui-même le RGPD. Il faut ainsi vérifier que les données transmises seront protégées et utilisées conformément à l’objectif ayant justifié leur collecte.

Pendant combien de temps le CSE doit-il ou peut-il conserver des données ?

La durée de conservation dépend de l'objectif justifiant la collecte de données et des obligations légales du collecteur. Pour le CSE, il est souvent conseillé de se calquer sur les durées de prescription de l’URSSAF. Le risque majeur est en effet le redressement. L’URSSAF pouvant investiguer jusqu’à trois exercices en arrière, le CSE doit pouvoir justifier de toutes les prestations allouées sur cette période.

Quels sont les risques ?

En cas de non-respect du RGPD, le CSE risque au premier chef un contrôle de la CNIL et éventuellement une amende administrative. La CNIL a toujours une approche pédagogique, puisque, en cas de manquement, elle adressera généralement à l’entité une lettre de mise en conformité.

Il existe aussi des infractions pénales spécifiques, telles que le défaut d'information des personnes dont les données sont collectées, qui peuvent entrainer le paiement d’une amende.

Enfin, un salarié qui justifierait d’un préjudice pourra engager la responsabilité civile du CSE pour solliciter des dommages et intérêts.

Retour

Envie d’en savoir plus ou juste de bavarder un peu ?

Vous pouvez nous joindre au 01 84 80 40 74
sur notre adresse email contact@komite-avocats.fr
ou en remplissant le formulaire ci-dessous

Ce champ est invalide
Ce champ est invalide
Ce champ est invalide
Ce champ est invalide
Ce champ est invalide