La protection des données conditionnée par le RGPD vise aussi le comité social et économique (CSE). Cependant, doit-il appliquer les mêmes obligations que celles destinées aux entreprises ? Autrement dit, peut-on opposer l’observation du RGPD aux élus du CSE (règlement général sur la protection des données) ?

Ce sont à ces questions que notre article va tâcher de répondre en partie. Ça n’est pas si compliqué en définitive.

En matière de RGPD, il parait essentiel d’observer les recommandations et les obligations en lien avec nos pratiques. Ceci vaut pour l’exploitation de toutes les données à caractère personnel.

La protection des données concerne le CSE

Un peu plus haut, je vous ai dit que la protection des données vise dans la pratique le CSE. La question qui vous brûle les lèvres c’est tout naturellement « pourquoi ? ». Avant de vous répondre, prenons un instant pour se rappeler le rôle du CSE. Ce dernier propose aux salariés, dans le cadre de ses actions sociales, des prestations en lien avec les loisirs. Il peut s’agir d’une sortie au cinéma, d’une soirée à thème, d’un voyage organisé, etc.

Pour profiter de ces prestations, le CSE collecte des informations auprès de l’ensemble des participants.

Prenons un exemple concret : dans le cadre d’un voyage organisé ouvert aux familles, le CSE va demander des informations en lien avec cette prestation. Il va accéder à des données comme les noms et les prénoms des participants (salariés, conjoint, enfant). Il disposera également des dates de naissance, du lieu de résidence, des éventuelles pathologies concernant la famille.

C’est à ce moment précis que la protection des données intervient

Dans ces conditions, il appartient au CSE de protéger l’ensemble de ces informations. Il doit assurer aux salariés qu’elles ne seront pas accessibles à des personnes non autorisées. Le CSE s’engage par ailleurs à ne pas faire un usage détourné de ces données. Autrement dit, chacune d’elles répond à une finalité. Le CSE ne dispose pas du droit d’exploiter ces données à d’autres fins. Il doit y avoir été autorisé par la ou les personnes en question.

Conseil d'Expert

La protection des données commence donc dès la collecte. Elle se poursuit par l’usage qui est opéré de ces informations.

Instauration d’un registre des traitements de données

La collecte et l’exploitation de données personnelles impliquent le respect de certaines procédures. L’instauration d’un registre des traitements de données en fait partie. Il s’agit d’un document dans lequel seront consignées l’ensemble des données personnelles. La CNIL propose à titre d’exemple, un modèle de registre. Le format de ce document est libre. Il peut être conçu numériquement ou être présenté dans une forme plus manuscrite.

La mise à jour régulière du registre constitue une obligation à ne pas négliger.

Ce document sert d’outil de pilotage des informations. Il est évolutif afin d’être conforme aux besoins de l’organisation qui le détient. Dans le cas présent, nous parlons du CSE. Afin de procéder à l’actualisation de votre registre au sein de votre CSE, voici quelques conseils utiles. Le CSE peut désigner un délégué à la protection des données (DPD). Ce dernier agira comme un intermédiaire auprès du responsable du traitement des données. Cette mesure n’étant pas obligatoire, il faut de facto l’encadrer. Le CSE peut s’en remettre à son règlement intérieur.

Tous les membres du CSE pourront le cas échéant s’en remettre à ce règlement en cas de difficulté.

Les salariés peuvent consentir, le CSE doit le demander

Le RGPD pose comme condition de solliciter le consentement dans salariés pour la collecte de leurs informations. C’est l’organisation matérielle du CSE qui définira la façon d’obtenir cet accord. Pour le cas d’une réservation sur le site internet du CSE, le salarié cochera une case l’informant de ses droits. Tous les moyens sont bons dès lors qu’ils concourent à l’obtention du consentement des salariés. Ces derniers disposeront alors de toutes les informations tenant aux motifs de cette collecte. Le CSE communiquera également l’usage de ces données (finalité du traitement).

Ce qui compte, c’est d’informer clairement les usagers de leurs droits.

Parmi ceux-ci, la possibilité offerte aux salariés d’exiger du CSE :

– L’accès aux informations les concernant ;
– La rectification de leurs données personnelles ;
– La suppression de leur profil le cas échéant.

Pour cela, le CSE doit clairement expliquer aux salariés la ou les procédures à suivre. C’est à cette condition que la réglementation sera la mieux observée.

La protection des données constitue un enjeu majeur

Depuis l’entrée en vigueur dure RGPD, la dispense dont bénéficiaient les CE (et donc les CSE) n’a plus cours. Elle subsiste cependant, le temps pour la CNIL de rédiger les nouveaux référentiels en la matière. Dans cet intervalle, les acteurs impliqués dans la protection des données personnelles vont commencer leur mise en conformité. Dans le cadre de leurs nombreuses activités, les CSE collectent des données et les archives. Il arrive que les salariés communiquent des photocopies de papiers d’identité ou de tout autre document personnel.

L’ensemble de ces documents font régulièrement l’objet d’un archivage manuel ou numérique.

Le CSE doit en conséquence définir des règles et les rendre publics aux salariés. Il peut aussi définir des règles en vue de détruire ces données pour en limiter le temps de conservation. Les salariés peuvent être rassurés de savoir qu’à leur départ de l’entreprise, aucune donnée ne sera conservée. Il convient de définir les responsables de ce traitement et d’en assurer un contrôle.

Rappelez-vous que le CSE va rédiger un règlement intérieur en ce sens.

Vos sous-traitants sont coresponsables de la protection des données

Les membres du CSE minimisent parfois le traitement que les sous-traitants peuvent faire des données qu’ils collectent par leur intermédiaire. Pourtant, le CSE et les sous-traitants sont coresponsables de ce traitement. Il est de la responsabilité du CSE de vérifier auprès du sous-traitant qu’il présente toutes les garanties. Le sous-traitant doit en effet être en capacité de protéger les données personnelles qu’il reçoit du CSE.

Le CSE s’il le souhaite peut demander au sous-traitant la rédaction d’un contrat fixant les termes de ces garanties.

Le sous-traitant peut insérer ces garanties dans le contrat de prestation de services directement. Charge au CSE d’en prendre connaissance et de décider si cela lui semble suffisant. Dans tous les cas, le CSE doit être en mesure de préserver les salariés de toute violation de leurs droits. Imaginez un instant que le sous-traitant décide d’en faire un tout usage que celui déterminé par le contrat. Ce serait dommageable pour tout le monde. Les salariés se sentiront floués et le CSE sera tenu pour responsable. Vous voyez où je veux en venir ?

Conseil d'Expert

Il est donc impérieux de sécuriser l’ensemble de vos processus de traitement directs et indirects.

En conclusion, la protection des données s’organise

Le CSE liste pour cela l’ensemble des activités sociales où il collecte auprès des salariés, des données personnelles. Il rédige un règlement intérieur ou l’étoffe de dispositions concourant à la protection des données. Les membres du CSE désignent un DPD (c’est plutôt conseillé). Le CSE s’attaquera ensuite à l’instauration du registre visé plus haut.

Le plus important dans la pratique, c’est de recenser l’ensemble des supports utilisés par les salariés.

Par exemple, si le CSE obtient des informations personnelles via un formulaire, le salarié doit être avisé de ses droits. Le CSE veillera à ce que tous les salariés soient informés des conséquences dans la communication de ces informations.

Formation du CSE au RGPD

Vous souhaitez aller plus loin sur le sujet ? Rien de plus simple, il suffit de profiter de notre formation qui se déroule sur une journée. Durant cette formation toutes les questions que vous vous poseriez seront passées en revue.

Télécharger le programme Demande de devis