Le Règlement Général sur la Protection des Données (RGPD) qui est entré en vigueur le 25 mai 2018 a vocation à encadrer et protéger le traitement des données personnelles. Le RGDP a vocation à s’appliquer également aux Comités Sociaux et Economiques qui peuvent être amenés à détenir les données à caractère personnel des salariés de l’entreprise.
Il convient donc d’être prudent sur l’application des règles issues du RGPD pour éviter tout risque.
- Définition de « traitement des données à caractère personnel »
Une donnée à caractère personnel doit s’entendre comme toute information susceptible d’identifier une personne physique directement ou indirectement. Il peut donc s’agir des noms et prénoms d’une personne, mais aussi de son adresse, d’une photo, de son mail, etc…
Toutes les données personnelles ne sont pas nécessairement des données dites « sensibles ». Le RGPD considère que les données sensibles sont des informations relatives à l’origine ethnique ou raciale, aux opinions politiques ou religieuses, à l’appartenance syndicale, à la santé ou à l’orientation sexuelle. En principe, le traitement des données sensibles est interdit et peut faire l’objet de sanctions pénales.
Enfin, le terme de « traitement » doit s’entendre comme toute opération effectuée ou non à l’aide d’un procédé automatisé et appliqué à des données à caractère personnel. Il va donc s’agir de la collecte, de l’enregistrement, de l’extraction, de la diffusion, etc… des données personnelles.
Le CSE est donc amené à traiter des données à caractère personnel des salariés, notamment en raison de la gestion des activités sociales et culturelles et des opérations de communication du CSE.
- Comment sécuriser les données personnelles des salariés et être en conformité avec le RGPD ?
Dans un premier temps, nous recommandons au CSE de désigner parmi ses membres un responsable du traitement des données personnelles. Cette désignation peut se faire par un vote à la majorité des élus présents lors d’une réunion plénière.
Le responsable du traitement aura pour rôle de réaliser et tenir un registre du traitement des données personnelles, et mettre en œuvre toutes les mesures nécessaires pour garantir le respect du RGPD.
Le registre des activités de traitement consiste à reprendre toutes les activités du CSE donnant lieu à un traitement des données personnelles. Le but est de lister pour chacune des activités la finalité du traitement, les catégories de personnes concernées par la collecte des données, les catégories de destinataires qui recevront ces données personnelles ainsi que les délais de suppression des données.
Ensuite, il reviendra au CSE d’informer les salariés de la collecte de leurs données personnelles en leur précisant notamment la finalité du traitement, la durée de conservation des données, les modalités selon lesquelles ils peuvent exercer leurs droits d’accès, de rectification, de suppression et la possibilité d’introduire une réclamation auprès de la Cnil.
- RGPD et recours à un prestataire
Dans le cadre des activités sociales et culturelles, le CSE peut recourir à un prestataire extérieur en vue de dématérialiser certaines activités (billetterie en ligne, etc…). Attention néanmoins, le recours à un prestataire pour la gestion de tout ou partie des activités sociales et culturelles n’exonère pas le CSE de son obligation de se conformer au RGPD.
Le CSE doit donc s’assurer que le prestataire garantit une protection suffisante des données personnelles des salariés durant l’intégralité du traitement. Le CSE se doit donc demander au prestataire toutes les informations nécessaires pour contrôler la conformité des mesures prises par le prestataire avec le RGPD.
En cas d’incident, le CSE demeure le seul responsable.
- Quid en cas de non-respect des dispositions du RGPD ?
Le non-respect du RGPD peut engager la responsabilité du CSE. Sur le plan pénal, les articles 226-16 à 226-24 du code pénal prévoit des sanctions dont les peines peuvent aller jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.
Sur le plan civil, un salarié pourrait demander réparation en raison du préjudice subi du fait de la violation de ses données personnelles.
A titre de rappel, la responsabilité pèserait sur le CSE, personne morale, et non sur le responsable de traitement.
Des questions sur ce sujet ?
Nous y répondons dans le cadre de notre assistance en relations du travail pour les CSE.