Protection des Données Personnelles du CSE (RGPD) Guide

Le CSE n’est pas épargné par la protection des données personnelles. En effet, le règlement général sur la protection des données (ou RGPD) est entré en vigueur en Europe le 22 mai 2018. Il a été transposé et appliqué en France par la loi relative à la protection des données personnelles.

Toute structure, entreprise, organisation qui en détient doit s'y conformer. Cela concerne donc également le CSE.

Découvrez, dans cet article, tout ce qu'il faut savoir sur la protection des données personnelles détenues et gérées par le CSE.

Protection des Données Personnelles du CSE dit RGPD CSE

Que prévoit la nouvelle réglementation sur les données personnelles ?

Le RDPG est un texte européen qui encadre et prévoit une nouvelle réglementation en matière de traitement de données à caractère personnel sur le territoire de l’Union Européenne.

En effet, l’article premier précise que ce règlement vient mettre en place un ensemble de règles pour protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel, et réglementer la libre circulation de ces données.

Ce nouveau cadre juridique essaie de s'adapter aux évolutions technologiques de nos sociétés, caractérisées par une utilisation toujours plus croissante du numérique et le développement du commerce en ligne. Il permet également d'harmoniser les règles au sein de l'ensemble du territoire européen, pour assurer le contrôle, par les citoyens, de l'utilisation de leurs données personnelles.

Ce cadre juridique pose 5 grands principes pour protéger les données personnelles :

  • La finalité : la conservation des données d'une personne doit ce faire dans un but précis, légal et légitime. 
  • La proportionnalité et la pertinence : les types de données conservées doivent être nécessaires selon la finalité établie précédemment.
  • La conservation limitée : les données ne peuvent être conservées pour une durée indéterminée, celle-ci doit être fixée à l'avance puis les données supprimées au-delà de ce délai.
  • La sécurité et la confidentialité : seules des personnes autorisées peuvent avoir accès aux données détenues.
  • La reconnaissance du droit des personnes : elles disposent d'un droit d'information, d'accès, de modification et de suppression de leurs données.

Qu’en est-il du CSE qui collecte ce type de données personnelles dans le cadre des activités sociales et culturelles par exemple ? 

Besoin d'une formation CSE / SSCT ? Billetterie ? Compte rendu ? Site Web ? Assistance ou un besoin spécifique ?

Le CSE est-il concerné par la protection des données personnelles ? 

Le CSE, dans le cadre de ses activités sociales et culturelles, va proposer aux salariés et leurs familles des prestations en lien avec les loisirs. Cela peut être des sorties cinéma, des sorties aux thématiques spécifiques, ou encore des voyages.

Afin d’organiser au mieux ces prestations, le CSE va demander aux collaborateurs des informations plus ou moins personnelles : nom, prénom, adresse personnelle, date de naissance, etc.

Il peut également être amené à recueillir des informations dites sensibles :

  • Justificatifs et pièces d’identité.
  • Numéro d’identification (Sécurité sociale, contrats, etc.)
  • Données bancaires.
  • Données médicales.
  • En lien avec l’engagement syndical.
  • Etc.

Dans le cadre du budget de fonctionnement, le CSE va également demander des informations personnelles lorsque l'instance dispose elle-même de salariés ou d’informations relatives à ses fournisseurs ou clients. 

Dès lors, dans toutes ces situations, la protection des données entre en jeu et le CSE doit donc se conformer aux 5 grands principes énoncés précédemment : 

  1. Finalité : les activités sociales et culturelles ainsi que le fonctionnement du CSE constituent un but légitime à la collecte de certaines données personnelles. 
  2. Proportionnalité et pertinence : le CSE ne doit collecter que des informations nécessaires à la réalisation des activités sociales et culturelles ou à son fonctionnement.
  3. Durée de conservation limitée : le Code du Travail impose de conserver les pièces justificatives de versement de prestations ou de paiements (du salarié ou des fournisseurs dans le cadre du budget de fonctionnement) pendant 10 ans.
  4. La sécurité et la confidentialité : le CSE doit garantir la confidentialité des données qu'il stocke, tous les élus n'ont pas nécessairement obligation d'y avoir accès et une gestion des droits doit être mise en place.
  5. La reconnaissance du droit des personnes : tout salarié est en droit de refuser de transmettre toutes ou partie de ses données personnelles, mais en conséquence le CSE ne pourra pas lui faire bénéficier de toutes les prestations proposées, en tout état de cause, le recueil du consentement par les élus du CSE est nécessaire.

Attention toutefois, la durée de conservation du CSE dépend aussi du type de données personnelles traitées. Leur traitement doit rester en lien avec les autres principes du RGPD (finalité, proportionnalité, sécurité, etc.) et leur durée de conservation dépend du type de données personnelles dont on parle (ainsi que de leur finalité). 


Pour cela, on peut se référer aux précisions apportées par le ministère du Travail de toutes les obligations et recommandations du Code du Travail pour les entreprises (le CSE est soumis aux mêmes règles que les entreprises).

Qu'est-ce qu'une donnée à caractère personnel

Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, notamment par la référence à un identifiant comme un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle et sociale (selon la loi 78-17 du 6 janvier 1978, la loi 2018-493 du 20 juin 2018 et le règlement général sur la protection des données UE 2019/679 du 27 avril 2016).

Le CSE se doit donc dans le cadre du RGPD, de protéger l’ensemble de ces informations.

Ainsi, il doit s’assurer de l’accessibilité de ces données à des personnes autorisées uniquement. Mais il doit encore s’engager à ne pas détourner ces données et doit pouvoir permettre aux personnes à qui elles appartiennent de les consulter, les modifier ou les supprimer à tout moment.

Comment faire en tant que CSE pour assurer la protection de ces données ?

Afin d'assurer la protection de ses données, les élus doivent suivre les recommandations de la CNIL. 

Pour cela, ils peuvent respecter les étapes suivantes.

Étape 1 : S’assurer du consentement des salariés en s’appuyant sur des règles transparentes

Une des règles primordiales pour être en conformité avec le RGPD est la connaissance que vont avoir les bénéficiaires de leurs droits et du fait qu’ils soient en mesure de consentir ou de refuser la communication de leurs données.

Pour cela, n’hésitez pas à insérer un encart spécifiant les conditions de collecte des données dans tous formulaires en ligne qui nécessitent de récolter des informations. De plus, n’oubliez pas d’y ajouter une case à cocher pour témoigner de l’accord ou non du salarié. En effet, en cas de contrôle, vous pourrez ainsi prouver l’approbation.

Afin de clarifier vos règles officielles de politique de collecte et de protection des données personnelles, pensez à les inclure dans le règlement intérieur du CSE et à indiquer le temps de conservation des données, leurs délais d’archivage et de suppression. N’oubliez pas également de définir quels sont les responsables du traitement de celles-ci au sein de votre CSE.

Étape 2 : Instaurer un registre des activités de traitement

Selon la CNIL, le registre des activités de traitement permet de recenser tous les processus de traitements de données et de disposer d’une vue d’ensemble de ce qui est fait avec les données personnelles. Il peut être informatisé ou manuscrit.

Ce registre contient :

  • Toutes les personnes ayant un lien avec le traitement de données directement ou indirectement (le chargé du traitement des données, les élus, les sous-traitants, etc.).
  • Les différentes catégories de données collectées.
  • Leurs utilisations.
  • Les personnes ayant accès à ces données.
  • Les personnes à qui elles seront communiquées.
  • Leur durée de conservation.
  • Le système utilisé pour en assurer la sécurité.

Ce document peut sembler complexe à rédiger, c’est pourquoi la CNIL propose un modèle de registre des activités de traitement dont il est possible de s’inspirer pour créer le vôtre.

À noter  : Si vous travaillez avec des sous-traitants, ils doivent aussi tenir le même registre afin de prouver que vos données sont bien employées et protégées.

Dans le cas où l’entreprise possède moins de 250 salariés, il est possible de tenir un registre allégé. Il doit néanmoins contenir :

  • Les traitements les plus récurrents.
  • Les traitements contenant des données sur la liberté et les droits des individus (vidéosurveillance, etc.).
  • Les traitements d’informations sensibles.

Étape 3 : Nommer un délégué à la protection des données (DPD)

Le CSE a la faculté de désigner dans son règlement intérieur un délégué à la protection des données (DPD) parfois aussi nommé référent RGPD de l’entreprise ou DPO. Même si la désignation du DPD n'est pas obligatoire, elle reste toutefois recommandée !

Son rôle principal est de veiller au respect des procédures vis-à-vis du RGPD. 

Ses missions sont :

  • Faire office d’intermédiaire en cas de contrôle.
  • Aider et conseiller le chargé de traitement des données et les élus.
  • Contrôler les bonnes pratiques de protection des données.

À noter  : Le délégué à la protection des données peut être nommé en interne ou en externe au CSE.

Ainsi, le choix du délégué doit répondre à certains critères : 

  • Avoir un certain degré d’expertise en matière de protection des données.
  • Ne pas avoir de conflit d'intérêts avec les missions qu’il doit remplir. Dès lors, tout membre du CSE qui participe à la collecte ou au traitement des informations ne peut prétendre à cette fonction.

La désignation d'un DPD dans l'entreprise est obligatoire dans les entreprises de plus de 250 salariés. Pour les autres structures, la CNIL a juste émis une vive recommandation.


Il est également obligatoire quand l'entreprise relève du secteur public ou effectue :

  • Un traitement de données sensibles ou relatives à des condamnations pénales et infractions.
  • Un traitement à grande échelle de suivi régulier et systématique des personnes.

Étape 4 : Sécuriser vos données

Une fois les premières étapes terminées (sensibilisation, récolte des données et création du registre des traitements de données approuvé par le DPD), il ne vous reste plus qu’à vous assurer de la sécurisation de vos données.

Votre méthode va dépendre du mode de conservation de vos données.

Si vous les conservez physiquement (format papier), pensez à :

  • Sécuriser l’accès de vos locaux.
  • Recenser tous les supports contenant des données.

Si vous les conservez informatiquement, pensez à :

  • Mettre en place une procédure de sauvegarde et de récupération des données.
  • Mettre à jour vos logiciels et vos antivirus.
  • Utiliser des mots de passe complexes et les modifier régulièrement.
  • Créer des profils différents en fonction des besoins d’accès aux différents types de données.

Dans le cas où vous vous apercevriez que des données ont été modifiées, détruites, perdues, consultées ou volées sans votre autorisation, il est impératif de le signaler à la CNIL dans un délai de 72 heures. Elle vous accompagnera alors dans la suite de vos démarches. 

De plus, si cette violation peut porter atteinte aux droits et libertés de vos bénéficiaires, il s’agira de les en informer.

Besoin d'une formation pour votre CSE ? 

Service 100% Gratuit & Rapide

Il est indispensable que le CSE suive les 4 étapes de la CNIL et rédige ou étoffe son règlement intérieur, notamment en désignant un délégué à la protection des données.

Cela lui permettra d’être en conformité avec le RGPD et la loi sur la protection des données personnelles.

Quelles sont les sanctions possibles ?

La non-conformité d'un CSE au RGPD pourra être passible de sanctions de la part de la CNIL allant d’un simple rappel à l’ordre à une amende administrative.

Précisément, il peut s'agir :

  • D'un rappel à l'ordre.
  • D'une mise en demeure de mise en conformité, en limitant temporairement ou définitivement le traitement, en suspendant les flux de données, ou encore en ordonnant de satisfaire les demandes d'exercice des droits des personnes.
  • D'une amende qui peut s'élever jusqu'à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Tout comme le CSE, l'employeur peut être sanctionné en cas de non-respect des RGPD.

Pour en savoir plus, consultez notre article Surveillance salariés : lois, règles & sanctions employeur.

Que retenir sur le RGPD ?


Le CSE doit être vigilant concernant le flux de données personnelles qu'il gère, en particulier la BDES et les fichiers partagés. Ils sont des traitements de données et doivent être inscrits dans le registre de traitement de données.


Le CSE doit veiller également au respect des droits des salariés en appliquant le principe de transparence. Le RGPD a pour objectif de veiller aux droits des personnes.


Élus, il vous appartient de recueillir le consentement des personnes dont vous traitez les données en leurs rappelant leur 3 droits, à savoir :

 

  1. L'accès aux informations les concernant.
  2. La rectification de leurs données personnelles.
  3. La suppression de leur profil.

En tout état de cause, le CSE a l'obligation de se mettre en conformité avec le RGPD : modifier ou ajuster son règlement intérieur, désigner un délégué à la protection des données (DPO) et de suivre les recommandations de la CNIL par les quatre étapes listées ci-dessus.

Nos autres articles