C’est un sujet complexe et qui mobilise peu les élus du comité social et économique (CSE). Pourtant, les sanctions, en cas de non-respect du règlement général sur la protection des données (RGPD), peuvent être très lourdes.
Ce règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.
RGPD : de quoi parle-t-on ?
Il est entré en vigueur le 25 mai 2018 ((Règl. UE no 2016/679, 27 avr. 2016). Le RGPD s’applique à tout traitement de données à caractère personnel concernant des personnes physiques, automatisé en tout en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Avec le RGPD et la nouvelle loi informatique et libertés (L. no 2018-493, 20 juin 2018, JO 21 juin, art. 1), les procédures de déclarations préalables auprès de la CNIL ont disparu et les dispenses adoptées par la CNIL n'ont plus de valeur juridique depuis le 25 mai 2018.
La CNIL a publié un « guide pratique de sensibilisation au RGPD ».
Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée à caractère personnel constitue toute information permettant d’identifier une personne physique directement (nom, prénom) ou indirectement (numéro de téléphone, adresse, matricule, adresse mail, coordonnées bancaires, photo, etc.). De par leurs activités, les CSE sont très souvent amenés à traiter ce type d’information.
Qu’est-ce qu’un traitement de données ?
Le traitement de données est une opération appliquée à des données ou à des ensembles de données à caractère personnel. Sont concernés, la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la communication, la diffusion, l’effacement ou la destruction des données.
Pour être qualifiées de « traitement de données » les informations personnelles doivent être organisées pour répondre à une finalité, par exemple, suivre la consommation des œuvres sociales et culturelles (ASC) des salariés ou calculer le quotient familial dans le cadre de l’attribution des chèques vacances.
Les CSE sont-ils concernés par ce règlement ?
Désormais, les CSE doivent pleinement se conformer aux prescriptions du RGPD, y compris s'ils recourent à un prestataire extérieur pour la gestion des activités sociales et culturelles, et y compris si les données personnelles leur sont transmises par l'employeur.
Ils sont bien sûr directement concernés, pour la gestion des activités sociales et culturelles, pour lesquelles, les CSE collectent de nombreuses informations sur les bénéficiaires. Mais ils sont également concernés pour les actions de communication (liste de diffusion aux salariés) et pour le suivi des réclamations et enquêtes.
Le consentement des salariés doit-il être recueilli ?
Si la collecte et le traitement des données sont nécessaires, au respect d’une obligation légale, aux intérêts légitimes poursuivis et à l’exécution d’un contrat, recueillir le consentement des salariés n’est pas requis.
La mise en conformité du CSE aux RGPD
Sans rentrer dans une analyse approfondie du processus de cette mise en conformité, on peut identifier quatre étapes :
Le CSE doit d’abord désigner, un de ses membres, responsable du traitement des données. La désignation se fait en réunion plénière à la majorité des présents. Son rôle sera de s’assurer de la conformité des traitements aux obligations réglementaires.
Le CSE doit constituer un registre des activités donnant lieu à un traitement des données personnelles. Il s’agit de recenser les données personnelles traitées. Le plus simple est de lister toutes les activités du CSE et d’établir une fiche par activités, qui donnent lieu à un traitement de données personnelles ayant une finalité propre. Ce registre doit être tenu à disposition de la CNIL.
Pour sécuriser les données, les élus doivent s’interroger sur les données dont ils ont réellement besoin. En effet, dans un monde numérique, de sur-information et de « big data », le risque est de collecter des informations dont le CSE n’a pas l’utilité. Plus le nombre d’informations est élevé et plus les risques de perdre le contrôle des fichiers sont importants. Il est nécessaire de limiter et sécuriser ces données et leur accès. Le CSE doit mettre en place des mesures techniques et organisationnelles pour se conformer à la loi.
Le CSE doit informer les salariés, des données personnelles qui sont collectées, au moment de leur collecte.
Comment choisir le référent RGPD ?
Le choix n’est pas simple et les volontaires ne seront sans doute pas très nombreux !
Les élus du CSE doivent veiller à ce que responsable du traitement des données dispose d’un minimum de compétences, pour l’exercice de ses fonctions. En effet, le responsable doit être en mesure de contrôler tant la conformité juridique que technique des traitements de données.
Une formation sera souvent nécessaire. Pour les CSE de taille importante et/ou traitant de nombreuses données personnelles, le recours à un consultant extérieur sera souvent la meilleure solution.
Quelles sanctions en cas de non-respect du RGPD ?
Sur le plan pénal, l’infraction au RGPD peut entraîner une peine pouvant aller jusqu’à 5 ans de prison et 300 000 euros d’amende. Des amendes administratives peuvent être infligées par la CNIL. Sur le plan civil, toute personne qui a subi un dommage peut en demander réparation.
CEOLIS
Didier FORNO
Assistance du CSE
Publié le 24/06/2022