Le Règlement général sur la protection des données, ou RGPD, va bientôt avoir un an. Ce nouveau cadre européen impose des règles concernant le traitement des données à caractère personnel, règles qui ont été reprises dans la loi française Informatique et Libertés. Dans l’entreprise les élus du CSE sont concernés au titre de la gestion des activités sociales et culturelles des salariés.
Bons d’achat, voyages, réductions tarifaires en matière de spectacles ou de sports, secours… dans le cadre du fonctionnement des activités sociales et culturelles au profit des salariés, le CSE collecte et utilise des informations personnelles : nom, prénom, date de naissance, sexe, famille, adresse postale, courriel, coordonnées bancaires, quotient familial, avis d’imposition…
Or le CSE, en tant que personne morale, est tenu au respect de la nouvelle réglementation à l’instar des entreprises par exemple. Le CSE doit garantir aux salariés que les données personnelles recueillies ne seront pas accessibles à des personnes non autorisées et qu’elles ne seront pas exploitées à des fins commerciales. Si le CSE a recours à des prestataires, par exemple une agence de voyages, l’instance est également tenue à cette obligation en tant que responsable du traitement.
Désignation d’un responsable de traitement et mise en place d’un registre
Dans un premier temps, les élus du CSE vont devoir désigner, en l’absence de représentant légal, un des membres de l’instance comme étant le responsable du traitement des données à caractère personnel.
Le responsable de traitements devra ensuite mettre en place un registre faisant l’inventaire de tous les fichiers de données personnelles utilisés par le CSE, activité par activité, par exemple la communication avec les salariés, la gestion des ASC… La CNIL propose un modèle de registre (cliquer ici). Le registre doit préciser le ou les responsables du traitement, la finalité du traitement, les catégories de données utilisées, les personnes internes et externes au CSE ayant accès aux données, la durée de conservation des données…
Renforcer la sécurité des données et demander l’accord des salariés
Le CSE doit veiller à assurer la sécurité des données personnelles en prenant des mesures telles que la mise à jour des logiciels et de l’antivirus, le changement régulier des mots de passe, la création de différents profils utilisateurs, la sécurisation du local du CSE, la vérification des contrats conclus avec les prestataires qui sont aussi tenus à la sécurité des données comme le CSE.
Le CSE doit enfin obtenir le consentement des salariés dans la collecte des données à caractère personnel et informer les salariés de l’identité du responsable de traitement, sa finalité, la durée de conservation des données, les personnes ayant accès aux données, le droit des salariés à accéder et rectifier les données. Cette collecte de données peut se faire par l’employeur qui la retransmet au CSE lequel doit également informer les salariés.
En cas de manquement du CSE, ce dernier pourrait être condamné à des sanctions civiles pour réparer le préjudice subi par les salariés avec l’octroi possible de dommages et intérêts. Des sanctions pénales sont également prévues (peine maximale de 5 ans d’emprisonnement et amende maximale de 300 000 euros).
