BDESE et RGPD : quelles donnees personnelles dans la base de donnees economiques du CSE ?

La Base de Donnees Economiques, Sociales et Environnementales (BDESE) constitue un outil central du dialogue social. Mise a la disposition du CSE par l’employeur, elle rassemble des informations strategiques sur la marche de l’entreprise. Mais certaines de ces informations peuvent contenir des donnees a caractere personnel, ce qui souleve des questions de conformite au RGPD. Comment articuler transparence envers les elus et protection des donnees des salaries ?

Qu’est-ce que la BDESE et quelles donnees contient-elle ?

La BDESE, anciennement BDES, regroupe les informations que l’employeur doit mettre a disposition du CSE pour l’exercice de ses missions de consultation. Elle couvre neuf themes obligatoires : investissement social, investissement materiel et immateriel, egalite professionnelle, fonds propres et endettement, remuneration, activites sociales et culturelles, flux financiers, sous-traitance et developpement durable. Ces donnees sont majoritairement agregees et statistiques, mais certaines rubriques peuvent reveler des informations individuelles, notamment dans les petites structures ou les indicateurs portent sur un effectif reduit.

Quand la BDESE contient-elle des donnees personnelles ?

Le risque de re-identification apparait dans plusieurs situations. Les indicateurs de remuneration ventiles par categorie, sexe et tranche d’anciennete peuvent, dans les services a faible effectif, permettre d’identifier un salarie. Les donnees relatives aux dix plus hautes remunerations constituent par nature des donnees personnelles. Les informations sur le handicap, l’absenteisme ou la formation peuvent egalement devenir nominatives lorsqu’elles concernent des populations tres restreintes. L’employeur doit donc evaluer le risque de re-identification avant toute mise a disposition.

Obligations de l’employeur au titre du RGPD

L’employeur reste responsable de traitement pour les donnees integrees a la BDESE. A ce titre, il doit respecter le principe de minimisation en ne transmettant que les donnees strictement necessaires a l’information du CSE. Il doit anonymiser ou agreger les donnees lorsque la taille de l’echantillon est trop faible pour garantir l’anonymat. La CNIL recommande de ne pas diffuser de statistiques portant sur des groupes de moins de cinq personnes, car le croisement des criteres permet alors la re-identification.

L’employeur doit egalement definir les conditions d’acces a la BDESE. Seuls les membres titulaires et suppleants du CSE, les delegues syndicaux et, le cas echeant, les representants de proximite doivent y acceder. Les droits d’acces doivent etre parametres individuellement, avec tracabilite des connexions et des consultations.

BDESE numerique et securite des donnees

La BDESE peut etre mise a disposition sur un support numerique, ce qui est desormais la norme dans les entreprises de plus de 300 salaries. La plateforme choisie doit garantir la confidentialite, l’integrite et la disponibilite des donnees. Le chiffrement des donnees en transit et au repos est indispensable. L’authentification forte des utilisateurs, la gestion des sessions et la journalisation des acces constituent des mesures de securite minimales. Le choix d’un hebergeur certifie ou localise dans l’Union europeenne est recommande pour eviter les transferts hors UE.

Obligation de discretion des elus du CSE

Les membres du CSE sont soumis a une obligation de discretion prevue par le Code du travail concernant les informations presentees comme confidentielles par l’employeur. Cette obligation, distincte du secret professionnel, implique que les elus ne peuvent divulguer les donnees de la BDESE en dehors de l’exercice de leur mandat. En matiere de RGPD, cela signifie qu’un elu qui diffuserait des donnees personnelles issues de la BDESE a des tiers non autorises engagerait sa responsabilite. L’employeur peut rappeler cette obligation dans le reglement interieur du CSE et dans les conditions d’utilisation de la plateforme BDESE.

Durees de conservation et mise a jour

La BDESE doit contenir les donnees de l’annee en cours, des deux annees precedentes et les perspectives des trois annees suivantes. Cette regle determine la duree de conservation des donnees qu’elle contient. Les donnees obsoletes doivent etre archivees puis supprimees selon un calendrier defini. Si des donnees personnelles figurent dans la base, elles doivent etre anonymisees ou supprimees a l’issue de la periode de retention. Un processus de revue annuelle permet de verifier que seules les donnees pertinentes et a jour sont accessibles.

Transfert de la BDESE en cas de changement de prestataire

Lorsque l’entreprise change de plateforme BDESE, le transfert des donnees doit respecter les exigences du RGPD. Un inventaire des donnees personnelles presentes dans l’ancienne base doit etre realise. Les donnees doivent etre transferees de maniere securisee, et l’ancien prestataire doit confirmer la suppression definitive des donnees apres migration. Un contrat de sous-traitance conforme a l’article 28 du RGPD doit encadrer la relation avec chaque prestataire.

Vous gerez la BDESE de votre entreprise et souhaitez garantir la conformite RGPD ? DPO France vous accompagne dans l’audit et la securisation de votre base de donnees economiques.

Decouvrir DPO France

Bonnes pratiques pour une BDESE conforme

La conformite de la BDESE repose sur plusieurs actions concretes. Realiser une analyse d’impact lorsque la base contient des donnees sensibles ou porte sur un grand nombre de salaries. Documenter le traitement dans le registre des activites de traitement. Former les elus du CSE aux regles de confidentialite et au RGPD. Mettre en place des alertes en cas d’extraction massive de donnees. Prevoir une procedure de gestion des incidents en cas de fuite de donnees depuis la plateforme.

Simplifiez la gestion RGPD de votre BDESE avec DPO Suite, la plateforme de pilotage de la conformite.

Decouvrir DPO Suite

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :