Communication du CSE et RGPD : emailing, intranet et reseaux sociaux
Le CSE communique regulierement avec les salaries pour les informer de ses activites, promouvoir ses prestations et relayer des informations sociales. Cette communication utilise differents canaux : emailing, intranet, panneaux d’affichage, site web du CSE, reseaux sociaux. Chaque canal souleve des enjeux RGPD specifiques que les elus doivent maitriser. Ce guide detaille les bonnes pratiques pour une communication conforme.
Emailing et newsletters du CSE
L’envoi de newsletters ou d’emails d’information aux salaries est une pratique courante des CSE. Le RGPD encadre cette communication de plusieurs manieres. La base legale est generalement l’interet legitime du CSE (informer les beneficiaires des prestations disponibles). Toutefois, le salarie doit pouvoir se desabonner facilement de ces communications.
Chaque email envoye par le CSE doit contenir un lien de desabonnement fonctionnel et visible. Le CSE doit respecter les demandes de desinscription dans les meilleurs delais (72 heures maximum). La liste des adresses email utilisees pour les envois doit etre tenue a jour et les adresses des salaries ayant quitte l’entreprise doivent etre supprimees rapidement.
L’utilisation d’adresses email professionnelles pour les communications du CSE est generalement admise, car ces adresses sont fournies par l’employeur dans un cadre professionnel. Toutefois, si le CSE utilise les adresses email personnelles des salaries, le consentement prealable est necessaire. Le CSE ne doit jamais communiquer les adresses email des salaries a des tiers (prestataires commerciaux, autres CSE).
Outils d’emailing et sous-traitance
De nombreux CSE utilisent des outils d’emailing (Mailchimp, Sendinblue, Mailjet) pour leurs campagnes de communication. Ces outils constituent des sous-traitants au sens du RGPD et doivent etre encadres par un contrat de sous-traitance. Le CSE doit verifier la localisation des serveurs, les conditions de stockage des listes de contacts et les pratiques de l’outil en matiere de tracking (ouverture des emails, clics).
Le tracking des emails (pixels invisibles pour mesurer les taux d’ouverture) est soumis au consentement des destinataires selon les recommandations de la CNIL. Le CSE doit evaluer si ce tracking est reellement necessaire et, le cas echeant, en informer les beneficiaires. Pour la plupart des communications de CSE, le tracking n’est pas indispensable et peut etre desactive.
Site web et intranet du CSE
De plus en plus de CSE disposent d’un site web ou d’un espace dedie sur l’intranet de l’entreprise. Ces espaces numeriques doivent respecter les obligations RGPD en matiere de cookies, de formulaires de collecte et de politique de confidentialite. Un bandeau de consentement aux cookies doit etre mis en place si le site utilise des traceurs non essentiels.
Les formulaires de collecte de donnees (inscription aux activites, mise a jour des informations personnelles) doivent comporter une mention d’information RGPD et, le cas echeant, des cases de consentement specifiques. Les donnees collectees via ces formulaires doivent etre stockees de maniere securisee et accessibles uniquement aux personnes habilitees.
Si le CSE utilise un espace sur l’intranet de l’entreprise, il doit s’assurer que l’employeur n’a pas acces aux donnees saisies par les salaries sur cet espace (inscriptions aux activites, informations familiales). La separation technique entre l’espace CSE et l’espace employeur doit etre garantie par des droits d’acces distincts.
Reseaux sociaux du CSE
Certains CSE utilisent les reseaux sociaux (Facebook, Instagram) pour communiquer avec leurs beneficiaires. Cette pratique souleve des enjeux RGPD importants. Les groupes Facebook ou les comptes Instagram du CSE ne doivent pas etre publics s’ils contiennent des informations sur les salaries (photos d’evenements, listes de participants).
La publication de photos d’evenements du CSE (arbre de Noel, soiree, sortie) necessite le consentement des personnes photographiees. Le droit a l’image, distinct du RGPD mais complementaire, impose de recueillir l’autorisation des personnes avant toute publication. Pour les photos d’enfants, le consentement des deux parents est requis.
Les CSE doivent etre conscients que les donnees publiees sur les reseaux sociaux sont traitees par la plateforme selon ses propres conditions, sur lesquelles le CSE n’a aucun controle. La CNIL a rappele que les responsables de pages Facebook sont co-responsables de traitement avec Meta pour les donnees collectees via la page.
Photos et droit a l’image lors des evenements
Les evenements du CSE (soirees, sorties, arbres de Noel) sont souvent l’occasion de prises de photos. Le CSE doit mettre en place un cadre clair pour la gestion de ces photos. Un formulaire de consentement doit etre propose aux participants, precisant les supports de diffusion prevus (affichage dans les locaux, intranet, newsletter, reseaux sociaux).
Les participants qui refusent d’etre photographies ou de voir leurs photos diffusees doivent etre respectes. Un badge ou un bracelet de couleur differente peut permettre d’identifier facilement les personnes qui ne souhaitent pas etre photographiees, facilitant le travail du photographe.
Les photos d’evenements doivent etre conservees pour une duree limitee et proportionnee a la finalite. Une conservation de 1 an (jusqu’a l’evenement suivant) est generalement suffisante. Les photos publiees sur les reseaux sociaux doivent etre supprimees a la demande des personnes concernees dans les meilleurs delais.
Conclusion
La communication du CSE, qu’elle passe par l’emailing, l’intranet, le site web ou les reseaux sociaux, doit respecter le RGPD a chaque etape. Le droit de desabonnement, l’encadrement des outils d’emailing, la gestion des cookies, le consentement pour les photos et la prudence sur les reseaux sociaux sont autant de points de vigilance pour les elus. En adoptant ces bonnes pratiques, le CSE peut communiquer efficacement tout en respectant les droits de ses beneficiaires.
Laurent de Cavel, DPO certifie
