CSE et RGPD : Le CSE est-il concerné par le RGPD ?

Nous allons traiter d’une problématique spécifique le CSE et RGPD : Le CSE est mis en place, selon le cas, au niveau d’une entreprise d’au moins 11 salariés, d’une unité économique et sociale (UES) ou au niveau interentreprises. Des CSE d’établissement et un CSE central d’entreprise sont constitués dans les sociétés d’au moins 50 salariés comportant au moins deux établissements distincts. Le CSE, dans le cadre de ses activités sociales et culturelles, va proposer aux salariés et leurs ayant droits des prestations en lien avec les loisirs. Les activités peuvent être par exemple des sorties cinéma, des sorties aux thématiques spécifiques, ou encore des voyages.

Profiter de notre offre Conformité RGPD avec notre application RGPD
Lien vers notre offre

Afin d’organiser au mieux ces prestations, le CSE va traiter des informations plus ou moins personnelles : nom, prénom, adresse personnelle, date de naissance, antécédents médicaux, informations financières…

Dans le cadre du budget de fonctionnement, le CSE va également demander des informations personnelles lorsque l’instance dispose elle-même de salariés ou d’informations relatives à ses fournisseurs ou clients.

Dès lors, dans toutes ces situations, la protection des données doit être de mise et le CSE doit donc se conformer aux grands principes énoncés précédemment :

• finalité : de par la loi, les activités sociales et culturelles ainsi que le fonctionnement du CSE constituent un but légitime à la collecte de certaines données personnelles ; 
• proportionnalité et pertinence : le CSE ne doit collecter que des informations nécessaires à la réalisation des activités sociales et culturelles ou à son fonctionnement, ce qui exclut un grand nombre d’informations ;
• durée de conservation limitée : le Code du Travail impose de conserver les pièces justificatives de versement de prestations ou de paiements (du salarié ou des fournisseurs dans le cadre du budget de fonctionnement) pendant 10 ans ;
  La durée de conservation du CSE dépend aussi du type de données personnelles traitées. Leur traitement doit rester en lien avec les autres principes du RGPD (finalité, proportionnalité, sécurité, etc.) et leur durée de conservation dépend du type de données personnelles dont il s’agit (ainsi que de leur finalité), votre DPO vous indiquera les délais en fonction du type de données ;
• la sécurité et la confidentialité : le CSE doit garantir la confidentialité des données qu’il stocke, tous les élus n’ont pas nécessairement obligation d’y avoir accès et une gestion des droits doit être mise en place afin de veiller à la confidentialité et au respect du RGPD ;
• la reconnaissance du droit des personnes : tout salarié est en droit de refuser de transmettre tout ou partie de ses données personnelles mais, en conséquence, le CSE ne pourra pas lui faire bénéficier de toutes les prestations proposées, en tout état de cause, le recueil du consentement par les élus du CSE est nécessaire.

Selon la CNIL CSE et RGPD

Le CSE, lorsqu’il n’a pas la personnalité juridique, c’est-à-dire lorsqu’il appartient à une entité dont l’effectif est inférieur ou égal à 49 salariés, se confond avec l’entité à laquelle il appartient en termes de protection des données. Concrètement, le DPO de l’entité sera également le DPO du CSE avec toutes les conséquences qui en découlent. Notons néanmoins que l’échange de données entre les deux devra être strictement encadré, dans le respect, d’une part, du droit du travail et du respect de la vie privée des salariés et, d’autre part, dans le respect du RGPD et de la loi informatique et liberté.

Le CSE, lorsqu’il a la personnalité juridique, c’est-à-dire lorsqu’il appartient à une entité comprenant plus de 50 salariés, est bien distinct de son organisme de « rattachement » en matière de protection des données personnelles. De ce fait, il met en œuvre des traitements dont il a défini les finalités et les moyens, et recouvre à ce titre le statut de responsable de traitement. Par ailleurs, il dispose également de son propre DPO, qui peut être la même personne que celle que l’entité a désignée, sous réserve de vigilance quant aux éventuels conflits d’intérêts.

En cas de violation de données, la CNIL nous a indiqué, qu’a priori, la responsabilité incombe au dirigeant de l’entité puisque celui-ci est le président du CSE.

Comment traiter la donnée personnelle pour un CSE ?

Une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, notamment par la référence à un identifiant comme un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle et sociale (selon la loi 78-17 du 6 janvier 1978, la loi 2018-493 du 20 juin 2018 et le règlement général sur la protection des données UE 2019/679 du 27 avril 2016).

Le CSE se doit donc, dans le cadre du RGPD, de protéger l’ensemble de ces informations.

Ainsi, il doit s’assurer que ces données ne sont accessibles qu’à des personnes autorisées, comme nous l’avons vu précédemment. Mais de plus il doit s’engager à ne pas détourner ces données et doit pouvoir permettre aux personnes à qui elles appartiennent de les consulter, les modifier ou les supprimer à tout moment.

Peut-on demander l’email des salariés pour la communication au CSE ?

Le recueil du consentement et la finalité de la donnée sont deux éléments de base qui doivent permettre aux élus de savoir s’ils peuvent récolter ou non une donnée personnelle.  

Si les salariés consentent à recevoir une newsletter du CSE informant des offres et des activités en cours, il est tout à fait possible de contacter les salariés sur leur email professionnel. Certains salariés peuvent préférer une communication sur leur email personnel, mais doivent explicitement donner leur consentement pour l’utilisation de cette donnée personnelle, qui doit avoir une finalité (inscription à une activité par exemple).

Peut-on demander le numéro de mobile des salariés pour la communication au CSE ?

Au même titre que l’email, si les salariés consentent à recevoir un sms du CSE informant des offres et des activités en cours, il est tout à fait possible de les contacter sur leur téléphone professionnel. Certains salariés peuvent préférer une communication sur leur numéro personnel, mais doivent explicitement donner leur consentement pour l’utilisation de cette donnée personnelle, qui doit avoir une finalité (inscription à une activité par exemple).

Quelles données l’entreprise peut-elle transmettre au CSE sur les salariés ?

Au préalable, notons que si le RGPD et la loi Informatique et Libertés n’interdisent pas à l’employeur de transmettre des informations aux représentants du personnel, celui-ci doit toutefois veiller à être transparent tout en respectant la vie privée des salariés. Il doit également s’assurer de respecter le principe de minimisation des données.

Afin de mieux comprendre les données pouvant être transmises par l’entité au CSE, distinguons deux cas possibles selon les missions du CSE.

DANS LE CADRE DU DIALOGUE SOCIAL

Les membres du CSE ont pour missions de veiller à l’application des réglementations du travail dans l’entreprise et promouvoir la santé et la sécurité sur le lieu de travail. En conséquence, ils ont un intérêt légitime à obtenir la communication des informations y afférentes.

Néanmoins, et conformément au principe de minimisation, les données communiquées doivent être limitées à ce qui est nécessaire au regard de l’objectif poursuivi, et ne peuvent être réutilisées par le CSE pour une autre finalité.

DANS LE CADRE DE LA GESTION DES AVANTAGES CULTURELS ET SOCIAUX

Lorsque l’entreprise comptabilise au moins cinquante salariés, le CSE peut proposer des avantages culturels et sociaux, tels que cantine, crèches, colonies de vacances, activités sportives ou de loisir etc., afin d’améliorer les conditions de travail du personnel.

Pour la mise en œuvre de ces traitements de données personnelles pour lesquels le CSE est responsable de traitement, l’employeur doit communiquer des informations sur le salarié, sous réserve de l’accord préalable de celui-ci et sous réserve que les données soient strictement nécessaires à l’objectif poursuivi. Par exemple, dans le cadre de l’aide au financement de la crèche, l’échelle de rémunération du salarié ne sera communiquée que si elle constitue un critère d’attribution.

Outre ces points et en conclusion, nous attirons votre attention sur le fait que quelle que soit la mission concernée, le CSE doit veiller à ne pas traiter des données préalablement collectées pour une finalité différente (par exemple, les informations recueillies à des fins d’analyse des risques professionnels ne peuvent être traitées dans le cadre des avantages culturels et sociaux).

Comment choisir le référent RGPD ?

Le choix n’est pas simple et les volontaires ne seront sans doute pas très nombreux !

Les élus du CSE doivent veiller à ce que responsable du traitement des données dispose des compétences nécessaires à l’exercice de ses fonctions. En effet, le responsable doit être en mesure de contrôler tant la conformité juridique que technique des traitements de données.

Une formation sera souvent nécessaire. Pour les CSE de taille importante et/ou traitant de nombreuses données personnelles, le recours à un consultant extérieur sera souvent la meilleure solution.

Comment faire en tant que CSE pour assurer la protection de ces données ?

Le CSE doit se conformer au RGPD selon les 4 étapes de la CNIL :

1) Instaurer un registre de traitement des données

Le registre de traitement des données est un document recensant l’ensemble des données personnelles des fichiers.

L’objectif est d’identifier les activités qui nécessitent la collecte et le traitement de données.

Il est recommandé de s’appuyer sur le modèle de registre de la CNIL.

2) Faire le tri dans ses données

Grâce au registre de traitement de données, les élus doivent s’interroger sur les données dont le CSE a réellement besoin pour effectuer ses missions.

Le CSE a la faculté de désigner dans son règlement intérieur un délégué à la protection des données (DPO), dont le rôle est d’agir comme un intermédiaire auprès du responsable de traitement des données. Même si la désignation du DPO n’est pas obligatoire, elle reste toutefois recommandée !

3) Recueillir le consentement des salariés

Le RGPD vient renforcer l’obligation d’information et de transparence à l’égard des personnes dont on traite les données (salariés et leur famille, fournisseurs, clients…).

Il est important de leur rappeler leurs droits, à savoir l’accès aux informations les concernant, la rectification de leurs données personnelles et la suppression de celles-ci à tout moment s’ils le souhaitent.

4) Sécuriser ses données

Enfin, le CSE doit sécuriser au maximum les données en évitant tout risque de vol ou piratage.

Afin de garantir une sécurité maximale des données, il est essentiel de se poser les questions suivantes :

• Les comptes utilisateurs sont-ils protégés par un mot de passe suffisamment fort ?
• Les locaux sont-ils sécurisés ?
• Y-a-t-il une procédure de sauvegarde des données en cas d’incident ?

Il est indispensable que le CSE suive les 4 étapes de la CNIL et rédige ou étoffe son règlement intérieur, notamment en désignant un délégué à la protection des données.

Cela lui permettra d’être en conformité avec le RGPD et la loi sur la protection des données personnelles.

Quelles sont les sanctions possibles pour le CSE et RGPD?

La non-conformité d’un CSE au RGPD est passible de sanctions de la part de la CNIL allant d’un simple rappel à l’ordre à une amende administrative.

Précisément, il peut s’agir :

• d’un rappel à l’ordre ;
• d’une mise en demeure de mise en conformité, en limitant temporairement ou définitivement le traitement, en suspendant les flux de données, ou encore en ordonnant de satisfaire les demandes d’exercice des droits des personnes ;
• d’une amende qui peut  s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.