DPO et CSE : faut-il designer un delegue a la protection des donnees ?

Le Comite Social et Economique gere les activites sociales et culturelles de l’entreprise et traite a ce titre des donnees personnelles de salaries et de leurs familles. Se pose alors la question de la designation d’un Delegue a la Protection des Donnees (DPO). Le CSE est-il tenu de designer un DPO ? Dans quels cas est-ce recommande ? Comment organiser cette fonction ? Ce guide repond a toutes ces questions.

Obligation ou recommandation : ce que dit le RGPD

L’article 37 du RGPD rend la designation d’un DPO obligatoire dans trois cas : lorsque le traitement est effectue par une autorite ou un organisme public, lorsque les activites de base consistent en un suivi regulier et systematique a grande echelle des personnes, ou lorsque les activites de base consistent en un traitement a grande echelle de donnees sensibles.

Le CSE n’est pas un organisme public et son activite de base n’est pas le suivi systematique des personnes. La question se concentre donc sur le troisieme critere : le CSE traite-t-il des donnees sensibles a grande echelle ? Dans la plupart des cas, les donnees traitees par le CSE (composition familiale, revenus) ne sont pas des « categories particulieres » au sens de l’article 9. La designation d’un DPO n’est donc generalement pas obligatoire pour un CSE.

Toutefois, la CNIL recommande fortement la designation d’un DPO, meme lorsqu’elle n’est pas obligatoire. Pour les CSE gerant les ASC de grandes entreprises (plus de 500 salaries), cette recommandation s’apparente a une quasi-obligation compte tenu du volume de donnees traitees et de la complexite des traitements.

DPO interne, externe ou mutualise

Le CSE peut choisir entre plusieurs modes d’organisation pour la fonction de DPO. Le DPO interne est un elu ou un salarie mis a disposition qui prend en charge cette mission en complement de ses autres fonctions. Cette solution est economique mais presente des risques de conflit d’interets si le DPO est egalement tresorier ou responsable des ASC.

Le DPO externe est un professionnel specialise mandate par le CSE. Cette solution garantit l’independance et l’expertise mais represente un cout supplementaire. Elle est particulierement adaptee aux CSE de grandes entreprises ou aux CSE gerant des budgets ASC importants.

Le DPO mutualise est partage entre plusieurs CSE, par exemple au sein d’un meme groupe d’entreprises ou d’un meme secteur geographique. Cette solution permet de repartir les couts tout en beneficiant d’une expertise specialisee. Le DPO mutualise doit neanmoins rester accessible a chaque CSE et connaitre les specificites de chacun.

Missions du DPO au sein du CSE

Le DPO du CSE exerce les missions classiques definies par l’article 39 du RGPD, adaptees au contexte des activites sociales et culturelles. Il informe et conseille les elus sur leurs obligations RGPD. Il controle le respect du reglement et des politiques internes. Il est le point de contact des beneficiaires pour l’exercice de leurs droits et de la CNIL en cas de controle.

Concretement, le DPO accompagne le CSE dans la tenue du registre des traitements, la redaction des mentions d’information, la mise en conformite des contrats avec les sous-traitants, la gestion des demandes d’exercice de droits et la sensibilisation des elus. Il intervient egalement en cas de violation de donnees pour evaluer la gravite et accompagner la notification si necessaire.

Votre CSE a besoin d’un DPO externe pour piloter sa conformite RGPD ? DPO France propose un accompagnement DPO dedie aux comites sociaux et economiques.

Decouvrir DPO France

Relation entre le DPO du CSE et le DPO de l’entreprise

Le CSE etant un responsable de traitement distinct de l’employeur, son DPO est egalement distinct du DPO de l’entreprise. Les deux DPO exercent leurs missions de maniere independante sur des perimetres differents. Le DPO de l’entreprise n’a pas autorite sur les traitements de donnees realises par le CSE dans le cadre des ASC.

Toutefois, une cooperation entre les deux DPO est souhaitable pour garantir la coherence des pratiques de protection des donnees au sein de la meme structure. Cette cooperation peut porter sur le partage de bonnes pratiques, la coordination en cas de violation de donnees affectant les deux entites, ou la mutualisation de certaines formations.

Il est important de noter que le DPO de l’entreprise ne peut pas etre designe DPO du CSE, sauf accord explicite du CSE. Un tel cumul pourrait creer des conflits d’interets, le DPO etant alors soumis a des obligations de loyaute envers deux responsables de traitement dont les interets peuvent diverger.

Budget et moyens du DPO

Le CSE doit allouer au DPO les moyens necessaires a l’exercice de ses missions. Le budget DPO est impute sur le budget de fonctionnement du CSE (0.20 % ou 0.22 % de la masse salariale). Les depenses de mise en conformite RGPD (logiciels, formation, audit) constituent des depenses de fonctionnement legitimes du CSE.

Le DPO doit disposer d’un acces aux informations necessaires a ses missions, d’un temps suffisant pour exercer ses fonctions et de la possibilite de se former regulierement. Le CSE ne doit pas entraver l’exercice de la mission du DPO, conformement a l’article 38 du RGPD.

DPO Suite fournit au DPO du CSE tous les outils necessaires : registre, gestion des droits, suivi des sous-traitants et tableaux de bord de conformite.

Decouvrir DPO Suite

Conclusion

Si la designation d’un DPO n’est pas toujours obligatoire pour un CSE, elle est fortement recommandee des que le volume de donnees traitees ou la complexite des activites le justifie. Le DPO apporte au CSE l’expertise necessaire pour naviguer dans les exigences du RGPD et proteger les donnees des beneficiaires. Qu’il soit interne, externe ou mutualise, le DPO doit disposer de l’independance et des moyens necessaires pour exercer efficacement sa mission au service de la conformite du CSE.

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :