CSE, attention : le RGPD vous concerne aussi

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) encadre, sur le territoire de l’Union européenne, le traitement des données personnelles c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable (de manière directe ou indirecte) . Le traitement est défini de façon très large de sorte que la simple collecte et la conservation, même non automatisées, d'informations entraînent l'application des obligations imposées par le RGPD.

•   Qu’est-ce que le RGPD

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD)¹ encadre, sur le territoire de l’Union européenne², le traitement des données personnelles c’est-à-dire touteinformation se rapportant à une personne physique identifiée ou identifiable (de manière directe ou indirecte)³ . Le traitement est défini de façon très large de sorte que la simple collecte et la conservation, même non automatisées, d'informations entraînent l'application des obligations imposées par le RGPD.

• Pourquoi le CSE ? 

Les CSE n’échappent donc pas aux obligations prévues par le règlement. En effet, ils sont amenés à traiter des données personnelles collectées dans le cadre de la gestion des activités sociales et culturelles (ASC), le cas échéant de l'administration du personnel qu'ils emploient, voire dans celui d'enquêtes qu'ils peuvent être amenés à décider en matière de santé et de sécurité : état civil des salariés et de leurs familles, situation matrimoniale, quotient familial, adresse, numéro de téléphone, adresse électronique, niveaux de revenus, identifiants de connexion, photographies, coordonnées bancaires, données de santé, historique des prestation accordées, numéro de sécurité sociale lorsque le CSE est employeur… 

Dès lors, les CSE, quelle que soit leur taille, doivent veiller à être en conformité avec les dispositions du RGPD. En outre, la mise en conformité nécessite parfois lanomination d’un DPO. 

• Les obligations des CSE en matière de données personnelles

  • Les CSE doivent respecter plusieurs principes énoncés par le RGPD

    • Les principes de loyauté, licéité et transparence. Cela implique une information complète des salariés sur les traitements réalisés et sur leurs droits.

    • La définition de finalités déterminés, explicites et légitimes de manière à ce que les données traitées ne puissent pas être utilisées à une autre fin que celle pour laquelle elles ont été collectées.

    • Le principe de minimisation des données qui signifie que les données doivent être adéquates, pertinentes et strictement limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

    • Le principe d’exactitude qui implique une mise à jour régulière des données.

    • Le principe de limitation de la conservation selon lequel la durée de conservation ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles les données sont traitées.

    • Les principes d’intégrité et de confidentialité appelant la mise en place de mesures techniques et organisationnelles de sécurité des données⁴.

    • Le recueil du consentement des salariés au traitement de leurs données⁵.

    • La réalisation d’une documentation comprenant un registre des activités de traitement, un document sur les procédures de gestion des droits, l’insertion de clauses dans les contrats avec les sous-traitants⁶…

  • En cas d’inobservation de ces principes, les CSE s’exposent à plusieurs types de sanctions : 

    • des sanctions administratives allant du simple avertissement à une amende de 20 millions d’euros⁷ ;
    • des sanctions civiles prenant la forme de dommages-intérêts versés à la personne ayant subi un préjudice⁸ ;
    • des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende⁹.

Pour se prémunir des risques que représentent de telles sanctions, pour renforcer la confiance des salariés en leurs représentants dans l’entreprise mais aussi pour s’assurer la crédibilité du CSE à l’égard des tiers, les CSE doivent veiller au respect des dispositions du RGPD.  Pour ce faire, ils doivent mettre en place une procédure de mise en conformité. 

• La procédure de mise en conformité

La mise en conformité avec les dispositions du RGPD suppose, pour les CSE, de mettre en place une procédure complexe permettant de saisir l’ensemble des obligations en matière de données personnelles. Cette procédure peut se décomposer en plusieurs étapes comme suit : 

• Une phase de sensibilisation des membres du CSE et le cas échéant de ses salariés et de désignation d’un responsable de traitement ;
• Une phase d’audit, de rédaction du registre des activités de traitement et d’élaboration d’un plan d’action ;
• Une phase de documentation juridique interne (à l’égard des salariés du CSE) et externe (à l’égard des salariés bénéficiaires et des sous-traitants) ;
• Une phase de détermination des mesures techniques (chiffrement, anonymisation, pseudonymisation, privacy by design)
• Une phase de gestion des demandes d’exercice de droits notamment le droit d’accès des salariés à leurs données personnelles

• La désignation d’un DPO

  • DPO : qui est-ce ? 

Le DPO (« Data protection officer ») est un nouvel acteur qui a vu le jour avec le RGPD. Véritable chef d’orchestre, distinct du Responsable de traitement, le DPO s’assure de la mise en œuvre de démarches de conformité et du respect des obligations et principes du RGPD. Il est l’interlocuteur de la CNIL et des personnes dont les données sont traitées. 

• Quand le DPO est-il obligatoire dans les CSE ? 

Bien que son rôle soit capital, sa nomination n’est obligatoire que lorsque « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations detraitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées », ou lorsque « les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 [dont l'appartenance syndicale, les données concernant la santé, l'orientation sexuelle....] et de données à caractère personnel relatives à des condamnations pénales et à des infractions¹⁰».

Les CSE doivent donc désigner un DPO lorsqu’ils réalisent un traitement « à grande échelle ». Le RGPD ne précisant pas cette notion, il faut pour l’apprécier, regarder : 

• le nombre de salariés bénéficiaires ;
• le volume de données traitées ;
• la durée de l’activité de traitement ;
• et dans une moindre mesure la répartition géographique du traitement¹¹.

Or, cette appréciation in concreto laisse beaucoup de place à l’insécurité juridique. Dès lors et particulièrement lorsque le CSE gère des activités sociales et culturelles (ASC) et dispose d’une commission santé, sécurité et conditions de travail (CSSCT), la désignation d’un DPO est fortement conseillée.

• Mode de désignation du DPO dans les CSE

Le DPO est désigné sur délibération du CSE. Ce dernier doit vérifier son niveau de compétence en fonction notamment de « ses connaissances spécialisées du droit et des pratiques en matière de protection des données »¹², son indépendance et l’absence de conflit d’intérêt entre les missions du DPO et d’autres missions qui lui seraient confiées¹³. 

Au regard de cette dernière observation, si la désignation d’un DPO en interne est possible, l’externalisation de la fonction présente plusieurs avantages, notamment en termes de garantie d’indépendance. 

En tout état de cause, bien plus qu’une obligation, la désignation d’un DPO dans les CSE est source de bonne gouvernance, de confiance et de sécurité. 

CSE, nous vous encourageons vivement à entreprendre votre mise en conformité avec le RGPD avec l’aide d’un DPO !

Les avocats du cabinet Altij vous accompagnent dans cette démarche et vous proposent pour ce faire plusieurs offres et formations. Pour plus d’informations, se référer au catalogue d’offres ou nous contacter.

 Le règlement général sur la protection des données (RGPD), 23 mai 2018

 Est soumise au RGPD toute organisation, publique ou privée, qui traite des données à caractère personnel pour son compte ou non, lorsqu’elle est établie sur le territoire de l’Union européenne et/ou que son activité concerne directement des résidents européens.

¹Le règlement général sur la protection des données (RGPD), 23 mai 2018

²Est soumise au RGPD toute organisation, publique ou privée, qui traite des données à caractère personnel pour son compte ou non, lorsqu’elle est établie sur le territoire de l’Union européenne et/ou que son activité concerne directement des résidents européens. 

³Art. 4, RGPD

⁴Art. 5, RGPD

⁵Art. 7 et ss., RGPD

⁶Art. 30, chapitre III, art. 28, RGPD…

⁷Art. 58 et 83, RGPD

⁸Art. 1240 C. civ.

⁹Art. 226-16 C. pén.

¹⁰Art. 37, RGPD

¹¹PROBST Audrey, Les Cahiers du DRH, Nº 273-274, 1er mars 2020

¹²Art. 37.5, RGPD

¹³Art. 37.6, RGPD