"Le CSE doit respecter le RGPD"
Un rappel de la CNIL
09/01/2023
Dans le cadre de ses missions, le CSE est amené à collecter et traiter des données personnelles. Une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement. Le traitement de l’ensemble de ces données est soumis à la réglementation relative à la protection des données (RGPD). Toute structure, entreprise, organisation qui en détient doit s'y conformer. Cela concerne donc également le CSE qui doit respecter un certain nombre d’obligations pour être en conformité avec cette réglementation.
Pour cela le CSE doit veiller à observer 5 principes :
➢ Le principe de la finalité : « pourquoi le CSE a-t-il besoin de traiter ces données ? Quel but poursuit-il en collectant ces données ? En l'occurrence le CSE a besoin de ces données pour distribuer des prestations aux salariés. »
➢ Le principe de la pertinence et de la minimisation des données : « de quelles données a-t-il nécessairement besoin ? Par exemple, pour accorder certaines prestations, est-il nécessaire de connaître les nom/ prénom des enfants ou encore la date de naissance précise ? L'âge et le nombre d'enfants ne suffirait-il pas ? Le CSE doit se demander à chaque fois si la donnée dont il dispose suffit à réaliser l'objectif poursuivi. »
➢ Le principe de la limitation de la durée de conservation : « le CSE doit déterminer une durée pendant laquelle il va avoir besoin des données, et au-delà de laquelle les données seront anonymisées ou détruites. Le CSE est parfois obligé de garder certaines données pendant plusieurs années, non pas pour ses besoins propres, mais à des fins légales ou contentieuses : il va alors conserver ces données en « archivage intermédiaire » dans lequel l'accès est plus restreint et limité à certaines personnes en charge de ces questions juridiques. »
➢ Le principe de la sécurisation et de la confidentialité des données collectées : « certaines actions presque intuitives que les élus peuvent adopter vont permettre d'améliorer grandement la sécurité des données : fermer le bureau, verrouiller son ordinateur quand on s'absente, mettre en place des antivirus... »
➢ Le principe de transparence vis-à-vis des salariés : « le CSE doit être transparent à l'égard des salariés dont il collecte les données et doit donc les informer de ce qu'il fait. Les salariés disposent également d'un certain nombre de droits comme le droit de rectifier les données (par exemple un salarié qui a un deuxième enfant, ou qui change de nom peut le modifier), le droit d'accéder aux données (demander au CSE quelles sont les données dont il dispose) ou encore le droit d'opposition au traitement de ses données, ce que le CSE doit garantir. »
Afin de rassurer les salariés ne voulant pas communiquer leurs données personnelles, la CNIL rappelle que le meilleur moyen est précisément « de respecter ces principes et surtout de le leur montrer. Il doit ainsi veiller à les informer sur la finalité du recueil de données donc sur ce qu'il cherche à faire en collectant ces données, sur les données dont il a besoin et aussi leur rappeler que les données ne sont pas conservées indéfiniment. »
La non-conformité d'un CSE au RGPD pourra est passible de sanctions de la part de la CNIL allant d’un simple avertissement à une sanction financière qui peut correspondre à 4 % du chiffre d'affaire ou jusqu'à 20 millions d'euros. Cela peut aller aussi jusqu'à l'injonction de cesser le traitement. Mais la sanction prononcée tient toujours compte du contexte dans lequel le manquement a été commis.
Néanmoins, comme le rappelle Eric Delisle « avant les sanctions, il existe un certain nombre d'étapes. La Cnil peut d'abord mener des contrôles soit à la suite de plaintes répétées, soit suite à une actualité sortie dans la presse soit encore, en raison d'un programme annuel de contrôle. Puis, nous demandons une mise en conformité et si cela ne marche pas nous pouvons sanctionner. »
Pour rappel, la CNIL est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Elle a un rôle d'alerte, de conseil et d'information vers tous les publics mais dispose également d'un pouvoir de contrôle et de sanction.
« La Cnil préfère accompagner que sanctionner : l'objectif est celui de la mise en conformité de tous les acteurs. Dans cette démarche, nous répondons fréquemment aux questions des élus et les accompagnons. En cas de doute, le CSE peut aussi solliciter son délégué à la protection des données (DPO) s'il en a un, ou plus généralement celui de l'entreprise qui peut l'aider à répondre à ses questions. »