CNIL : respectez les données personnelles dans la gestion des activités du CE
Temps de lecture : 8 min
Contenu ancien
Il se peut que les informations contenues dans cet article et les liens ne soient plus à jour.
La Commission nationale informatique et libertés (CNIL) est une autorité administrative qui garantit la protection des libertés individuelles. Sa mission consiste à :
- veiller à ce que les atteintes à la vie privée soient justifiées et proportionnées ;
- garantir l’information des personnes concernées.
En principe, toute personne qui souhaite créer un fichier ou un traitement informatisé qui contient des données personnelles doit effectuer une déclaration ou une demande d’autorisation auprès de la CNIL. Les entreprises sont donc directement concernées. L’employeur, tout comme le comité d’entreprise, devra alors respecter ces procédures.
Nous vous proposons de consulter notre dossier, dans lequel nous vous présentons les missions et les prescriptions de la CNIL relatives aux fichiers de traitement, les contrôles qu’elle est susceptible d’effectuer, les déclarations que vous devez impérativement lui envoyer et les cas de dispense, ainsi qu’un rappel des sanctions qu’elle peut prononcer.
Toutefois, la CNIL considère que les fichiers courants qui ne sont pas susceptibles de porter atteinte à la vie privée des salariés peuvent être dispensés de déclaration. Ainsi, en matière de gestion des activités sociales et culturelles (ASC), le CE est le plus souvent exempté d’accomplir ces démarches à condition de respecter un cadre juridique précis. Nous vous présentons les règles précises que vous devez appliquer en matière de gestion des ASC, afin d’éviter tout risque de sanction de la CNIL.
Quelles sont les prescriptions de la CNIL en matière de gestion des activités sociales et culturelles (ASC) ?
En matière de gestion des ASC, les comités d’entreprise peuvent utiliser des logiciels informatiques. Lorsque ces derniers contiennent des données à caractère personnel sur les salariés, ils doivent en principe faire l’objet d’une déclaration à la CNIL.
Vous pouvez retrouver les principaux cas dans lesquels une déclaration à la CNIL est obligatoire dans l’ouvrage « Guide pratique des représentants du personnel » des Editions Tissot.
Toutefois, en matière de gestion des ASC, la CNIL a prévu une tolérance pour les CE. Les traitements de données nominatives en matière d’ASC, qui respectent un certain nombre de conditions fixées par la CNIL, sont dispensés de déclaration. Les fichiers devront alors être parfaitement conformes au cadre fixé par la dispense (CNIL, dispense n°10, délibération n° 2006–230, du 17 octobre 2006).
Le principe : la dispense de déclaration
La CNIL précise les conditions indispensables à toute dispense de déclaration.
Les fichiers concernés
Sont dispensés de déclaration les fichiers ou traitements informatiques de :
- gestion administrative : création et gestion de la base de données, réalisation d’états statistiques ou de listes d’ouvrants droit ou d’ayants droit, envoi de courrier ;
- gestion des activités : chèques emploi, chèques cadeaux, distribution de cadeaux, billetterie, spectacle et loisirs, voyages et séjours, activités sportives, prêts d’ouvrages ;
- historique de l’utilisation des subventions ou du suivi de commandes ;
- attribution de primes de crèche, garderie, nourrice, de bourses ;
- offres promotionnelles et adhésions à des clubs de consommateurs adressées directement par le responsable du fichier ou du traitement informatique.
Les données autorisées
Les données qui peuvent être traitées dans ces fichiers sont les suivantes :
- pour l’identification des salariés : nom, prénom, photographie, sexe, date et lieu de naissance, coordonnées professionnelles et personnelles, coordonnées des personnes à prévenir en cas d’urgence, étendu aux anciens salariés et aux membres de leurs familles ;
- pour la situation familiale : situation matrimoniale, personnes à charge (ayants droit : nom, prénom, sexe, date de naissance, lien avec l’ouvrant droit), le nombre d’enfants ;
- pour les éléments professionnels : matricule interne, date d’embauche, service, statut ;
- pour les prestations offertes : nature de la prestation, montant, type de paiement (espèces, chèques, bons d’achat), numéros des bons d’achat et référence du moyen de paiement ;
- pour la situation financière : montants des revenus d’activité (avis d’imposition), mutuelle, primes, part fiscale, références du compte bancaire.
La CNIL précise que le recueil de certaines de ces informations est facultatif et doit être présenté en tant que tel lors de la collecte des informations : photographie, coordonnées personnelles, ainsi que les informations relatives à la situation financière.
Elle précise également que pour l’identification des salariés, le nom, le prénom et les coordonnées professionnelles peuvent être transmises par le service des ressources humaines de l’entreprise. Le salarié doit alors en être informé par l’employeur (finalité de cette transmission, nature des informations transmises, modalités pour s’y opposer).
Un refus de transmission ne peut pas exclure le salarié du bénéfice des ASC si ce dernier fournit directement les éléments nécessaires à son inscription par la suite. Enfin, en cas de mise en place d’un système de quotient familial pour l’octroi des ASC, l’absence de communication des éléments notamment financiers ne peut pas priver le salarié du bénéfice des ASC, qui ne pourra toutefois prétendre qu’à la part la plus réduite.
La conservation des données
S’agissant de la durée de conservation des données : elles ne peuvent être conservées que pendant la durée d’admission du salarié au bénéfice des ASC, c’est-à-dire tant qu’il peut en profiter.
En revanche, l’historique de l’utilisation de ces prestations et le suivi des commandes par les salariés ne peuvent être conservés que pendant une durée de 2 ans maximum à compter de l’exécution de la prestation. Il est conseillé au comité de garder une copie papier de ces données ou de les intégrer dans un logiciel d’archivage (voir déclaration des logiciels d’archivage sur www.cnil.fr) notamment en cas de contrôle URSSAF qui peut s’étendre sur les 3 années précédentes.
Les destinataires des données
Les données ne peuvent être communiquées qu’à certains destinataires à condition qu’elles soient nécessaires à l’accomplissement de leur mission :
- élus du comité ;
- expert-comptable du comité ;
- commissaire aux comptes ;
- prestataires et fournisseurs de services et de chèques cadeaux ;
- organismes de voyage ;
- résidences de vacances.
Les informations obligatoires
Les bénéficiaires des ASC concernés par le traitement informatique doivent être informés :
- de l’identité du responsable du traitement ;
- des finalités poursuivies par ce traitement ;
- du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse ;
- des destinataires des données ;
- de leur droit d’opposition au traitement de leurs données, ainsi que leur droit d’accès et de rectification des données les concernant. Cette information doit apparaître sur les formulaires de collecte ou se faire par la remise d’un document écrit ou par voie électronique, de manière simple et explicite (case à cocher ou mention à rayer).
La désignation d’un responsable
Enfin, le CE doit désigner une personne responsable du fichier ou du traitement informatique, qui aura accès à toutes les données. Celui-ci pourra être un membre élu du comité ou un salarié du CE.
Ce responsable devra prendre toutes les mesures utiles pour préserver la sécurité des données. Des mesures permettant de contrôler l’accès au traitement, et de sécuriser les communications des données, doivent être mises en œuvre (recours à des mots de passe par exemple).
Les hypothèses de déclaration et de demande d’autorisation
Le CE devra procéder à une déclaration dite normale directement sur le site de la CNIL lorsque toutes les conditions précédemment exposées ne seront pas remplies.
De plus, la loi « informatique et libertés » prévoit que les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes sont soumis à une demande d’autorisation de la CNIL. La création de fichiers pour l’attribution des secours peut donc être concernée.
Les sanctions
Les membres du CE devront être extrêmement vigilants au moment du choix du régime applicable et respecter scrupuleusement les formalités et conditions posées par la CNIL sauf à s’exposer à l’une des sanctions (que vous pouvez retrouver dans notre dossier à télécharger).
En outre, le Code pénal prévoit que le comité d’entreprise, personne morale, s’expose à une peine d’amende pouvant atteindre 1 500 000 euros (Code pénal, article 226–24) en cas de défaut de déclaration ou en cas de déclaration erronée.
Chaque comité d’entreprise doit s’intéresser à la mission de la CNIL et aux règles qu’elle édicte. En effet, comme nous l’avons vu, ces règles encadrent la création et l’utilisation des fichiers de gestion des ASC.
Elles limitent également, le développement des pratiques de l’employeur liées au traitement de données personnelles des salariées telles que la vidéosurveillance, la géolocalisation, l’évaluation, les systèmes de badge ou encore l’utilisation des outils de communication informatique et téléphonique par les salariés et les représentants du personnel.
La connaissance de la réglementation de la CNIL est donc un levier efficace à la disposition des comités d’entreprise dans l’exercice de leurs prérogatives de contrôle des décisions patronales.
Article rédigé en collaboration avec JDS Avocats
- Représentants du personnel : peuvent-ils agir en exécution d’un engagement unilatéral de l’employeur ?Publié le 03/12/2021
- Passage du CE au CSE : des conséquences sur le contenu de la BDESPublié le 25/11/2021
- Rappel de budget de fonctionnement : délai pour agirPublié le 13/03/2020
- La liberté de circulation des représentants du personnel et le principe de sécurité dans l’entreprise : quelle articulation ?Publié le 29/11/2019
- CSE : et si l'employeur ne réorganise pas d'élections dans les temps ?Publié le 18/09/2019