Mise en application du RGPD par les CSE : faisons le point !

Publié le 14/11/2019 à 10:31 dans Comité social et économique (CSE).

Temps de lecture : 6 min

Contenu ancien

Il se peut que les informations contenues dans cet article et les liens ne soient plus à jour.

Depuis le 25 mai 2018, le règlement général sur la protection des données personnelles dit RGPD, s’impose à toute organisation (personne morale, association, fondation, etc.) amenée à collecter et traiter des données dites personnelles que ce traitement soit ou non automatisé. Groupement doté de la personnalité civile et juridique, manipulant des données personnelles puisque permettant d’identifier une personne physique ou, à tout le moins de la rendre identifiable, le CSE doit se conformer au même titre à ces obligations.

Mise en application du RGPD par les CSE : à quoi faut-il penser ?

Pour rappel, la réforme de la protection des données poursuit trois objectifs parfaitement synthétisés sur le site de la CNIL que sont :

  • le renforcement des droits des personnes par la création, notamment, d’un droit à la portabilité des données personnelle ;
  • la responsabilisation des protagonistes amenés à traiter les données en cause (responsables de traitement ou sous-traitant) ;
  • la mise en place d’une régulation forte rendue possible par une coopération entre les autorités de protection des données dans le cadre, notamment, de traitements de données à caractère transnational, tout comme la mise en œuvre de sanctions renforcées.

Tout CSE se doit, dans le cadre de ses activités et compte tenu de leur nature (par exemple la gestion des activités sociales et culturelles pour ne citer qu’elle), se conformer à cette réglementation puisque collectant, usant, conservant des données dites personnelles et se devant donc, d’en préserver l’intégrité.

La mise en place du RGPD doit amener le CSE à s’assurer :

  • de la licéité du traitement, qui suppose que le ou la salarié(e) dont les données personnelles sont collectées ait consenti audit traitement pour une ou plusieurs finalités spécifiques ou, à défaut, que ce traitement réponde à l’une des conditions du RGPD ;
  • de la traçabilité dudit consentement lorsque le traitement repose sur cet élément ;
  • de la finalité du recueil ainsi lancé qui se doit d’être déterminée en amont, explicite et légitime ; les données ainsi récoltées devant être indispensables à la poursuite du traitement en cause et ne pouvant ultérieurement être réutilisées à d’autres fins ;
  • de l’exactitude des données traitées et conservées sous tendant donc, la rectification voire la suppression de ces dernières pour être en adéquation avec la finalité du traitement ;
  • de la limitation dans le temps de la conservation des données recueillies, elle aussi fixée à l’avance ;
  • de la sécurisation de ces dernières contre le traitement non autorisé ou illicite, la perte, la destruction, etc. En cas de violation avérée, le CSE devra réaliser un signalement auprès de la CNIL et, sous conditions, auprès du ou des salarié(s) victime(s) de cette violation. Dans la même veine, il est tenu de vérifier les garanties présentées, concernant la sécurisation des données, par les potentiels opérateurs qui procéderont au traitement des données pour lui ;
  • de l’effectivité et du respect, pour tout(e) salarié(e) dont les données ont fait l’objet d’une collecte, de son droit à une information claire et complète quant au traitement opéré, mais aussi d’accès, de modification, de portabilité et enfin de suppression (droit à l’oubli) de ses données.

Attention, la même analyse doit être menée pour les données d’ores et déjà détenues par le CSE par le biais des anciens comités d’entreprise. Concrètement donc, toutes les données recueillies avant le CSE, comme celles qui seront recueillies sous sa responsabilité, doivent être passées au crible des sept principes énoncés ci-dessus.

L’ensemble des recueils réalisés sont transcrits au sein d’un registre dit « des activités de traitement », sous forme écrite, y compris la forme électronique. Ce registre est mis à disposition de l’autorité de contrôle compétente sur demande. Cette disposition n’est pas applicable pour les organisations comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur les catégories particulières de données ou encore sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

Pour autant le CSE, opérant des traitements destinés à la gestion de ses activités (exemple : activités socio culturelles, communications internes, exercice de son droit d’alerte, gestion plus générale de ses membres, etc.) reste dispensé de l’analyse d’impact (AIPD) et ce, même si cela ne le délie en rien des obligations vues ci-dessus assurant la protection des données et les droits des personnes concernées.

Mise en application du RGPD par les CSE : qu’en est-il du délégué à la protection des données ?

Un délégué à la protection des données est notamment désigné lorsque, les activités consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle.

Ainsi et eu égard aux attributions du CSE, à ses activités, à la portée de ces dernières mais aussi, à la récurrence des besoins en matière de collecte et donc du suivi subséquent (mise à jour, etc.), il semble difficile, dès le franchissement d’un certain seuil d’effectif, de s’exonérer d’une telle nomination et ce, ne serait-ce que pour être en réelle capacité d’assumer l’ensemble des missions en découlant, dont l’analyse des risques associées à chaque opération de traitement.

Pour rappel les fonctions et missions d’un DPO sont listées aux articles 38 et 39 du règlement, le législateur ayant voulu véritablement placer cette nouvelle fonction à la hauteur des enjeux de sécurité, de transparence et de confiance auxquels doivent répondre toute organisation, dont les CSE, tenue par ce RGPD.

S’il est établi qu’un seul DPO puisse être nommé au sein d’un groupe d’entreprises ou encore, de plusieurs autorités ou organismes publics du même type, la question peut être posée de la nomination d’un DPO commun entre une entreprise et son CSE.

Si cette question n’est pas tranchée par les textes, il nous apparait difficile d’organiser une nomination commune dans ce cadre, le rôle générique de conseil endossé par le DPO de l’entreprise ou du CSE risquant de le mettre en position difficile (atteinte à son indépendance, conflits d’intérêts, etc.), vis-à-vis de l’autre partie en cause… Rappelons d’ailleurs que le DPO peut être membre du personnel du CSE (sous couvert que le CSE en question dispose de personnel) ou exercer ses missions sur la base d’un contrat de service.


Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise, Jo 22

3166

Stéphanie Roujon-Paris

De formation supérieure en droit social éprouvée, sur le terrain, par des années d'application quotidienne du droit du travail, des relations sociales et de la négociation collective, j’ai toujours …