Depuis le 25 mai 2018, une nouvelle réglementation encadre la collecte et le traitement des données personnelles des citoyens européens, plus connue sous la forme de l’acronyme RGPD.
La Commission nationale de l’informatique et des libertés (CNIL) veille à sa bonne application au sein de tous les organismes concernés. Le CSE en fait partie et doit suivre quelques étapes afin d’assurer sa conformité.
Définition du RGPD
Une fois déplié, l’acronyme RGPD signifie « règlement général sur la protection des données ». Il succède en France à la loi Informatique et Libertés de 1978, et à la directive européenne de 1995 qui avait adapté la législation en vigueur pour suivre le développement des nouvelles technologies et l’intensification de la dématérialisation des transactions.
Le RGPD parachève cette volonté d’adéquation avec les nouvelles pratiques numériques et vise toute entité publique ou privée du territoire de l’Union Européenne, ou dont les actions concernent ses habitants.
Définition d’une donnée personnelle
Qu’est-ce qu’une donnée personnelle ? C’est une information associée à un individu et/ou pouvant permettre son identification : noms, prénoms, photos, vidéos, enregistrements, numéros d’identifiant, etc.
La compilation de ces différentes données peut permettre à des tiers d’établir une position géographique, des préférences ou des comportements de personnes ciblées, ce qui constitue une potentielle atteinte à leur vie privée.
C’est pourquoi une structure ne doit pas rechercher ni détenir d’informations personnelles sans pouvoir le justifier auprès de la CNIL ; elles servent impérativement un objectif professionnel (enquête satisfaction, étude de marché, mise à jour de fichiers RH, etc.).
Le traitement des données personnelles
Une donnée personnelle, qu’elle soit récoltée, étudiée, utilisée ou stockée, voire qu’elle transite par toutes ces étapes, est considérée comme traitée. Le format n’importe pas aux yeux de la CNIL : que ce soit sur support manuscrit ou numérique, ces informations sont détenues, ce qui implique la mise en place d’une politique RGPD adéquate.
Des données personnelles sont par exemple traitées dans le cadre :
Actualisation d’un fichier de clients ou de fournisseurs ;
- Diffusion d’une enquête de satisfaction ;
- Collecte des réponses dudit questionnaire ;
- Etc.
L’adjectif « personnelles » a toute son importance : des informations ne concernant que la sphère professionnelle (noms de société, coordonnées) ne sont pas considérées comme des données personnelles. Il n’y a donc pas de politique de RGPD à mettre en place si une entité ne manipule qu’exclusivement ce genre d’informations – mais les cas sont rares.
Les obligations du CSE en matière de RGPD
Le CSE n’échappe donc pas à cette nouvelle législation puisque tout comité accumule et utilise les données personnelles de ses bénéficiaires dans le cadre de certaines missions, comme l’attribution des activités sociales et culturelles.
Certaines de ces informations sont en outre particulièrement sensibles :
- Pièces d’identités ;
- Données hautement privées (santé, engagement syndical ou politique, religion…) ;
- Informations bancaires ;
- Numéros d’authentification (sécurité sociale, TVA intracommunautaire, etc.).
Il incombe aux élus de garantir la confidentialité de toutes ces données qui leur sont confiées, afin de maintenir un lien de confiance avec les salariés qu’ils représentent.
Quels droits des utilisateurs sur leurs données personnelles
L’un des objectifs de la CNIL est de promouvoir les droits dont jouit n’importe quel citoyen en matière de données personnelles. En les respectant, le CSE développe un environnement propice à l’application du RGPD.
Le droit à l’opposition
Tout citoyen doit être en mesure d’accepter ou de refuser de partager à un tiers des informations personnelles, une fois convenablement instruit des modalités du processus de collecte en cours (son motif, les objectifs visés, la durée de conservation des données souhaitées). Il décidera ensuite en pleine connaissance de cause de donner son consentement ou non.
Ce droit est la pierre angulaire du RGPD et le fondement des droits suivants.
Le droit à la portabilité des données
L’exercice de ce droit permet à chaque citoyen de demander une copie des données qu’il a confiées à un organisme et de pouvoir les transférer à un autre si tel est son souhait.
Le droit à la rectification
Toute donnée personnelle partagée doit être modifiable sur demande de l’individu concerné.
Le droit à la suppression
Ce droit à l’oubli stipule que tout citoyen contrôle ses informations : s’il souhaite disparaître des fichiers d’un organisme, ce dernier a l’obligation d’accéder à cette requête.
Le droit à la réparation des dommages moraux ou matériaux
La divulgation d’information personnelles peut occasionner des dommages que le responsable du traitement des données du CSE fautif devra réparer.
Garantir la transparence et le consentement
En sus de sensibiliser ses bénéficiaires sur leurs droits en matière de données personnelles, et de les observer scrupuleusement, le CSE s’engage à établir une politique de RGPD conforme aux attentes de la CNIL.
Dans l’esprit du droit à l’opposition, les maîtres-mots de cette politique sont la transparence et le consentement.
L’on garantit la première en intégrant dans le règlement intérieur du CSE quel le processus de conservation des données des bénéficiaires : lesquelles sont gardées ? Pour combien de temps ? Pour quel usage ? Et a contrario, lesquelles ne sont pas stockées ? Quel membre du CSE a été désigné responsable du traitement des données ? Il faut officiellement répondre à toutes ces questions, et porter leurs réponses à la connaissance des employés.
Le consentement est pour sa part assuré si le CSE met un point d’honneur à avertir les employés dès qu’il procède à une collecte de données. Cela peut par exemple prendre la forme d’un bandeau informatif en introduction d’un formulaire en ligne et d’une case à cocher pour signifier son accord envers la communication de données. Le responsable du traitement sera de plus ainsi en mesure de prouver la régularité des procédés en cas de contrôle de la CNIL.
Tenir un registre de traitement des données
La Commission nationale de l’informatique et des libertés attend des organismes concernés par le RGPD qu’ils puissent prouver le traitement légal de toutes les données qu’ils traitent par la tenue d’un registre des traitements de données, au format manuscrit ou numérique, et à jour.
Un inspecteur de la CNIL y trouvera :
- Les noms des membres du CSE participant directement ou indirectement au traitement des données (le responsable du traitement, des sous-traitants…) ;
- Ceux des personnes ayant un accès
- Et ceux des tiers à qui elles sont éventuellement transférées
- Les types de données recueillies ;
- Leur emploi et durée de conservation ;
- Les mesures de sécurisation.
Les membres du CSE découvriront le bilan de leurs pratiques en matière de collecte et d’accumulation de données parfois sensibles, qu’il devient possible de rationaliser grâce à cette prise de recul.
Tous les sous-traitants ont l’obligation d’ouvrir et d’actualiser un tel registre. Il sera ainsi aisément prouvé en cas de litige que les données partagées par le CSE ont été protégées et employées à bon escient.
La CNIL propose sur son site un modèle de registre de traitement de données, dont la construction répond aux besoins standards d’un organisme. Chacun peut l’étoffer en fonction de sa politique.
Elles peuvent se limiter au recensement :
- Des traitements d’informations les plus courants ;
- De ceux impliquant des données sensibles et/ou potentiellement compromettantes vis-à-vis des droits et libertés des individus (localisation, vidéosurveillance, etc.).
Le registre des traitements de données doit-il être rendu public par le CSE ?
Un comité de structure publique, non chargée d’une mission de service public, communique le registre à tout individu en ayant fait la demande, et à condition de ne pas divulguer d’informations confidentielles. Le partage de ce document à des tiers est laissé à la discrétion des élus d’un comité de structure privée.
Désigner un délégué à la protection des données
Afin de s’assurer une bonne conduite de sa politique du RGPD, un organisme public brassant un grand volume de données personnelles doit nommer un délégué à la protection des données (DPD). Les autres structures n’y sont pas contraintes par la CNIL quoique fortement invitées, car l’expertise de cet acteur facilite le travail du responsable du traitement des données.
Il revient donc au CSE de décider s’il faut en désigner un ou non.
Ce délégué est en effet un allié de choix puisqu’on le choisit pour ces compétences en droit et gestion des informations personnelles – une connaissance du secteur d’activité et des besoins de l’entreprise constitue un avantage supplémentaire non négligeable.
Ses missions :
- Conseiller le responsable du traitement
- Examiner les pratiques de collecte et de protection des données
- Être un interlocuteur privilégié des autorités en situation d’inspection
La CNIL ne tiendra pas le délégué pour responsable en cas d’entorse au RGPD. C’est le chargé du traitement des données personnelles qui essuiera tout blâme.
Sécuriser les données traitées
Dernière étape : assurer la sécurité des données récoltées et stockées par le CSE. Il s’agit avant tout d’adopter des pratiques simples, à renforcer si les informations à protéger sont sensibles.
- Usage de mots de passe complexes et modifiés régulièrement ;
- Mise à jour des logiciels et antivirus ;
- Chiffrage des données les plus sensibles ;
- Mise en place d’une procédure de sauvegarde et de récupération de données perdues ;
- Création de profils utilisateurs adaptés aux besoins d’accès aux différentes catégories de données ;
- Sécurisation de l’accès aux locaux ;
- Listage de tous les supports de données.
Au-delà d’une nécessité de conformité avec la législation nouvellement en vigueur, le CSE aura également l’opportunité d’interroger ses pratiques en matière de collecte, de partage et de sécurisation des données de ses bénéficiaires.
l’article a répondu à ces questions
- Quelle est la définition du RGPD ?
- Qu’est-ce que le traitement des données personnelles ?
- Pourquoi le CSE est-il concerné par le RGPD ?
- Comment mettre son CSE en conformité avec les exigences de la CNIL ?
Une de vos interrogations demeure sans réponse ? Partagez-la en commentaire, et nous y répondrons avec plaisir.
LES RESSOURCES
- LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
- LOI n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
- Directive européenne n°95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
- https://www.cnil.fr/: site de la CNIL
La coût de la mise aux normes RGPD pour un CSE entre t-il dans le budget de fonctionnement du CSE ? Si oui, existe-t-il un texte l’indiquant clairment ? Merci…
Bonjour Arnaud, et merci pour votre question !
En l’absence de litige sur cette question, on ne retrouve pas de texte de loi mentionnant la prise en compte de la mise aux normes RGPD dans le budget du CSE.
Toutefois, il nous paraît absolument logique d’utiliser le budget de fonctionnement car, sans politique RGPD aux normes, le comité ne peut fonctionner correctement.
N’hésitez pas si vous avez d’autres interrogations 🙂
Bonjour, est-il légal de refuser l’accès aux oeuvres sociales sur une plateforme quand la mention « consentement à l’utilisation des données personnelles » n’a pas été cochée ? Nous avons offert des chèques cadeaux de Noel seulement aux collaborateurs qui avaient bien coché ce point, merci de votre réponse.
Bonjour Caroline,
Non, ce n’est pas légal ! De manière générale, l’URSSAF ne tolère pas que l’on exclut purement et simplement des bénéficiaires : tout contrat de travail ouvre les pleins droits aux ASC. Il s’agit surtout de moduler l’accès aux prestations du CSE en faveur des ménages moins aisés. Vous devez donc redresser la situation au plus vite 🙂
Je vous accorde toutefois que le CSE peut ne pas attribuer (par exemple) de chèques-cadeaux Noël des enfants si les salariés éligibles ont refusés de vous communiquer des documents prouvant l’existence d’enfants à charge et en âge de bénéficier de ce chèque. Mais c’est alors demandé aux salariés dans le cadre d’une information qui détaille les conséquences d’un tel refus, qu’ils aient pleinement conscience de renoncer à leur avantage s’ils ne donnent pas les documents demandés. Dans votre cas, une simple case à cocher me paraît légère et donc peu justifiable aux yeux de l’URSSAF en cas de contrôle.
Je vous remercie pour cette question très intéressante et vous souhaite de bonnes fêtes de fin d’année 🙂 À bientôt sur CSE Officiel !
Bonjour, lorsqu’il fait appel à un cabinet pour une expertise (par exemple sur un projet d’organisation), le CSE doit-il s’assurer que le cabinet respecte le RGPD et par quels moyens peut-il raisonnablement le faire?
Bonjour et merci pour cette question très pertinente !
Oui, le délégué à la protection des données au sein du CSE doit demander des garanties au cabinet afin de pouvoir les renseigner dans le registre des traitements des données personnelles des salariés. C’est normalement un engagement que les professionnels engagés pour conduire des expertises assurent de prendre en l’inscrivant noir sur blanc sur le contrat passé entre le CSE et le cabinet. À préciser que, faute d’un délégué à la protection des données, un membre du CSE désigné pour la tâche peut s’en charger.
Veillez donc simplement à ce que le cabinet s’engage à respecter le RGPD, noir sur blanc 🙂 Sachant qu’ils y sont de toute manière obligés par la loi et qu’ils sont normalement prêts à vous l’assurer au moment d’établir les modalités de leur prestation.
J’espère avoir pu vous aider et je vous dis à bientôt sur CSE Officiel 🙂