Les Chroniques

Les principes du RGPD

Le RGPD pose 6 principes autour de la collecte des données :

• Ne collecter que les données nécessaires : le CSE peut collecter les données afférentes à la situation familiale sous toute réserve qu’il en ait effectivement besoin dans le cadre de la gestion des activités sociales et culturelles. A contrario, il ne pourra pas demander des éléments relatifs à l’orientation sexuelle des salariés qui ne sont pas des données nécessaires.
• La transparence : les élus du CSE doivent s’assurer d’informer les salariés des raisons pour lesquelles ils collectent de telles données mais également de leur faculté à faire rectifier, modifier et effacer leurs données
• Faciliter l’exercice du droit des personnes : il convient notamment d’indiquer sous quelle forme la demande relative aux données personnelles s’effectue ainsi que la personne responsable de traitement
• Fixer des durées de conservation des données : les élus doivent s’assurer qu’ils conservent les données suffisamment longtemps pour faire face à leurs obligations légales (notamment en cas de contrôle URSSAF) sans toutefois les conserver indéfiniment
• Sécuriser les données : les élus doivent s’assurer que les données ne soient ni piratées ni accessibles à tous
• Inscrire la mise en conformité dans une démarche continue

Ce que doivent faire les élus

Les élus doivent impérativement désigner un responsable de traitement (secrétaire ou trésorier ou autre élu du CSE). Il faudra le désigner en réunion plénière, avec inscription d’un point à l’ordre du jour et inscription du résultat dans le PV.

C’est à lui qu’il reviendra de tenir le registre de traitement des données

Sur ce registre, le responsable de traitement, avec l’aide d’autres élus le cas échéant, devra lister les activités du CSE. Une fiche par activité du CSE est nécessaire. Au sein de celles-ci, les mentions suivantes devront apparaitre :

- identité et coordonnées du responsable de traitement

- finalité du traitement ( à quoi servent les données, pourquoi le CSE en a besoin ?)

- les catégories de données utilisées

- les personnes ayant accès à ces données

- la durée de conservation des données.

Il est possible de télécharger le modèle mis en place par la CNIL en ce sens

Les élus doivent par ailleurs s’assurer que les données collectées ne peuvent être interceptées par des tiers non désirés.

En pratique, il est nécessaire d’avoir a minima un logiciel antivirus, de sécuriser l’endroit où les données sont collectées (clés, code d’accès, mot de passe..), de mettre à jour fréquemment les mots de passe, et de vérifier impérativement avec les prestataires du CSE que ceux-ci respectent bien les dispositions du RGPD.

Enfin, il convient de recueillir le consentement écrit de chaque salarié pour le recueil de ses données personnelles. Il est nécessaire ici de rédiger un document informant les salariés de l’identité du responsable de traitement, de ses coordonnées, les informer également de la finalité du recueil de ses données, la durée de conservation, les personnes ayant accès aux données. Ils doivent également être informés qu’ils ont le droit d’accéder à leurs données, de les rectifier et à l’oubli.

Exemples de la CNIL : ICI.

Les risques

En cas de non-respect du RGPD, la CNIL peut être saisie, notamment par un salarié. Celle-ci a la possibilité d’enjoindre le CSE a se conformer à cette réglementation et prononcer des sanctions en ce sens.

Bon à savoir : l’amende peut atteindre la somme de 20 millions d’euros !

Ainsi, les élus doivent être extrêmement vigilants sur une telle réglementation et s’assurer de respecter la réglementation particulière en matière de protection des données.