Article publié dans le magazine Direction[s] n° 181 de décembre 2019.
Disponible en téléchargement PDF à la fin de l’article et consultable sur le site internet de Direction[s].
Le règlement général sur la protection des données (RGPD) représente encore un important chantier pour le secteur qui doit se mettre en conformité. Y compris le comité social et économique (CSE). L’occasion de faire le point sur les obligations de ce dernier en la matière.
À l’instar de l’entreprise ou de l’association, le CSE collecte des données personnelles et met en œuvre certains traitements dans le cadre de ses missions, notamment pour la gestion des activités sociales et culturelles (ASC). À ce titre, il est un responsable de traitement [1] soumis à l’ensemble des obligations posées par le règlement général sur la protection des données (RGPD).
Les grands principes
En premier lieu, le CSE doit être en mesure d’assurer les cinq grands principes indispensables à cette protection.
Finalité. Il n’est possible de conserver et d’utiliser les données concernant une personne physique que dans un but précis, légal et légitime. Les ASC en font partie.
Proportionnalité et pertinence. Les données collectées collectées doivent être strictement nécessaires au regard de la finalité poursuivie.
Durée de conservation. Aucune donnée ne doit être gardée indéfiniment, ce qui suppose de fixer une durée maximale à l’avance et de procéder à la suppression le moment venu. Pour les ASC, la Commission nationale de l’informatique et des libertés (Cnil) recommande une durée de deux ans à compter de l’exécution de la prestation pour certaines données.
Sécurité et confidentialité. L’accès aux données détenues par le CSE doit être limité à certaines personnes autorisées (secrétaire, trésorier…). Le comité est le garant des données dont il dispose et en assume la responsabilité, notamment en mettant en place les dispositifs techniques et organisationnels appropriés (accès aux serveurs, mots de passe, etc.). En cas de violation, il doit en informer la Cnil.
Respect du droit des personnes. Ce grand principe comprend le droit d’accès, de rectification, d’effacement et d’opposition.
Désigner un délégué ad hoc ?
Eu égard à sa taille, à la nature et au nombre de données personnelles traitées, le CSE est dispensé dans la plupart des cas de mettre en place un délégué à la protection des données (DPD) [2]. En effet, l’obligation vise principale-ment les traitements à grande échelle de données sensibles [3]. Néanmoins, la Cnil recommande vivement à tous les responsables de traitement de le faire. A mini-ma, le CSE pourrait se doter d’un « correspondant » ou « référent » RGPD qui aura pour mission d’informer, de conseiller et de contrôler le respect du règlement pour le compte du comité. Cette fonction peut être assurée par un membre de l’instance.
Caractère facultatif du registre de traitement
De la même façon, les comités comptant moins de 250 salariés bénéficient d’une dérogation concernant l’obligation de tenir un registre de traitement, à l’exception des traitements non occasionnels, susceptibles de comporter un risque pour les droits et libertés des personnes ou portant sur des don-nées sensibles [4]. Or, celles recueil-lies, par exemple dans le cadre des ASC ou d’une procédure d’inaptitude (identité, adresse, situation familiale, santé, etc.), ne sont a priori pas touchées par cette restriction, même si nous manquons encore de recul sur la position de la Cnil en la matière.
Information et consentement des salariés
Pour être en conformité, le CSE doit s’assurer que les salariés ont eu connaissance de leurs droits en leur communiquant certaines informations [5] (identité du responsable de traitement, finalité, destinataires des données, durée de conservation, etc.), dont la liste diffère selon que les don-nées sont collectées directe-ment [6] auprès de la personne ou indirectement [7] par l’intermédiaire d’un tiers (en l’occurrence l’employeur).
Le comité est néanmoins dis-pensé d’accomplir ces formalités quand la personne dispose déjà de ces informations, ce qui sera souvent le cas lorsqu’elles sont fournies par l’employeur. Dans cette hypothèse, le CSE devra préciser au service des ressources humaines (RH) les traitements qui seront effectués.
Le moment de cette communication n’est pas non plus identique selon que la collecte est directe ou indirecte [8], étant précisé que l’instance dispose d’une grande liberté de choix concernant le support utilisé, sous réserve que l’information soit compréhensible, concise et aisé-ment accessible [9].
Pour être autorisé à mettre en œuvre un traitement, le règle-ment prévoit plusieurs bases légales dont le consentement de la personne concernée. Celui-ci n’est toutefois pas requis lorsque le traitement « est nécessaire au respect d’une obligation légale » à laquelle est soumis le responsable [10].
Par exemple, le traitement effectué dans le cadre d’information-consultation sur le licencie-ment d’un salarié protégé pourrait être justifié par les obligations issues du Code du travail. À l’inverse, pour les ASC, le CSE devra obtenir l’autorisation du personnel, en particulier lorsque la collecte de données est réalisée directement auprès de ce dernier.
Attention aux données traitées par des tiers
Dans le cadre de ses missions, le CSE est souvent amené à confier certaines données personnelles à des sous-traitants (expert-comptable, voyagiste, résidence de vacances, autre presta-taire de services). En qualité de coresponsable, il appartient au comité de s’assurer que ces tiers présentent des garanties suffisantes à propos du traitement mis en œuvre et qu’ils sont en conformité. En pratique, cette vérification s’opère lors de la conclusion du contrat ou de la lettre de mission liant le CSE au fournisseur, par l’ajout d’une clause spécifique relative à la protection des données.
Contrôle et mise en conformité
Tout comme l’employeur, le comité est susceptible de faire l’objet de contrôles. Il conviendra donc de recenser les traitements déjà mis en œuvre et de prendre les mesures nécessaires pour en garantir la conformité. Il ne peut qu’être conseillé aux membres de l’instance de se former sur ces questions, et/ou de se faire accompagner par un professionnel. À noter que la Cnil vient de mettre en ligne un Mooc [11] pour s’initier au RGPD, qui constitue un premier support d’information intéressant pour les élus du CSE, disponible jusqu’en septembre 2021.
Le CSE peut aussi être contrôleur
Au-delà de sa qualité de responsable de traitement, le comité veille également, pour le compte des salariés, à ce que l’entreprise ou l’association soit en conformité avec le RGPD (mise en place d’un registre des traitements, désignation d’un délégué, dispositif garantissant la sécurité et la confidentialité des données, information des salariés, etc.). Dans les entreprises de 50 salariés et plus soumises aux consultations récurrentes obligatoires, il est possible de se saisir de la thématique de la protection des données personnelles via l’accord aménageant notamment le contenu, et la périodicité des consultations [Code du travail, article L2312-19]. Le CSE doit aussi s’en préoccuper dans le cadre des consultations sur des sujets ponctuels relatifs à la marche générale de l’entreprise (mise en place d’un système de badgeage, de vidéosurveillance…) [Code du travail, article L2312-8].
Steven Theallier,
Avocat, Picard avocats
[1] RGPD, article 4, point 7 (à consulter sur le site de la Cnil)
[2] Lire Direction[s] n° 170, p. 37
[3] RGPD, article 37
[4] RGPD, article 30
[5] RGPD, article 48
[6] RGPD, article 13
[7] RGPD, article 14
[8] RGPD, article 13
[9] RGPD, article 12
[10] RGPD, article 6
[11] « L’atelier RGPD », à retrouver sur https://atelier-rgpd.cnil.fr
Références :
Règlement européen n° 2016/679 du 27 avril 2016 et loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles