Livingstone Expert CSE, l'Expert du Comité Social et Economique Accueil Livingstone Expert CSE » Actualités » Les obligations du CSE en matière de protection des données personnelles (RGPD)

Les obligations du CSE en matière de protection des données personnelles (RGPD)

Depuis l’entrée en vigueur de la réglementation sur la Protection des Données (RGPD) en mai 2018, la protection des données personnelles est devenue un enjeu majeur pour les entreprises, mais aussi pour les représentants du personnel. Le Comité Social et Économique (CSE) a, lui aussi, des obligations spécifiques en matière de respect et de protection des données personnelles des salariés.

Le CSE, responsable de traitement au regard du RGPD

En principe, c’est l’employeur qui est le « responsable de traitement » des données personnelles collectées dans l’entreprise.

Toutefois, le CSE, lorsqu’il traite lui-même des données personnelles (listes d’élus, données des salariés, informations relatives aux activités sociales et culturelles…), devient à son tour responsable de traitement pour ces données.

Cela signifie que le CSE doit respecter les obligations du RGPD c’est à dire :

Collecter uniquement les données strictement nécessaires à ses missions
Informer clairement les personnes concernées (électeurs, bénéficiaires…)
Assurer la sécurité et la confidentialité des données
Respecter les droits d’accès, de rectification et de suppression des données.

Obligation d’information et transparence

Le CSE doit informer les salariés dont il collecte les données sur :

Les finalités du traitement (ex : gestion des activités sociales et culturelles, gestion des heures de délégation, communication interne…),
Les destinataires des données (membres du bureau, prestataires informatiques, organisme gestionnaire des activités sociales),
La durée de conservation des données,
Les droits des personnes (accès, rectification, opposition, suppression).

Cette information doit être claire, facilement accessible, souvent par une note d’information ou un document remis aux salariés.

La sécurité des données traitées par le CSE

Le RGPD impose au CSE de garantir la sécurité des données qu’il traite. Cela passe notamment par :

La mise en place de mesures techniques (mots de passe, accès restreint aux fichiers, chiffrement si nécessaire),
Des mesures organisationnelles (sensibilisation des élus, règles internes de confidentialité),
Une vigilance particulière sur les supports de stockage (ordinateurs, clés USB, cloud).

Le CSE doit veiller à ce que ces données ne soient pas consultées, modifiées ou supprimées par des personnes non autorisées.

La gestion des données personnelles dans le cadre des activités sociales et culturelles

Les activités sociales et culturelles du CSE impliquent souvent la collecte de données personnelles (noms, coordonnées, situation familiale, etc.) des salariés bénéficiaires. Ces données doivent être traitées conformément au RGPD.

Le CSE doit :

Limiter la collecte à ce qui est nécessaire,
Informer les salariés des modalités de traitement,
Sécuriser les données,
Prévoir une durée de conservation adaptée (exemple : conservation pendant la durée d’inscription et 10 ans pour la gestion administrative).

Respect du droit d’accès et de rectification

Les salariés bénéficient d’un droit d’accès à leurs données détenues par le CSE, ainsi que d’un droit de rectification. Le CSE doit organiser un circuit simple et transparent pour permettre aux salariés de demander la consultation, la correction ou la suppression de leurs données.

Responsabilité et risques

Le non-respect des obligations RGPD par le CSE peut engager sa responsabilité et entraîner des sanctions, notamment si des données sont divulguées ou utilisées de manière abusive. Une mauvaise gestion des données personnelles peut aussi entacher la confiance des salariés et porter atteinte à la crédibilité du CSE.

Le CSE et la collaboration avec l’employeur et la CNIL

Le CSE doit aussi veiller à collaborer avec l’employeur pour s’assurer que les traitements de données réalisés dans l’entreprise respectent le RGPD. En cas de suspicion de violation ou de mauvaise pratique, le CSE peut alerter la CNIL (Commission Nationale de l’Informatique et des Libertés).

Le respect des règles relatives aux données personnelles des salariés est capital pour les élus du CSE. Le CSE doit assurer le respect de ces dispositions pour les données qu’il collecte dans le cadre de sa mission mais aussi s’assurer que l’employeur respecte ces dispositions notamment lorsqu’il installe un système de surveillance dans l’entreprise. En cas de besoin, n’hésitez pas à nous contacter!