Depuis le mai 2018, toute société qui collecte des informations à caractère personnel sur ses clients, comme sur ses salariés doit être en conformité avec le règlement Général sur la Protection des Données, RGPD.
Les élus du CSE collectent régulièrement des informations auprès de l’ensemble des bénéficiaires du CSE.
Dans le cadre de ses missions, le CSE (comité social et économique) collecte et traiter régulièrement des données personnelles, notamment celles des salariés et de leurs familles, identité, adresse, composition de la famille, date de naissance des enfants, etc. Prenons l’exemple des chèques cadeaux distribués pour Noël, le CSE collecte le nom et prénom des enfants, leurs dates de naissance.
Le traitement de l’ensemble de ces données est soumis à la réglementation relative à la protection des données (RGPD).
Le consentement des bénéficiaires du CSE :
Le CSE, doit premièrement, s’assurer du consentement des salariés quant au traitement de leurs données et les informer de leurs droits. Par exemple, le CSE pourra demander au bénéficiaire de cocher une case l’informant de ses droits. Le bénéficiaire du CSE disposera alors de toutes les informations tenant aux motifs de cette collecte.
Le Règlement prévoit également que, chaque personne qui fait l'objet d'une collecte de données personnelles la concernant, doit être informée de son droit :
- d'obtenir gratuitement une copie des données les concernant ;
- de faire rectifier les données qui se révéleraient inexactes ou de les compléter ;
- à l'effacement ("droit à l'oubli”), sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son contentement ;
- de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement.
Le CSE doit protéger l’ensemble de ces informations :
Deuxième, le CSE doit protéger l’ensemble de ces informations. Il doit garantir aux salariés qu’elles ne seront pas accessibles à des personnes non autorisées. Le CSE est ainsi soumis à l’obligation de tenir un registre de traitement et de prévoir des mesures permettant d’assurer la confidentialité des données traitées, engagement de confidentialité, procédure pour répondre aux demandes d’exercice de leurs droits par les salariés.
La collecte et l’exploitation de données personnelles impliquent le respect de certaines procédures. L’instauration d’un registre des traitements de données en fait partie. Il s’agit d’un document dans lequel seront consignées l’ensemble des données personnelles.
La CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures. Ce document vise à recenser les traitements de données personnelles mis en œuvre dans votre organisme. Centralisé et régulièrement mis à jour, il vous permet de répondre à l’obligation de tenir un registre prévue par le RGPD.
Les sous-traitants du CSE et la protection des données :
Les sous-traitants peuvent également être coresponsables du traitement des données collectées (exemple, prestataire qui gère le site internet du CSE). Le CSE doit alors vérifier auprès du sous-traitant que celui-ci présente toutes les garanties de protection des données personnelles qu’il reçoit du CSE.
Nomination d’un responsable au sein du CSE :
Nous vous conseillons de désigner un responsable à la protection des données au sein de votre comité social et économique afin d’assurer le respect de la réglementation.
Les sanctions :
En cas de non-respect, les sanctions sont les mêmes que celles qui pourraient être appliquées à tout responsable de traitement allant jusqu’à des montants très importants.
Sources :
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL
