Le respect des règles de la CNIL et la conformité RGPD du CSE peut s’avérer complexe et technique, mais c’est sans compter sur l’expertise d’Elisabeth Garay Humbert, juriste conseil en droit des contrats et RGPD. Lors de la 15ème édition de votre Journée du CSE, nous lui avons donné la parole sur le sujet afin d’obtenir des clés pratiques et des conseils pour garantir la conformité de l’instance 🎯
Au programme de cette intervention :
✅ Notion de base du RGPD et sanctions associées
✅ Les domaines et activités du CSE relevant du RGPD
✅ RGPD et prérogatives du CSE
Questions / Réponses du webinar posées en LIVE
Quel est le champ d’application du RGPD ?
RGPD signifie réglementation générale sur la protection des données, il est le règlement européen qui concerne les traitements de données à caractère personnel. La question de la protection des données est abordée par le règlement européen 2016/679, il prévoit que cette réglementation s’applique depuis le 25 mai 2018 au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Le RGPD s’applique à toute organisation, publique et privée, y compris les sous-traitants qui traitent des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Le RGPD instaure un cadre général pour toutes les structures collectant des données personnelles. Mais il prévoit des règles particulières pour les employeurs, qui ne collectent et traitent que les données de leur personnel ainsi que pour les CSE qui ne collectent et traitent que les données des salariés principalement pour la gestion des ASC et accessoirement pour leur fonctionnement et leurs prérogatives économiques.
Qu’est-ce qu’une donnée à caractère personnel ?
Il s’agit de toute information relative à un particulier identifié ou identifiable, directement ou indirectement, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité.On peut dénombrer de données à caractère personnel que ce soit au niveau de l’entreprise ou du CSE avec par exemple : photo, adresse, identifiant en ligne, numéro de carte d’identité, informations de santé, adresse postale, profil culturel ou social, le salaire, l’évaluation des performances, nombre d’enfants, lieu de vacances etc.
Qu’est-ce qu’un traitement de données ?
Il s’agit d’une « opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement) ». Dès l’instant que nous avons de la donnée à caractère personnel et que nous l’utilisons, on rentre dans le traitement de données.
Attention, un traitement de données personnelles n’est pas nécessairement informatisé, il en va de même pour les traitements papiers !
Quels sont les grands principes du RGPD ?
Le premier grand principe à respecter est la finalité du traitement, c’est-à-dire l’objectif. Les données doivent être collectées dans un but déterminé et légitime, justifié par rapport à l’activité du CSE. On ne doit pas collecter plus d’information que ce qui est strictement nécessaire. Pourquoi insister sur la minimisation de la collecte ? En cas de fuite de données, on va ainsi limiter le préjudice subi par les victimes et notre responsabilité.
Le deuxième grand principe est la transparence, veiller à informer les personnes concernées de ce qui est fait de leurs données (Qui – Quoi – Comment). Les données ne doivent en aucun cas être collectées à l’insu des personnes. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.
Le troisième principe concerne le droit des personnes. Le CSE doit organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultations ou d’accès, de rectification ou de suppression des données sauf si le traitement répond à une obligation légale (par exemple, l’enregistrement de données dans un fichier d’état civil). Le 4ème grand principe concerne la durée de conservation des données. Les données ne peuvent pas être conservées indéfiniment et ne le sont que le temps nécessaire à la réalisation de l’objectif préalablement défini.
Un autre grand principe concerne le processus de sécurisation des données collectées, il s’agit de prendre toutes les mesures utiles pour garantir la protection des données, sécurité physique ou informatique (protection des locaux, habilitation, droit d’accès, serveurs personnels…). Il est également important d’inscrire dans la durée la mise en conformité, vérifier régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité sont bien respectées.
L’enquête doit également être précise et préalablement définie : lieu de l’enquête, type de procédure, personnes visées, délais etc.
À savoir que la phase d’enquête et de recherche de solutions pour pallier ce danger grave et imminent est considéré comme du temps de travail effectif et n’est donc pas décompté des heures de délégation.
Lorsque l’enquête est terminée et que le rapport est établi par les partis, il faut communiquer à l’inspection du travail une fiche d’information sous 15 jours. En cas de divergence sur les dispositions retenues, une réunion extraordinaire doit se tenir sous 24 heures après la clôture de l’enquête. L’inspection du travail et la Carsat sont également informées, elles peuvent être amenées à intervenir.
À quoi correspond la base légale de traitement des données ?
Pour mettre en place traitement on doit avoir une base légale, il doit y en avoir au moins une car en l’absence d’un base légale cela signifie que mon traitement est illicite :
– le consentement : demander à la personne de nous transmettre ses données à caractère personnel et donne son autorisation à les traiter dans l’objectif poursuivi.
– le contrat : à partir du moment où j’ai un contrat qui m’autorise à collecter de la donnée à caractère personnel je n’ai pas besoin d’obtenir le consentement ou une autre base légale par exemple un contrat de travail.
– les obligations légales : lorsque j’ai une obligation légale de collecter et de traiter la donnée, je n’ai pas besoin d’obtenir le consentement ou d’avoir un contrat avec la personne concernée. Au niveau des CSE, c’est souvent le cas avec une obligation de collecter les données pour remplir les missions. Par exemple, le nom et le prénom.
– les intérêts vitaux : la base légale qui permet notamment aux services de secours de traiter nos données de santé lorsque nous ne sommes pas en mesure de pouvoir les fournir.
– les tâches publiques : appelé aussi sécurité publique. Par exemple un arrêté préfectoral autorisant à filmer dans la rue.
– les intérêts légitimes : pour l’employeur ou le CSE il s’agit de collecter des données à partir du moment où le salarié va pouvoir y tirer un intérêt.
De quoi est constitué le droit des personnes ?
– Le droit d’accès : demander directement au responsable d’un fichier s’il détient des informations vous concernant et demander à ce que l’on vous communiquer l’intégralité de ces informations.
– Le droit de rectification : demander la rectification des informations inexactes vous concernant. Il vient en complément du droit d’accès.
– Le droit d’opposition : il est possible de s’opposer pour des motifs légitimes à figurer dans un fichier ou s’opposer à ce que nos données soient diffusées, transmises ou conservées.
– Le droit à la portabilité : récupérer une partie de vos données et les transférer à un autre organisme (entre assurance, entre fournisseurs d’internet).
– Le droit au déréférencement : depuis un moteur de recherche, le droit de ne pas se voir associer son nom et son prénom à quelque chose d’injurieux ou diffamant afin de protéger sa vie privée.
– Le droit à l’effacement : demander à un organisme la suppression de vos données personnelles.
– Le droit à la limitation : suspendre le traitement des données vous concernant pendant un certain temps.
Quelles sont les sanctions possibles en cas de non-respect du RGPD ?
Sur le plan pénal, des sanctions sont prévues en cas de manquement à la sécurité et à la protection des données (C. pén., art. 226-16 ; C. pén., art. 226-24). En fonction de la gravité des infractions, les peines prononcées peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende. Par exemple, l’absence d’information des personnes concernées ou le non-respect des droits des personnes fait l’objet d’une amende de 1 500 euros par infraction constatée. Sur le plan civil, les personnes qui ont subi un dommage du fait de la violation de leurs données personnelles pourront en demander réparation au CSE s’il en est responsable, par négligence ou par faute. Attention, en cas de non-respect des dispositions du RGPD, c’est bien le CSE, personne morale, qui peut voir sa responsabilité engagée et non celle du responsable du traitement désigné par lui ! En revanche, tout membre du CSE qui contreviendrait personnellement aux prescriptions du RGPD pourrait engager sa responsabilité pénale voire civile.
Des amendes administratives peuvent être prononcées par la Cnil, dont le montant est déterminé en fonction de :
– la nature, la gravité et la durée de la violation
– la nature, de la portée ou de la finalité du traitement concerné
– le nombre de personnes concernées affectées et le niveau de dommage subi
Cela peut entraîner la diminution / suppression temporaire du budget ASC du CSE. En effet, la qualification d’une dépense sur un budget est déterminée par rapport à son objet / sa nature (le paiement d’une amende relative aux ASC doit donc être attribuée sur le budget ASC).
Quels sont les domaines d’activités du CSE relevant du RGPD ?
De nombreux sujets sont assujettis au RGPD pour le CSE :
– les Activités Sociales et Culturelles (ASC), quel que soit le mode de gestion
– les sites web du CSE
– les communications du CSE à destination des salariés
– les données des élus
– le CSE lorsque celui-ci est employeur