Nos conseils pour mettre en conformité votre CSE au RGPD

La Journée du CSE – 16ème édition 🎙️

Dans l’exercice des ses missions, le Comité Social et Économique (CSE) est amené à traiter et manipuler, presque au quotidien, des données dites sensibles : nom, prénom, âge, sexe, adresse, numéro de Sécurité Sociale, mail, téléphone etc.

Afin de garantir la sécurité et protéger les intérêts de chacun, des règles s’imposent aux entreprises et CSE pour garantir et maintenir sa conformité RGDP.

👉 Qu’est-ce que le RGPD ?
👉 Quelles sont les données concernées par le RGPD pour les CSE ?
👉 Comment mettre en conformité un CSE ?
👉 Comment maintenir sa conformité RGPD ?

Pour traiter ce sujet, nous avons eu le plaisir d’accueillir le cabinet ICG Conseil et notamment Céline Bachelier, responsable BU « Risques et Conformité » référente RGPD DPO et certifiée APAVE & Nelly Cassin, consultante & référente RGPD, DPO certifiée APAVE.

Découvrez dans ce guide pratique, des clés essentielles pour garantir et maintenir votre conformité RGPD.

Questions / Réponses du webinar posées en LIVE

Qu'est-ce que le RGPD et pourquoi est-il important pour un CSE ?

Le RGPD (Règlement Général sur la Protection des Données) est une réglementation européenne qui encadre la manière dont les organisations, y compris les Comités Sociaux et Économiques (CSE), traitent les données personnelles des individus. Cette réglementation est cruciale pour les CSE car ces entités sont souvent amenées à gérer un grand nombre de données à caractère personnel, telles que les informations des salariés, les détails des ayants droit, ou encore des données plus sensibles comme les cartes d’identité, les informations médicales, et les affiliations syndicales.

Le respect du RGPD permet non seulement de protéger la vie privée des individus, mais également d’éviter des sanctions financières importantes, qui peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global de l’entreprise. De plus, en cas de non-respect du RGPD, un CSE peut également subir des dommages d’image et des sanctions pénales. Il est donc essentiel pour les CSE de comprendre les bases du RGPD et de mettre en place des mesures adéquates pour se conformer à la réglementation.

Quelles sont les données personnelles concernées par le RGPD au sein d’un CSE ?

Les données personnelles concernées par le RGPD sont toutes les informations permettant d’identifier, directement ou indirectement, une personne physique. Dans le cadre d’un CSE, ces données peuvent inclure des informations comme le nom, le prénom, l’adresse email, le numéro de téléphone, l’adresse postale, ou encore le numéro de sécurité sociale des salariés. Ces informations sont couramment collectées dans le cadre de la gestion des activités sociales et culturelles, des prestations, ou de la billetterie.

En plus de ces données personnelles dites « classiques », un CSE peut également traiter des données dites « sensibles ». Ces dernières comprennent, par exemple, des informations sur la santé (comme les cartes MDPH), les opinions politiques, les convictions religieuses, ou encore les affiliations syndicales. Ces données sensibles nécessitent des précautions supplémentaires car leur divulgation pourrait avoir des conséquences graves, comme la discrimination ou l’usurpation d’identité. Le CSE doit donc être particulièrement vigilant dans leur collecte, leur stockage, et leur partage.

Comment un CSE peut-il se mettre en conformité avec le RGPD ?

La mise en conformité avec le RGPD pour un CSE doit suivre un processus structuré, qui commence par une phase d’audit. Cette étape permet de dresser un état des lieux complet des pratiques du CSE en matière de gestion des données personnelles. Il s’agit d’analyser quels types de données sont collectés, comment elles sont traitées, conservées et sécurisées. Une fois cet état des lieux réalisé, plusieurs actions concrètes doivent être mises en place :

Politique de confidentialité : le CSE doit rédiger et publier une politique de confidentialité accessible à tous les bénéficiaires, expliquant comment leurs données sont collectées, traitées et protégées.
Registre des activités de traitement : ce document recense toutes les données traitées par le CSE et précise leur finalité, les personnes concernées, les destinataires des données, ainsi que les mesures de sécurité mises en place.
Formation et sensibilisation : il est crucial de former les élus et les salariés du CSE aux bonnes pratiques RGPD pour qu’ils soient en mesure de protéger les données sensibles et de répondre efficacement aux demandes des bénéficiaires.
Désignation d’un Délégué à la Protection des Données (DPO) : si le CSE traite un volume important de données sensibles, il est recommandé de nommer un DPO, qui veillera à la bonne application du RGPD et sera le point de contact avec la CNIL.

La mise en conformité est un processus long qui peut s’étaler sur un an, mais elle est nécessaire pour assurer la protection des données et éviter les sanctions.

Quels sont les droits des salariés en matière de protection des données personnelles ?

Les salariés disposent de huit droits principaux en matière de protection des données personnelles, selon le RGPD :

Droit à l’information : chaque salarié a le droit d’être informé sur les données personnelles collectées par le CSE, pourquoi elles sont collectées, et comment elles sont utilisées.
Droit d’accès : les salariés peuvent demander à accéder à leurs données personnelles détenues par le CSE et obtenir une copie de celles-ci.
Droit de rectification : si les données personnelles détenues par le CSE sont incorrectes ou incomplètes, le salarié peut demander à les corriger ou à les mettre à jour.
Droit à l’effacement : un salarié peut demander la suppression de ses données personnelles, notamment lorsque les données ne sont plus nécessaires ou si le consentement est retiré.
Droit à la limitation du traitement : ce droit permet à un salarié de restreindre temporairement le traitement de ses données personnelles dans certaines situations.
Droit à la portabilité des données : les salariés peuvent demander à recevoir leurs données personnelles dans un format structuré et couramment utilisé afin de les transmettre à un autre responsable de traitement.
Droit d’opposition : un salarié peut s’opposer à certains traitements de ses données personnelles, notamment lorsqu’ils reposent sur l’intérêt légitime du CSE ou à des fins de marketing.
Droit de demander une intervention humaine : lorsque des décisions automatisées sont prises à partir des données personnelles, un salarié peut demander une intervention humaine pour revoir la décision.

Le CSE dispose d’un délai d’un mois pour répondre à ces demandes, avec une prolongation possible de deux mois en cas de complexité. Il est donc crucial que le CSE mette en place des procédures efficaces pour gérer ces droits de manière documentée et conforme au RGPD.

Comment un CSE peut-il garantir la sécurité des données personnelles qu'il traite ?

Assurer la sécurité des données personnelles est une des obligations majeures du RGPD, particulièrement pour un CSE qui manipule des données sensibles. Plusieurs mesures doivent être mises en place pour garantir cette sécurité :

Mesures techniques : il est essentiel de protéger les systèmes informatiques du CSE par des pare-feux, des antivirus, et des outils de chiffrement des données. Par exemple, les données sensibles, comme les cartes d’identité ou les informations médicales, doivent être chiffrées lors de leur transmission et de leur stockage. Les accès aux fichiers de données doivent être protégés par des mots de passe robustes et régulièrement renouvelés.
Gestion des droits d’accès : seuls les membres du CSE qui ont un réel besoin d’accéder aux données personnelles doivent en avoir l’autorisation. Il est également important de définir des niveaux d’habilitation en fonction des responsabilités de chacun.
Archivage et destruction des données : une politique claire doit être mise en place pour déterminer combien de temps les données sont conservées. Une fois que les données ne sont plus nécessaires, elles doivent être supprimées de manière sécurisée pour éviter toute fuite ou usage non autorisé.
Audits réguliers : il est recommandé de réaliser des audits de sécurité informatique pour vérifier la conformité des systèmes aux normes RGPD et pour identifier d’éventuelles failles dans les dispositifs de protection des données.

En plus de ces mesures techniques, il est indispensable de sensibiliser régulièrement les membres du CSE à la sécurité des données et de les former aux bonnes pratiques pour éviter les erreurs humaines.

Quelles sont les sanctions encourues par un CSE en cas de non-conformité au RGPD ?

Les sanctions pour non-conformité au RGPD peuvent être lourdes, et le CSE n’échappe pas à cette réglementation. En cas de manquement aux obligations du RGPD, la CNIL (Commission Nationale de l’Informatique et des Libertés) peut intervenir et infliger plusieurs types de sanctions :

Amendes administratives : le montant des amendes peut atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel global, selon la gravité du manquement. Par exemple, une absence de registre des activités de traitement ou une mauvaise gestion des données sensibles pourrait justifier une amende.
Mises en demeure : avant d’infliger une amende, la CNIL peut émettre une mise en demeure, qui exige du CSE de se mettre en conformité dans un délai imparti. Si les mesures correctives ne sont pas prises dans ce délai, l’amende sera appliquée.
Sanctions pénales : en plus des amendes administratives, les membres du bureau du CSE, en tant que responsables de traitement, peuvent être personnellement poursuivis pour des infractions graves. Les sanctions pénales peuvent inclure des peines d’emprisonnement et des amendes allant jusqu’à 300 000 euros.
Atteinte à la réputation : outre les sanctions financières et pénales, la non-conformité au RGPD peut également entraîner un dommage important à l’image du CSE ou de l’entreprise dont il dépend, ce qui peut avoir des répercussions à long terme sur la confiance des salariés et partenaires.

Quelles sont les phases et les jalons du projet de mise en conformité ?

Un projet de mise en conformité RGPD pour un CSE est structuré autour de six phases principales et s’étale généralement sur 1 an. Chacune de ces phases est cruciale pour assurer que le traitement des données personnelles se fasse en accord avec la législation en vigueur. Voici les étapes clés du processus :

Audit / diagnostic : la première étape consiste à identifier les données personnelles collectées par les différents services du CSE. Cette phase permet de dresser un état des lieux de la gestion des données et de comprendre quelles données sont traitées, où elles sont stockées, et qui y a accès.
Rédaction de la politique de confidentialité : une fois l’audit réalisé, il est nécessaire de rédiger une politique de confidentialité claire et précise. Cette politique doit expliquer comment les données sont collectées, utilisées, et protégées, et doit être mise à disposition des salariés pour qu’ils soient informés de leurs droits et des traitements effectués.
Mise en place des bases légales : la troisième phase consiste à définir les bases légales qui justifient le traitement des données personnelles. Ces bases peuvent inclure le consentement des salariés, les obligations légales ou contractuelles, ou encore l’intérêt légitime du CSE.
Mise en place du registre de traitement et contact des sous-traitants : le CSE doit ensuite créer un registre qui recense l’ensemble des activités de traitement des données. Durant cette phase, il est aussi nécessaire de contacter les sous-traitants qui manipulent des données pour le compte du CSE afin de s’assurer qu’ils respectent également le RGPD et d’inclure des clauses de protection des données dans les contrats.
Création de process et documentation pour les employés du CSE : des processus clairs doivent être mis en place pour que les employés du CSE puissent gérer les droits des bénéficiaires (comme le droit d’accès, de rectification, ou d’effacement des données). Des documents de procédure doivent être créés et diffusés afin de former et sensibiliser les employés à la protection des données personnelles.
Audit de conformité : enfin, un audit de conformité est réalisé pour vérifier que toutes les mesures mises en place respectent bien les exigences du RGPD. Cet audit permet de s’assurer que les processus et systèmes sont conformes et d’apporter des ajustements si nécessaire.

Quels sont les rôles du DPO dans un CSE et comment choisir un DPO ?

Le Délégué à la Protection des Données (DPO) joue un rôle essentiel dans la mise en conformité d’un CSE au RGPD. Il est chargé de s’assurer que le CSE respecte les obligations légales en matière de protection des données. Son travail inclut la gestion des registres de traitement, la proposition de mesures pour réduire les risques liés aux données, ainsi que la formation et la sensibilisation des membres du CSE aux bonnes pratiques. Le DPO est aussi le point de contact avec la CNIL en cas de contrôle ou de question sur le traitement des données.

Le DPO peut être soit internalisé, soit externalisé. Lorsqu’il est internalisé, il doit être indépendant des décisions opérationnelles sur les données, ce qui signifie qu’il ne peut pas être un élu ou un membre directement impliqué dans la gestion du CSE. Si les compétences en interne ne suffisent pas, il est possible de recourir à un DPO externalisé par l’intermédiaire de prestataires spécialisés, ce qui permet de bénéficier d’une expertise adaptée à la taille et aux besoins du CSE.

Quelle est la durée de conservation des données personnelles par un CSE ?

La durée de conservation des données personnelles par un CSE doit être strictement limitée à ce qui est nécessaire pour atteindre les finalités pour lesquelles ces données ont été collectées. En général, les données sont conservées tant que le salarié est bénéficiaire des services du CSE. Une fois que ces données ne sont plus nécessaires (par exemple, après le départ d’un salarié ou la fin d’une prestation), elles doivent être supprimées ou anonymisées. Toutefois, certaines données peuvent être conservées plus longtemps en raison d’obligations légales, telles que les documents comptables, qui doivent être gardés pendant dix ans. Le CSE doit ainsi définir des durées précises de conservation pour chaque type de données, en fonction de leurs finalités, et mettre en place un système de suppression ou d’archivage des données arrivées à expiration.

Que faire en cas de violation de données au sein d’un CSE ?

En cas de violation de données, c’est-à-dire lorsqu’il y a une fuite, une perte ou un accès non autorisé à des données personnelles, le CSE doit réagir rapidement. Tout d’abord, il doit évaluer la nature et la gravité de la violation. Si cette violation présente un risque pour les droits et libertés des personnes concernées, le CSE doit en informer la CNIL dans un délai de 72 heures. Si le risque est jugé élevé, le CSE doit également notifier les personnes concernées, en leur fournissant des informations sur les mesures à prendre pour se protéger. Par ailleurs, une enquête interne doit être menée pour comprendre les causes de l’incident, et des mesures correctives doivent être mises en place pour éviter qu’une telle violation ne se reproduise. Il est également recommandé de documenter chaque étape de la gestion de la violation, afin de montrer que le CSE a respecté ses obligations en matière de protection des données.