Au programme de ce nouveau rendez-vous, nous vous proposons de vous plonger au cœur des enjeux de mise en conformité des normes RGPD éditées par la CNIL.
Vous verrez comment le CSE prend part dans la démarche faisant de ces normes un axe de développement et non pas une contrainte.
Nous accueillons pour ce faire Aurore Maréchal, juriste, dirigeante, DRH et DPO certifiée.
Dirigeante d’une structure créée il y a maintenant 4 ans nommée AM Consulting. À l’origine plutôt sur l’aspect DRH et sur des projets de stratégie d’entreprise et d’organisation, elle a su faire évoluer son activité. L’objectif dans les accompagnements est de fournir des solutions concrètes, transparentes, innovantes avec un objectif de placer l’humaine au cœur des organisations.
En 2018, elle se spécialise dans le traitement des données et des normes RGPD.
À plus d’un égard, RGPD, droit du travail et CSE sont complémentaires puisque l’objectif du RGPD est de protéger les données et les droits des individus. Parallèlement, c’est une des missions du CSE et dans un mandat de représentation syndical.
Au cours de ce live, nous abordons trois grandes parties :
Le nouveau rôle du CSE dans le DUERP
La clarification de la formation santé sécurité
L’extension de la négociation égalité professionnelle et QVT
Questions / Réponses du webinar posées en LIVE
Le RGPD, de quoi parlons-nous ?
Le Règlement Général sur la Protection des Données à caractère personnel est un texte européen, une réglementation européenne impulsée principalement par la France. L’objectif initial de ce RGPD était de poser un cadre juridique unique qui permettait notamment le développement des activités numériques et de se positionner entre une vision américaine et asiatique en créant une réglementation bien spécifique autour de la protection des droits et des libertés de l’individu.
Qu’est-ce qu’une donnée personnelle ?
C’est défini comme “ toute information qui se rapporte à une personne physique identifiée ou identifiable”. Et même si nous n’avons pas le nom ou l’adresse, il s’agit de savoir si par un regroupement de données, j’ai la possibilité, de manière personnelle ou via une intelligence artificielle, de mixer des données pour remonter de manière personnelle à un individu (par exemple, de l’ADN, un numéro de Sécurité Sociale, un numéro de matricule, une donnée de santé etc.).
Qui est concerné par le RGPD ?
En tant que personne, tout individu est concerné et de la même manière, que l’on soit un organisme privé ou public est concerné par le RGPD. De plus, sont protégés les individus qui sont basés en Union Européenne ainsi que les personnes et les entités qui réalisent des traitements de données d’individus implantés en Union Européenne.
Quels sont les 8 commandements du RGPD ?
es règles d’or sont cumulatives et doivent toutes être respectées dès l’instant où l’on met en place un traitement de données à caractères personnels.
- Définir la finalité de la collecte de données : c’est-à-dire quel est mon but et quel est mon objectif ? Cet objectif doit être compréhensible et respectueux de la réglementation en vigueur.
- Déterminer la base légale de la collecte de données : qu’est-ce qui m’autorise à mettre en place cette collecte de données à caractère personnel ? La loi précise 6 cas précis parmi lesquels l’exécution d’un contrat, un intérêt légitime, l’exécution d’une obligation légale, l’intérêt public, la sauvegarde des intérêts vitaux.
- Collecter le minimum d’informations et ne pas se baser sur le principe souvent éprouvé de “ on ne sait jamais ”. Collecter ce qui est strictement et nécessairement indispensable au moment de la mise en place du traitement. C’est le principe de minimisation et de proportionnalité.
- Interdire la collecte de données sensibles : au sens du RGPD, il existe toute une typologie de données dites sensibles, les opinions philosophiques, politiques, syndicales, les données de santé, biométriques, l’orientation sexuelle etc. Des exceptions existent selon certains cas précis.
- Sécuriser les données personnelles : que celles-ci soient physiques ou informatiques.
- Être transparent : les personnes concernées par la collecte de données doivent savoir ce que l’on collecte, pourquoi, comment et quelle est la sécurité de l’opération. Privilégier une notice écrite qui reprend l’ensemble de ces éléments.
- Fixer des durées de conservation : un certain nombre de texte fixe la durée de conservation des données collectées. Ces durées sont valables pour les archives papiers et les archives numériques.
- Informer et faciliter les droits des personnes : dans l’information qui est donnée, les personnes doivent être informées des droits et des modalités d’exercice de leurs droits. Toute demande concernant l’exercice de leur droit doit être répondu dans un délai maximal d’un mois.
En quoi le CSE est concerné par le respect de ces normes RGPD ?
En qualité d’organisation différente de celle de l’entreprise, il possède sa propre personnalité morale et juridique qui induit le fait de faire sa propre mise en conformité. Il est évident que ces problématiques concernent davantage les CSE et les organisations de 50 salariés et plus dans la mesure où cela va induire des données sur les activités sociales et culturelles de l’entreprise. Mais les entreprises de moins de 50 ne sont pas exclues lorsqu’elles récupèrent des traitements de données à caractère personnel via la défense des intérêts des salariés, des dossiers d’inaptitude, des licenciements pour motifs économiques etc. Les mécanismes qui permettent de respecter les 8 commandements du RGPD s’appliquent donc aux CSE.
Comment devenir accountable pour le CSE ?
Il s’agit dans un premier temps d’appliquer des mesures de protection dès la conception d’un nouveau traitement. Par défaut le CSE doit se limiter au strict minimum : la quantité de données collectées, la diversité des finalités, la durée de conservation, le nombre de personnes habilitées à accéder aux données personnelles.
La deuxième démarche est de prouver que ces mesures ont été documentées. Cela revient à mettre en place un système de management de protection des données. Ce dernier doit contenir : un registre des activités de traitement, les analyses d’impact, les formulaires ou recueils de consentement, les codes de conduite auquel l’organisme a pu adhérer, un registre de violation de données et exercice des droits, les contrats de sous-traitance, les procédures en cas d’exercice des droits ou de violation des données et toute analyse interne.
Quel est la panorama des actions à mettre en place en cas de violation des données ?
Il faut savoir que les sanctions sont relativement importantes puisqu’on se situe entre 2 et 4% du chiffre d’affaires annuel mais dans les faits cela s’applique plutôt au budget annuel du CSE.
Parmi ces actions, on peut citer : la prononciation d’un rappel à l’ordre, la limitation temporaire ou définitive du traitement, la suspension du du flux de données, l’ordonnance de satisfaire l’exercice des droits des personnes ou encore enjoindre la mise en conformité du traitement.
En quoi le RGPD reste une opportunité pour le CSE ?
Le RGPD a mis en place un nouveau type d’action spécifique, appelée l’action de groupe et qui permet de défendre collectivement devant le tribunal une collectivité pour obtenir l’arrêt d’une violation de données à caractère personnel et obtenir réparation du préjudice subi.
Pour rappel, le CSE reste l’organe principal de protection des salariés, de l’accompagnement des salariés dans l’exercice de leurs droits. Il a également la possibilité de saisir la Commission Nationale Informatique et Liberté en cas de manquement aux règles RGPD.
Concernant l’info consultation de la RGPD mise en place, l’entreprise doit-elle la mettre à l’ordre du jour chaque année ou simplement l’année de mise en place ?
Il est recommandé de demander un bilan à minima une fois par an. Cela montre votre intérêt et la prise en considération de ces enjeux pour obtenir un compte-rendu de ce qui a été mis en place par l’entreprise.