Au sein des entreprises de 11 salariés et plus, l'employeur a l'obligation de mettre en place le CSE lorsque cet effectif est atteint depuis 12 mois consécutifs. Ainsi, pour mettre en place le CSE, l'employeur doit organiser des élections professionnelles. Une fois le CSE en place, les élus assurent de nombreuses missions. Principalement, ils ont la charge de représenter le personnel de l'entreprise et de défendre leurs intérêts auprès de l'employeur.
Pour réaliser pleinement leurs missions représentatives, les élus peuvent avoir accès aux données personnelles des salariés. Cela se matérialise notamment dans la collecte des données personnelles des salariés pour l'organisation des activités sociales et culturelles que le CSE leur propose. Dans ce sens, l'action du CSE doit concourir à la préservation des données personnelles des salariés. Élus du CSE, nous vous disons tout ce que vous devez savoir sur le CSE et la protection des données personnelles des salariés.
CSE et données personnelles : les obligations de l'instance
Au sein de l'Union européenne, les données personnelles font l'objet d'un cadre législatif précis. En effet, le RGPD constitue la norme centrale en la matière. Ainsi, le CSE est tenu de le respecter dans la collecte et le traitement des données des salariés.
Le Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) est une législation européenne dont l'objectif est d'assurer la protection des données personnelles et d'encadrer leur collecte, leur traitement et leur circulation au sein de l'espace européen. Le RGPD définit les données à caractère personnel comme "toute information se rapportant à une personne physique identifiée ou identifiable".
Il vise principalement à protéger les personnes physiques contre une utilisation frauduleuse de leurs données personnelles. La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental consacré par la Charte des droits fondamentaux de l'Union européenne et le traité sur le fonctionnement de l'Union européenne.
Les principes du RGPD
L'article 5 du RGPD pose des principes relatifs au traitement des données à caractère personnel. Pour assurer la protection de ces données, cet article précise qu'elles doivent respecter six grands principes.
La licéité, la loyauté et la transparence à l'égard de la personne physique concernée
Ce principe préconise notamment que le traitement des données personnelles ne peut déroger aux règles d'ordre public.
La limitation des finalités
Cela signifie que la collecte et le traitement des données à caractère personnel doivent avoir des finalités déterminées, explicites et légitimes. De plus, ces données ne doivent pas faire l'objet d'un traitement ultérieur incompatible avec ces finalités.
La minimisation des données
Ce principe indique que les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
L'exactitude des données personnelles
D'après ce principe, les données personnelles doivent être exactes et tenues à jour. Ainsi, les données inexactes et obsolètes doivent être rectifiées ou supprimées.
La limitation de conservation
Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Néanmoins, il existe une exception à ce principe. La conservation de ces données peut avoir une durée prolongée lorsqu'elles sont traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Dans ce cas, des mesures techniques et organisationnelles appropriées doivent être mises en œuvre pour garantir les droits et libertés de la personne concernée.
L'intégrité et la confidentialité
Le traitement des données à caractère personnel doit respecter une sécurité appropriée de ces données. Le traitant doit notamment assurer une protection contre les traitements non autorisés ou illicites. Il doit également assurer une protection contre la perte, la destruction ou les dégâts d'origine accidentelle. Pour cela, il doit mettre en œuvre des mesures techniques ou organisationnelles appropriées.
Comment le CSE a-t-il accès aux données personnelles des salariés ?
Dans les missions générales du CSE
Le CSE a pour mission principale la représentation des salariés. Ainsi, le CSE doit assurer, aux salariés, des conditions de travail adéquates au quotidien. Pour le bien-être de ces derniers, les élus du CSE leur proposent des activités sociales et culturelles. À cette occasion, le CSE collecte des données personnelles des salariés. Il peut s'agir :
- des noms et prénoms, date et lieu de naissance ;
- des adresses ;
- de leurs numéros de sécurité de sociale ;
- de leurs pièces d'identité, etc.
Le CSE collecte également les données relatives aux membres des familles des salariés, lorsque les activités proposées le requièrent. Ainsi, le CSE est lui-même un acteur majeur dans la collecte et le traitement des données personnelles des salariés. Dans ce contexte, il peut désigner certains membres de l'instance pour assurer la collecte et le traitement de ces données. Le CSE peut également mettre en place une commission pour ce faire. Ces élus doivent donc scrupuleusement respecter les principes du RGPD.
Par ailleurs, les élus du CSE disposent d'un accès permanent à la BDESE. Ce document, qui est notamment utilisé dans le cadre de la procédure d'information-consultation du CSE, contient a fortiori des données à caractère personnel des salariés. Les élus du CSE doivent donc respecter les règles énoncées par le RGPD à l'égard de ces informations. Ils ont également une obligation de confidentialité pour les informations que l'employeur leur présente comme confidentielles.
Dans le cadre de la sous-traitance
En outre, lorsque le CSE emploie des personnes pour l'aider dans ses missions, il recueille également leurs données personnelles. Il en est de même de la sous-traitance de certaines activités. Le RGPD définit le sous-traitant comme "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement". Ainsi, le CSE doit s'assurer que les sous-traitants auxquels il a recours assurent un traitement des données personnelles des salariés conforme au RGPD. Cela concerne notamment les experts que le CSE nomme.
RGPD et CSE : le rôle de la CNIL
Les recommandations de la CNIL sur la protection des données personnelles
La Commission Nationale de l'Informatique et des Libertés (CNIL) est une autorité administrative indépendante. Créée par la Loi Informatique et Libertés du 6 janvier 1978, la CNIL a pour mission d'assurer la protection des données à caractère personnel. Ainsi, elle contrôle le respect de la réglementation en vigueur sur la protection des données personnelles, notamment le RGPD.
Pour protéger les données personnelles des salariés, les élus du CSE doivent appliquer les recommandations élaborées par la CNIL. Il s'agit notamment du recueil du consentement des salariés à la collecte et au traitement de leurs données. Dans ce sens, le CSE peut intégrer, dans son règlement intérieur, des règles relatives à la protection des données personnelles des salariés. Le CSE peut également constituer une charte sur la protection des données personnelles des salariés.
La CNIL préconise également de mettre sur pied un registre des activités de traitement. Il s'agit d'un document ayant vocation à retracer l'historique des mouvements de traitement des données personnelles des salariés. Ce document permet donc au CSE d'assurer la transparence de son action en ce qui concerne la protection des données à caractère personnel.
Que se passe-t-il en cas de non-respect des mesures établies par la CNIL ?
Dans les entreprises d'au moins 50 salariés, le CSE dispose de la personnalité juridique. Ainsi, sa responsabilité peut être engagée lorsqu'il commet des fautes. De fait, lorsque le CSE agit à l'encontre des règles relatives à la protection des données à caractère personnel des salariés, la CNIL peut prononcer des sanctions à son encontre. Ces sanctions peuvent être :
- un rappel à l'ordre ;
- une mise en demeure du CSE de se mettre en conformité au RGPD. Cette mise en conformité peut correspondre à une limitation temporaire ou définitive du traitement des données personnelles des salariés. La CNIL peut également imposer au CSE de respecter l'exercice d'un droit d'accès, de rectification ou de suppression à un salarié ;
- une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel monidal, en ce qui concerne les entreprises. Pour le CSE, c'est donc l'amende qui s'appliquera.
Le référent RGPD au CSE
Le référent facultatif
Si le CSE a la possibilité de créer des commissions pour s'aider dans ses missions représentatives, il peut également nommer des référents. Tandis que certains référents à l'instar du référent harcèlement au CSE sont obligatoires, d'autres sont facultatifs. C'est le cas du référent RGPD au CSE. En effet, le CSE a le choix de désigner ou non un référent RGPD, encore appelé délégué à la protection des données. Lorsqu'il est nommé, ce référent a pour mission de garantir un traitement des données personnelles conforme à la réglementation en vigueur. Le CSE peut choisir son référent RGPD parmi les élus. De même, il peut désigner un salarié comme référent. En tout état de cause, le CSE doit s'assurer que la personne désignée dispose de connaissances suffisantes en matière de données personnelles.
De plus, le référent que le CSE désigne ne doit pas remplir les caractères du conflit d'intérêts. Il en sera ainsi en cas de désignation au poste de référent RGPD, de l'un des élus chargé de la collecte et du traitement des données des salariés.
Il est donc important que les élus du CSE se forment sur la protection des données personnelles, puisqu'ils y ont affaire. Cette formation ne faisant pas partie des formations obligatoires du CSE, elle devra être financée par le budget de fonctionnement du CSE.
Le CSE doit garantir une conservation des données personnelles des salariés qu'il recueille en toute sécurité.
Le référent obligatoire
Par ailleurs, la désignation d'un délégué à la protection des données peut avoir un caractère obligatoire dans l'entreprise dans certains cas. Il en est ainsi pour les entreprises :
- d'au moins 250 salariés ;
- du secteur public ;
- effectuant un traitement de données sensibles ou de données résultant de condamnations pénales et d'infractions.
- effectuant un suivi régulier et systématique des personnes à une échelle large.