À l’instar de l’entreprise ou de l’association, le comité social et économique (CSE) collecte des données personnelles et met en œuvre certains traitements dans le cadre de ses missions, notamment pour la gestion des activités sociales et culturelles (ASC). À ce titre, il est un responsable de traitement [1] soumis à l’ensemble des obligations posées par le règlement général sur la protection des données (RGPD).
Les grands principes
En premier lieu, le CSE doit être en mesure d’assurer les cinq grands principes indispensables à cette protection.
- Finalité : il n’est possible de conserver et d’utiliser les données concernant une personne physique que dans un but précis, légal et légitime. Les ASC en font partie.
- Proportionnalité et pertinence : les données personnelles collectées doivent être strictement nécessaires au regard de la finalité poursuivie.
- Durée de conservation : aucune donnée ne doit être gardée indéfiniment. Ce qui suppose de fixer une durée maximale à l’avance et de procéder à la suppression le moment venu. Pour les ASC, la Commission nationale de l'informatique et des libertés (Cnil) recommande une durée de deux ans à compter de l’exécution de la prestation pour certaines données.
- Sécurité et confidentialité : l’accès aux données détenues doit être limité à certaines personnes autorisées (secrétaire, trésorier du CSE…). Le comité est le garant des données dont il dispose et en assume la responsabilité, notamment en mettant en place les dispositifs techniques et organisationnels appropriés (accès aux serveurs, mots de passe, etc.). En cas de violation, il doit en informer la Cnil.
- Respect du droit des personnes : ce principe comprend le droit d’accès, de rectification, d’effacement et d’opposition.
Désigner un délégué ad hoc ?
Eu égard à sa taille, à la nature et au nombre de données personnelles traitées, le CSE est dispensé dans la plupart des cas de mettre en place un délégué à la protection des données (DPD) [2]. En effet, l’obligation vise principalement les traitements à grande échelle de données sensibles [3]. Néanmoins, la Cnil recommande vivement à tous les responsables de traitement de le faire. A minima, le CSE pourrait se doter d’un « correspondant » ou « référent » RGPD qui aura pour mission d’informer, de conseiller et de contrôler le respect du règlement pour le compte du comité. Cette fonction peut être assurée par un membre de l'instance.
De la même façon, les comités comptant moins de 250 salariés bénéficient d’une dérogation concernant l’obligation de tenir un registre de traitement, à l’exception des traitements non occasionnels, susceptibles de comporter un risque pour les droits et libertés des personnes ou portant sur des données sensibles [4]. Or, celles recueillies, par exemple dans le cadre des ASC ou d'une procédure d’inaptitude (identité, adresse, situation familiale, santé, etc.), ne sont a priori pas touchées par cette restriction, même si nous manquons encore de recul sur la position de la Cnil en la matière.
Information et consentement des salariés
Pour être en conformité, le CSE doit s’assurer que les salariés ont eu connaissance de leurs droits en leur communiquant un certain nombre d’informations [5] (identité du responsable de traitement, finalité, destinataires des données, durée de conservation, etc.), dont la liste diffère selon que les données sont collectées directement [6] auprès de la personne concernée ou indirectement [7] par l’intermédiaire d’un tiers (en l’occurrence l’employeur).
Le comité est néanmoins dispensé d’accomplir ces formalités lorsque la personne dispose déjà de ces informations, ce qui sera souvent le cas si celles-ci sont fournies par l’employeur. Dans cette hypothèse, le CSE devra préciser au service des ressources humaines (RH) les traitements qui seront effectués.
Le moment de cette communication n’est pas non plus identique selon que la collecte est directe ou indirecte [8], étant précisé que l'instance dispose d’une grande liberté de choix concernant le support utilisé, sous réserve que l’information soit compréhensible, concise et aisément accessible [9].
Pour être autorisé à mettre en œuvre un traitement, le règlement prévoit plusieurs bases légales dont le consentement de la personne concernée. Celui-ci n’est toutefois pas requis lorsque le traitement « est nécessaire au respect d'une obligation légale à laquelle le responsable [en la matière] est soumis » [10].
Par exemple, le traitement effectué dans le cadre d’information-consultation sur le licenciement d’un salarié protégé pourrait être justifié par les obligations issues du Code du travail. À l’inverse, pour les ASC, le CSE devra obtenir l'autorisation des personnels, en particulier lorsque la collecte de données est réalisée directement auprès de ces derniers.
Contrôle et mise en conformité
Tout comme l’employeur, le comité est susceptible de faire l’objet de contrôles. Il conviendra donc de recenser les traitements déjà mis en œuvre et de prendre les mesures nécessaires pour en garantir la conformité. Il ne peut qu’être conseillé aux membres de l'instance de se former sur ces questions, et/ou de se faire accompagner par un professionnel. À noter que la Cnil vient de mettre en ligne un Mooc [11] pour s’initier au RGPD, qui constitue un premier support d’information intéressant pour les élus du CSE, disponible jusqu’en septembre 2021.
[1] RGPD, article 4, point 7 (à consulter sur le site de la Cnil)
[2] Lire Direction[s] n° 170, p. 37
[3] RGPD, article 37
[4] RGPD, article 30
[5] RGPD, article 48
[6] RGPD, article 13
[7] RGPD, article 14
[8] RGPD, article 13
[9] RGPD, article 12
[10] RGPD, article 6
[11] « L'atelier RGPD », à retrouver sur https://atelier-rgpd.cnil.fr
Steven Theallier, avocat au Barreau de Paris, Picard avocats
Vigilance autour des données traitées par des tiers
Dans le cadre de ses missions, le CSE est souvent amené à confier certaines données personnelles à des sous-traitants (expert-comptable, voyagiste, résidence de vacances, autre prestataire de services). En qualité de coresponsable, il appartient au comité de s’assurer que ces tiers présentent des garanties suffisantes à propos du traitement mis en œuvre et qu’ils sont en conformité. En pratique, cette vérification s’opère lors de la conclusion du contrat ou de la lettre de mission liant le CSE au fournisseur, par l’ajout d’une clause spécifique relative à la protection des données.
Le CSE peut aussi être contrôleur
Au-delà de sa qualité de responsable de traitement, le comité veille également, pour le compte des salariés, à ce que l’entreprise ou l’association soit en conformité avec le RGPD (mise en place d’un registre des traitements, désignation d’un délégué, dispositif garantissant la sécurité et la confidentialité des données, information des salariés, etc.). Dans les entreprises de 50 salariés et plus soumises aux consultations récurrentes obligatoires, il est possible de se saisir de la thématique de la protection des données personnelles via l’accord aménageant notamment le contenu, et la périodicité des consultations [1]. Le CSE doit aussi s'en préoccuper dans le cadre des consultations sur des sujets ponctuels relatifs à la marche générale de l’entreprise (mise en place d’un système de badgeage, de vidéosurveillance…) [2].
[1] Code du travail, article L2312-19
[2] Code du travail, article L2312-8
Références
Règlement européen n° 2016/679 du 27 avril 2016 et loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
Publié dans le magazine Direction[s] N° 181 - décembre 2019