RGPD #1 : pourquoi les CSE sont concernés

RGPD et CSE: un règlement européen qui vous concerne
Vous en avez sans doute entendu parler : le RGPD, ou règlement général sur la protection des données, s’applique depuis 2018 à toute entité qui collecte des données personnelles. Mais avez-vous pris conscience que votre comité social et économique est concerné ? Avez-vous pris les mesures qui s’imposent ? Dans cet article, nous vous expliquons en quoi consiste cette règlementation européenne et en quoi elle vous concerne.

Petit rappel de base pour commencer : le RGPD est un texte juridique émanant de l’Union Européenne ; il vise à protéger la vie privée des citoyens, à l’échelle européenne : c’est le règlement UE 2016/679 du Parlement européen.

Qui est concerné par le RGPD ?

Entré en vigueur le 25 mai 2018, le RGPD concerne toutes les entités privées ou publiques qui collectent et traitent des données à caractère personnel. Sont visées toutes sortes d’entités, de toutes tailles et de toutes formes juridiques, dès lors qu’elles recueillent des données à caractère personnel : TPE, PME, ETI, multinationales, établissements publics, associations, organisations syndicales, etc.

Le CSE, en tant que personne morale de droit privé, est amené, pour la gestion des activités sociales et culturelles (ASC) qu’il propose à ses bénéficiaires, à collecter, traiter et conserver des données personnelles. Vous êtes d’autant plus concernés en cette période de crise sanitaire où, comme nous vous l’avons rappelé ici, vous aurez à expédier des bons cadeaux par la poste ou par internet et donc, à tenir à jour un fichier d’adresses…

De fait, le CSE doit obligatoirement respecter le RGPD et ainsi garantir aux salariés que ces informations ne seront ni divulguées, ni utilisées par des personnes non autorisées.

Pour rappel, les traitements de données mis en œuvre par les comités d’entreprise étaient dispensés de déclaration à la CNIL (Commission nationale de l’informatique et des libertés) en principe jusqu’à l’application du RGPD ; pour l’instant, cette dispense est maintenue, dans l’attente de la production d’un référentiel RGPD dédié aux CSE.

Quelles données sont visées ?

La CNIL définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée de façon directe grâce à son nom et son prénom. Elle peut l’être de façon indirecte, par exemple grâce à son numéro de téléphone, son matricule, son adresse courriel (personnelle ou professionnelle), ses coordonnées bancaires…

La CNIL précise également qu’une personne peut être identifiable à partir d’une seule donnée (par exemple son numéro de matricule) ou alors par un croisement de plusieurs données. Dans ce dernier cas, même si l’identité (nom/prénom) de la personne n’est pas connue, il est toujours possible de retrouver cette personne en se basant sur d’autres informations la concernant (par exemple son adresse, sa date de naissance, son lieu de travail…).

Exemple de recensement de données personnelles dans un petit CSE :

  • Données de base : Nom-Prénom-Sexe-Adresse-Tel. mobile-Adresse mail-Date et lieu de naissance-Service-Matricule-Date d’embauche-Type de contrat de travail-Situation matrimoniale-Nombre d’enfants
  • Données complémentaires : Nom-Prénom-Sexe-Date de naissance du conjoint et des enfants
  • Données optionnelles : Revenu fiscal de référence-Quotient familial-Avis d’imposition-N° compte bancaire-N° Sécurité sociale

Certaines données personnelles sont qualifiées de « sensibles » : origine ethnique, opinion politique ou religieuse, appartenance syndicale, vie sexuelle, etc.

Ces données personnelles sont, le cas échéant, collectées par le CSE lui-même ou bien, en tout ou partie, par l’employeur qui les transmet ensuite au CSE.

Sanctions encourues

Le non-respect du RGPD ou sa négligence engagent la responsabilité civile du CSE. Il pourrait être alors contraint de réparer le préjudice subi par les salariés et il encourt également des sanctions pénales, à savoir 5 ans d’emprisonnement et 300 000 € d’amende.

Quelles mesures devez-vous prendre pour vous conformer à ce règlement et ne pas vous exposer à ces sanctions ? Que recouvre la notion de traitement des données, notamment pour les petits CSE ? Nous vous l’expliquons dans notre prochain article.

 

Ce qu'il faut retenir

Le RGPD, règlement européen en vigueur depuis 2018, vise à protéger la vie privée des citoyens, notamment en imposant des mesures de précaution pour tout fichier de données permettant d’identifier les personnes directement (nom, prénom) ou indirectement (adresse, n° de sécurité sociale, téléphone…).

Les CSE sont concernés par rapport aux fichiers utilisés pour les ASC.

Les sanctions encourues en cas de non-respect peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.