RGPD #2 : comment mettre votre CSE en conformité
Les comités sociaux et économiques, y compris les petits CSE, doivent respecter les règles de protection des données personnelles. Vous pensez que c’est trop compliqué ? Nous vous aidons à vous mettre en conformité avec le RGPD, suivez la méthode…
Comme nous l’avons vu dans notre précédent article, le RGPD ou règlement général de protection des données, concerne les CSE, du fait qu’ils détiennent des fichiers contenant des données personnelles des salariés pour gérer les activités sociales et culturelles. Même les petits CSE, qui représentent 90 % des comités, doivent s’y mettre… et ce n’est pas si compliqué, pourvu qu’on suive la bonne méthode.
Comment être en règle avec les normes de ce règlement ? La CNIL conseille de débuter par la mise en place et le respect de 4 grandes étapes.
1- Désigner un responsable
Vous commencerez par nommer en réunion un « responsable RGPD », autrement dit un responsable du traitement des données à caractère personnel du CSE, et l’issue de ce vote sera actée dans le procès-verbal de la réunion.
La personne désignée peut être le secrétaire, le trésorier ou un autre élu titulaire. Les modalités de désignation pourront figurer, le cas échéant, dans le règlement intérieur du Comité.
Ce responsable RGPD aura pour mission de s’assurer et de vérifier que l’ensemble des informations personnelles collectées, traitées et/ou conservées respectent le RGPD. Pour cela, il devra établir et tenir à jour un registre de traitement des données : l’étape 2.
2- Tenir un registre
Certaines activités sociales et culturelles nécessitent de collecter et de traiter des données personnelles. Il convient donc de lister ces activités en précisant quelles catégories de données sont utilisées et qui a accès à ces données.
Une fiche par activité est nécessaire. Chaque fiche doit comporter certaines mentions bien identifiées : identité et coordonnées du responsable du traitement, identification du traitement, finalités du traitement (éventuellement subdivisées), catégories de données personnelles concernées (mentionnant notamment les données sensibles), durée de conservation des données, catégories de personnes concernées, personnes destinataires de ces données, mesures de sécurité, etc.
La CNIL propose sur son site un modèle de registre de traitement des données en format Excel.
La nature des traitements effectués sur les données à caractère personnel est très variée : collecte, enregistrement, organisation, conservation, mise à jour, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction… La liste est longue !
Lors de la constitution du registre, il convient de se reposer certaines questions de fond : caractère indispensable ou non de certaines données, qualité des personnes ayant accès aux données, durée de conservation, etc.
3- Sécuriser
Les données personnelles recueillies peuvent être informatisées ou non. Dans tous les cas, elles doivent être sécurisées.
Le CSE doit donc prendre des mesures et mettre en place des outils pour garantir cette sécurité. Parmi ces outils, on peut citer notamment :
- La mise à jour régulière du système d’exploitation des postes informatiques ;
- La mise à jour régulière de l’anti-virus sur les postes informatiques ;
- Le changement régulier du mot de passe pour accéder au poste informatique ;
- La création d’une deuxième session utilisateur (sur le poste informatique) réservée aux élus autorisés à traiter les données ;
- La mise en place d’un mot de passe pour accéder aux fichiers informatiques comportant les données personnelles ;
- L’achat d’un coffre-fort où seront stockées les informations personnelles (au format papier) des bénéficiaires et auquel seuls les élus habilités pourront avoir accès ;
- Un accès réservé et sécurisé au local du CSE (où les personnes non membres du CSE ne pourront avoir accès sans autorisation préalable) ;
- La vérification des conditions générales prévues aux contrats conclus avec les prestataires (il s’agit ici de vérifier que les fournisseurs qui utilisent des données personnelles, voire sensibles, sont également en conformité avec le RGPD) ; il est à noter que le recours à des prestataires sous-traitant certaines activités du CSE n’exonère pas le Comité de sa responsabilité en matière de respect du RGPD.
4- Obtenir le consentement
Les informations personnelles des bénéficiaires peuvent être directement collectées par le comité ou fournies (en tout ou partie) par le service Ressources Humaines de l’entreprise.
Dans le premier cas, avant même de recueillir certaines données à caractère personnel, le CSE doit préalablement obtenir le consentement, donc l’accord de chaque salarié concerné.
Il est donc nécessaire pour le comité de mettre en œuvre un processus permettant aux salariés de signifier explicitement leur consentement après les avoir informés sur les éléments suivants :
- La nature des activités qui nécessitent le traitement de données (par exemple : chèques-vacances)
- La finalité du traitement (par exemple : l’avis d’imposition est nécessaire pour déterminer à quelle tranche appartient le salarié et donc pour déterminer le montant de chèques-vacances dont il peut bénéficier)
- La durée de conservation de ces données
- Les personnes habilitées à traiter les données
- Le nom du responsable RGPD.
Si les données ont été fournies par l’employeur, les salariés doivent être informés par celui-ci de la nature des données transmises au CSE.
En outre, les salariés doivent pouvoir facilement contacter le Comité s’ils souhaitent mettre en œuvre leurs droits (accès à leurs données, rectification, effacement, suppression…).
En fin de compte, la démarche pour se mettre en conformité avec le RGPD est simple, une fois qu’on s’est donné la peine de la mettre en place. Si vous avez comme beaucoup procrastiné sur ce sujet, mieux vaut prendre un peu de temps pour l’initier, autant pour le respect de vos bénéficiaires que pour vous éviter des ennuis.
Pour être en conformité avec le RGPD, les CSE doivent appliquer quelques règles par rapport à leurs fichiers de bénéficiaires des ASC. 4 étapes sont à mettre en place :
- Nommer en plénière un responsable du traitement des données à caractère personnel du CSE ;
- Lister dans un registre les activités ASC nécessitant la collecte de données personnelles en précisant quelles catégories de données sont utilisées et qui a accès à ces données ;
- Sécuriser l’accès à ces données, qu’elles soient numériques ou au format papier ;
- Mettre en place un processus pour recueillir le consentement explicite des personnes figurant dans le fichier, en les informant de la nature des informations, de leur utilisation, de leur accès…