LE RGPD CONCERNE AUSSI LE CSE

25 avril 2019
le réglement intérieur des CE

Le Règlement général sur la protection des données, ou RGPD, va bientôt avoir un an. Ce nouveau cadre européen impose des règles concernant le traitement des données à caractère personnel, règles qui ont été reprises dans la loi française Informatique et Libertés. Dans l’entreprise les élus du CSE sont concernés au titre de la gestion des activités sociales et culturelles des salariés.

Bons d’achat, voyages, réductions tarifaires en matière de spectacles ou de sports, secours… dans le cadre du fonctionnement des activités sociales et culturelles au profit des salariés, le CSE collecte et utilise des informations personnelles: nom, prénom, date de naissance, sexe, famille, adresse postale, courriel, coordonnées bancaires, quotient familial, avis d’imposition…

Or le CSE, en tant que personne morale, est tenu au respect de la nouvelle réglementation à l’instar des entreprises par exemple. Le CSE doit garantir aux salariés que les données personnelles recueillies ne seront pas accessibles à des personnes non autorisées et qu’elles ne seront pas exploitées à des fins commerciales. Si le CSE a recours à des prestataires, par exemple une agence de voyages, l’instance est également tenu à cette obligation en tant que responsable du traitement.

Désignation d’un responsable de traitement et mise en place d’un registre

Dans un premier temps, les élus du CSE vont devoir désigner, en l’absence de représentant légal, un des membres de l’instance comme étant le responsable du traitement des données à caractère personnel.

Le responsable de traitement devra ensuite mettre en place un registre faisant l’inventaire de tous les fichiers de données personnelles utilisés par le CSE, activité par activité, comme par exemple la communication avec les salariés, la gestion des ASC... La CNIL propose un modèle de registre (cliquer ici). Le registre doit préciser le ou les responsables du traitement, la finalité du traitement, les catégories de données utilisées, les personnes internes et externes au CSE ayant accès aux données, la durée de conservation des données

Renforcer la sécurité des données et demander l’accord des salariés

Le CSE doit veiller à assurer la sécurité des données personnelles en prenant des mesures telles que la mise à jour des logiciels et de l’antivirus, le changement régulier des mots de passe, la création de différents profils utilisateurs, la sécurisation du local du CSE, la vérification des contrats conclus avec les prestataires qui sont aussi tenus à la sécurité des données comme le CSE.

Le CSE doit enfin obtenir le consentement des salariés dans la collecte des données à caractère personnel et informer les salariés de l’identité du responsable de traitement, sa finalité, la durée de conservation des données, les personnes ayant accès aux données, le droit des salariés à accéder et rectifier les données. Cette collecte de données peut se faire par l’employeur qui la retransmet au CSE lequel doit également informer les salariés.

En cas de manquement du CSE, ce dernier pourrait être condamné à des sanctions civiles pour réparer le préjudice subi par les salariés avec l’octroi possible de dommages et intérêts. Des sanctions pénales sont également prévues (peine maximale de 5 ans d’emprisonnement et amende maximale de 300 000 euros).

 

 

< Retour aux actualités

Contactez nous

Une formation ?
Nos équipes sont à votre écoute

Abonnez vous

Inscrivez-vous à la newsletter d'InfoCe


Les dernières actus fiscales

Défenseur syndical

19 février 2018

L’attribution de stock option : un levier pour les élus ?

18 août 2016

Le budget de fonctionnement du CE

11 avril 2016


Contact

UN EXPERT DES CE RÉPOND À VOS QUESTIONS :