RGPD et CSE : protéger les données des salariés et les droits des travailleurs

RGPD et CSE : protéger les données des salariés et les droits des travailleurs
Article RGPD

Le Comité Social et Economique (dit « CSE ») constitue un organe essentiel dans la vie de chaque entreprise puisqu’il agit comme un intermédiaire entre l’employeur et les salariés, favorisant alors le dialogue social.

Garant des conditions de travail sécurisées, de la prévention des risques professionnels et de la promotion d’un environnement de travail sain et épanouissant, il est chargé de veiller au bien-être des travailleurs au sein de l’entreprise.

Bien souvent, le CSE est associé aux avantages offerts aux salariés (chèques vacances, organisation d’évènements, billetteries, etc.) ou encore à l’amélioration de la qualité de vie au travail en défendant l’intérêt des travailleurs. Mais ne vous y trompez pas, il n’est pas épargné par la règlementation sur la protection des données.

Pour répondre à ses missions et agir efficacement en faveur des salariés, le CSE doit nécessairement recueillir et utiliser régulièrement des données personnelles de salariés. Il est donc tenu de respecter les dispositions du Règlement général sur la protection des données (ci-après « RGPD »).

Les traitements de données d’un CSE

Les traitements de données réalisés par le CSE sont nécessairement liés à ses attributions décrites par les dispositions du Code du travail. Il s’agira notamment d’opérations liées à :

  • la gestion des activités sociales et culturelles ;
  • la réalisation d’actions de prévention ;
  • aux attributions en matière de santé et de sécurité ;
  • etc.

Dans tous les cas, chaque traitement de données doit être identifié, et conforme aux critères imposés par le RGPD :

  • Principe de licéité : un traitement de données doit reposer sur l’une des 6 bases légales ;
  • Principe de finalité : l’objectif du traitement doit être défini (but déterminé, légal et légitime) ;
  • Principe de minimisation : seules les données adéquates, pertinentes, et limitées à ce qui est nécessaires au regard des finalités, peuvent être traitées ;
  • Principe de conservation limitée : les données ne peuvent pas être conservées indéfiniment, une durée de conservation doit être déterminée ;
  • Droits des personnes : les personnes concernées ont plusieurs droits sur leurs données qui doivent être effectifs et respectés ;
  • Principe de sécurité : des mesures de sécurité appropriées doivent être mises en œuvre.

Néanmoins, il faut distinguer la mise en œuvre pratique de la conformité du CSE au regard de la taille de l’entreprise dans laquelle il est en place.

Pour les entreprises de moins de 50 salariés, la situation est relativement simple. Interne à l’entreprise à laquelle il se rattache, la conformité du CSE au RGPD s’inscrit dans le prolongement de la structure globale. Dans ce cas, les fiches de traitement relatives devront être intégrées dans le registre de l’entreprise et les procédures internes de celle-ci s’appliqueront à lui.

Pour les entreprises d’au moins 50 salariés, le CSE devient une entité juridique distincte puisqu’aux termes de l’article L2315-23 du Code du travail, cet organe est alors doté de la personnalité civile. Par conséquent, en tant qu’entité juridique distincte, il sera considéré comme responsable de traitement. Toutes les obligations afférentes s’appliqueront à lui : il devra avoir un registre des activités de traitement spécifique, prévoir des procédures internes respectueuses des données personnelles, etc.   

L’information des personnes concernées

La transparence sur l’utilisation des données personnelles des salariés doit impérativement être assurée. Celle-ci s’opère généralement par la diffusion individuelle d’une mention d’information conformes aux exigences du RGPD.

La mise en place de cette information peut s’avérer difficile puisqu’en pratique, il est d’usage que le service des ressources humaines et le CSE collaborent et s’échangent les données des salariés.

Bien que cette entre-aide soit réalisée de façon bienveillante pour faciliter l’accès aux avantages des salariés, ces transmissions doivent être strictement encadrées et portées à leur connaissance. L’information pourra, par exemple, être réalisée en ajoutant une mention d’information sous la fiche d’embauche remise par le service des ressources humaines lors de l’arrivée d’un nouveau collaborateur, ou par le biais d’un formulaire préparé par le CSE qui sera à lui retourner directement.

L’implication du CSE dans la mise en place de nouveaux projets

Par ailleurs, amenée à être informée ou consultée dans un certain nombre de domaine, une instance représentative du personnel bien formée aux enjeux de la protection des données pourra jouer un rôle essentiel dans la démarche de Privacy by Design & by Default, c’est-à-dire prendre en compte la protection de la vie privée dès la conception d’un projet et par défaut.

A titre d’exemple, lorsqu’il est envisagé de mettre en place un dispositif de vidéosurveillance, le CSE devra être consulté ou informé avant toute décision d’installation. Il en est de même pour un dispositif de géolocalisation des véhicules mis à la disposition des employés.

En adoptant une approche proactive et respectueuse des principes du RGPD, le CSE peut contribuer de manière significative à la promotion d’une culture de protection des données au sein de l’entreprise.

Alors ne négligez pas votre CSE !

ACTECIL vous propose une formation spécialement conçue pour la mise en conformité de cet organe, permettant ainsi d’exposer aux membres leurs obligations et leur proposer des solutions.

Partager l'article

Articles similaires

Transfert de données personnelles : la Commission Européenne condamnée par le Tribunal
Article RGPD Minute RGPD

Transfert de données personnelles : la Commission Européenne condamnée par le Tribunal

Lire la suite
L’État et les communes épinglés pour l’utilisation de BriefCam : la CNIL sévit
Article RGPD Minute RGPD

L’État et les communes épinglés pour l’utilisation de BriefCam : la CNIL sévit

Le 5 décembre 2024, la CNIL a prononcé plusieurs mises en demeure contre le ministère de l'Intérieur et huit autres communes françaises. En cause : l'utilisation non conforme de logiciels d’analyse vidéo comme BriefCam, qui soulève des questions cruciales sur la protection des libertés individuelles.
Lire la suite