Les obligations du CSE sur la protection des données personnelles des salariés
Le CSE a des obligations de protection des données personnelles et doit se mettre en conformité aux exigences du Règlement Général sur la Protection des Données (RGPD) entré en vigueur en mai 2018.
En effet, chaque CSE collecte et conserve des données personnelles ( à minima le nom et le prénom des salariés) et doit respecter le cadre juridique du RGPD à savoir les principes ci-après :
Finalité : la conservation des données d'une personne doit se faire dans un but précis, légal et légitime :
- Une finalité et une base juridique doivent être décrites avec précision et ce, pour chacun des cas où sont utilisées des données personnelles.
- Le type de données collectées, la base juridique, la durée de conservation, etc. doivent être renseignés dans un registre (art 30).
La proportionnalité et la pertinence :
- Les types de données conservées doivent être nécessaires selon la finalité établie précédemment.
La conservation limitée :
- Les données ne peuvent être conservées pour une durée indéterminée.
- La durée doit être fixée à l'avance puis les données supprimées au-delà de ce délai.
- Conserver des données au-delà de la durée légale peut entrainer différents types d’amendes et sanctions pénales.
La sécurité et la confidentialité :
- Seules des personnes autorisées peuvent avoir accès aux données détenues au sein du CSE ou chez son sous-traitant.
- La responsabilité du CSE est engagée dans le choix de ses sous-traitants et la CNIL sanctionne les deux parties prenantes en l'absence de clauses contractuelles strictes, établies entre elles (art.28).
- Exemples de sous traitants d'un CSE : la société en charge du site web, le service comptable.
Respecter le droit des personnes:
- Droit d'information, d'accès, de modification, de suppression et de portabilité des données.
- Différentes mentions d'information sont obligatoires ; soit par affichage à l’entrée du local, soit au sein du règlement intérieur du CSE, et dans tous les cas pour tout accès web y compris l’intranet du CSE.
Point important
La non-conformité du CSE au RGPD pourra être passible de sanctions de la part de la CNIL allant d’un simple rappel à l’ordre à une amende administrative pouvant s’élever à 4 % de son budget annuel de fonctionnement.
Chaque CSE a la possibilité de se mettre en conformité seul ou par l’intermédiaire de professionnel qualifié en protection des données personnelles, pour identifier précisément les actions à mettre en place, gérer la mise en conformité en mode projet, et assurer le suivi dans le temps.
Source CNIL https://www.cnil.fr/fr/