CSE : comment être en conformité avec le RGPD ?
Depuis le 25 mai 2018, le nouveau texte concernant le Réglement Général sur la Protection des Données (RGPD) doit être appliqué par toutes les organisations publiques ou privées. Dans le cadre de son activité, le CE/CSE est concerné par cette réglementation qui vise à améliorer la gestion, le traitement et la protection des données personnelles. Quelles sont les actions à mettre en œuvre et les bons réflexes à adopter par les CE/CSE pour être RGPD-compatibles ? Découvrons-les grâce à Guillaume Sauvage, expert-comptable et commissaire aux comptes au sein du Groupe Alpha (Sécafi et Sémaphores).
Le Règlement Général sur la Protection des Données Personnelles est l’extension, au niveau européen, d’une norme qui a été définie par la loi Informatique et Libertés mise en place en France par la CNIL le 6 janvier 1978. Mis en application le 25 mai 2018, le RGPD constitue le texte de référence en matière de gestion des données à caractère personnel des personnes physiques dans toute l’Union Européenne dont il vise à renforcer la protection.
Dans le cadre de leurs activités, les CE/CSE doivent se conformer à cette nouvelle réglementation. Ils sont garants de toutes les données à caractère personnel, dès leur collecte, tout comme de l’usage qui en sera fait, afin d’éviter leur accès à des personnes non autorisées. Il leur appartient également de protéger toutes les données déjà en leur possession.
Mise en conformité du CSE : les grands principes de la protection des données
La mise en place du RGPD nécessite de la part des CE/CSE d’être en mesure d’assurer 5 grands principes pour protéger ces données :
- le principe de finalité : on ne peut conserver et utiliser les données personnelles d’une personne physique que dans un but précis, légal et légitime. Pour un CE, la gestion des Activités Sociales et Culturelles est un but précis et légitime mais il ne peut conserver, ni recenser d’autres informations qui ne seraient pas utiles pour ce but.
- le principe de proportionnalité et de pertinence : les données personnelles conservées doivent être strictement nécessaires au regard de la finalité voulue. Le CE/CSE ne peut détenir plus de données que celles nécessaires à la réalisation des prestations.
- le principe de durée de conservation limitée : on ne peut pas conserver une donnée personnelle de manière indéfinie, sa durée de conservation doit être fixée à l’avance puis supprimée au-delà de ce temps prévu. Pour les CE/CSE, le Code du travail impose que les pièces justificatives soient conservées 10 ans.
- le principe de sécurité et de confidentialité : les données que l’on détient ne doivent pas pouvoir être accessibles à autrui et seules les personnes autorisées doivent y avoir accès. Le CE est garant des données qu’il possède et en assume la responsabilité. En cas de violation avérée, il doit en informer la CNIL (Commission nationale de l’informatique et des libertés), l’autorité de contrôle désignée pour la France.
- le principe de reconnaissance du droit des personnes : ce principe comprend le droit d’information, le droit d’accès, de modification, de suppression. Un salarié est en droit de refuser de transmettre ses données, mais dans ce cas, il risquerait de ne pas pouvoir bénéficier des prestations proposées par son CE/CSE.
Les actions à mettre en place par les comités
L’application du RGPD au sein des CE/CSE possède un effet rétroactif et nécessite un recensement de l’ensemble des données déjà en leur possession.
Ainsi, la première étape de mise en conformité des comités consiste à recenser chaque activité ou prestation délivrée par le CE/CSE, nécessitant la collecte de données à caractère personnel et à appliquer pour chacun les 5 grands principes, puis se poser la question de la destruction des données à caractère personnel dont il n’a plus besoin*.
Dès lors qu’un projet du CE/CSE requiert la collecte et le traitement d’informations, il convient de s’assurer désormais :
- du consentement des personnes à partager leurs données personnelles,
- du respect des 5 grands principes,
- de la création d’un registre de traitement.
Selon l’article 30 du RGPD, les CE/CSE sont dans l’obligation d’établir un registre composé de « fiches de traitements » qui visent à qualifier toutes les données personnelles collectées dans ce cadre des activités proposées, en les organisant, selon la CNIL, par catégorie.
Les bonnes pratiques RGPD au sein des CE/CSE
L’application du RGPD nécessite de la part des CE/CSE la mise en place de « certaines bonnes pratiques et quelques bons réflexes » rappelle Guillaume Sauvage.
Il convient de nommer un (ou plusieurs) référent RGPD en charge de s’assurer que l’ensemble des fiches de traitement est finalisé. Il serait l’interlocuteur principal de la CNIL en cas de nécessité.
Le RGPD requiert également la mise en place d’un process pour le recueil du consentement des personnes et ensuite de pouvoir apporter la preuve du consentement, en cas de contrôle ainsi que la mise en place d’une procédure d’exercice des droits des personnes.
Dans le cadre du RGPD, la mise en conformité des CE/CSE nécessite d’instaurer des bonnes pratiques et l’acquisition de réflexes par les élus du CE, ainsi qu’un recensement de toutes les données déjà recueillies. N’hésitez pas à vous former et à vous faire accompagner, notamment pour la gestion de vos comptes par un expert comptable spécialisé, lui-même conforme au RGPD. Et si vous pensez que la sécurité de vos données est corrompue, vous devez prévenir la CNIL dans les 72h !