Posté le Vendredi 25 mai 2018 |
Maxime Renaud |

Le double rôle des instances de représentation du personnel dans le cadre du RGPD

Le Règlement Général de la Protection des Données constitue un important chantier pour les entreprises. Mais il ne faut pas s’y tromper, les employeurs ne seront pas les seuls à être impactés par ce nouveau règlement. Pour les instances du personnel aussi le sujet est à saisir, avec peut-être plus encore d'acuité dans la mesure où il implique deux nouvelles obligations pour les IRP : se mettre en conformité avec la loi en tant que détenteur de données, d’une part, et être vigilant sur l’application du règlement par l’entreprise d’autre part.
Le double rôle des instances de représentation du personnel dans le cadre du RGPD

Les IRP vont, eles aussi, devoir se conformer au RGPD

En effet, au regard du RPGD, les instances du personnel agissent elles aussi en tant que responsables de traitement (l’organisme qui utilise les données collectées). Cette position les oblige donc à revoir tous leurs traitements de données et notamment certains usages entre l’employeur et les élus du personnel. Concrètement, si pour le calcul des ASC certaines entreprises avaient pour habitude de transférer l’intégralité des dossiers de chaque salarié aux élus, cet usage n’est plus de mise. Il s’agit maintenant de mieux cibler la collecte de données personnelles en ne sélectionnant que les informations nécessaires au calcul des ASC, de ne rendre disponible ces informations qu’aux collaborateurs chargés de les calculer et surtout de demander, en tant qu’instance de représentation du personnel, l’autorisation de chacun des salariés pour pouvoir les collecter. Même si, en théorie, il n’y a pas de véritables raisons que les salariés refusent la collecte de données à ces fins, cela inclut quand même une nouvelle organisation pour les élus et de nombreux points de vigilance pour se mettre en conformité avec la loi. Il est possible de se mettre d’accord avec les directions pour que ce soit elles qui demandent l’autorisation de collecter les données en vue d’être utilisées par les IRP. Pour autant, le RGPD prévoit les mêmes obligations et sanctions pour les responsables de traitement que pour les sous-traitants.

Il faudra donc, quoi qu’il en soit, répertorier toutes les données qui sont utilisées pour l’interne (les données RH des employés du CE par exemple) et l’externe et la manière dont elles sont utilisées sur un registre qui doit être tenu à jour. Un DPO (Data Protection Officer) pourra être désigné au sein des CE/CSE.

La mise en place du RGPD veut aussi dire qu’il faut intégrer la notion de « privacy by design » pour tous les futurs projets mis en place par les instances. Concrètement cela implique de définir en amont non seulement quelles données doivent être collectées et comment mais aussi de pouvoir s’assurer de leur confidentialité et, le cas échéant, de pouvoir les supprimer.

Le CE, le CHSCT et le CSE peuvent contrôler le respect du RGPD par l'entreprise.

Il appartient par ailleurs à chaque IRP d’agir en tant que contrôleur du respect du RGPD par l’entreprise pour le compte des salariés. Au même titre que le respect du code du travail et des règles de santé, sécurité et conditions de travail, la protection et l’utilisation des données personnelles deviennent petit à petit des enjeux de premier plan au sein de l’entreprise.

Nous recommandons donc d’intégrer ce thème de la mise en conformité de l'entreprise au RGPD à un prochain ordre du jour du CE/CHSCT/CSE (voici un exemple de libellé : Information du CE/CHSCT/CE sur la mise en place du règlement général de la protection des données pour les salariés).

De plus, à l’avenir il faudra se saisir du sujet de la protection des données lors des informations/consultation récurrentes : vérifier que l’entreprise a bien intégré les contraintes amenées par le RGPD pour chacun de ses nouveaux projets en demandant les documents détaillant quelles données sont collectées, comment elle sont collectées à quelles fins, pourquoi et comment elles sont sécurisées.

Un enjeu pour les élus : la communication syndicale

Il faudra aussi être vigilant au niveau de l’affichage syndical. Si l’utilisation des mails professionnels pour envoyer des tracts est une pratique courante en entreprise, ce système peut être mis en péril par le RGPD. On peut imaginer par exemple, que les directions demandent aux syndicats d’avoir l’accord de chaque salarié pour leur envoyer un tract via e-mail. 

Le RGPD est un sujet très vaste et technique et sa mise en place va demander un travail conséquent pour lequel, finalement, très peu (entreprises comme élus) sont préparés. Mais il est important de rappeler qu’en cette période où le numérique fait partie intégrante de notre vie de tous les jours, la protection des données personnelles est une des inquiétudes les plus importantes de la population. Il ne fait aucun doute qu’à l’avenir ce sera un enjeu de premier ordre, c’est donc un tournant à ne pas manquer. 

1 commentaire
  • Kiki
    , Vendredi 15 juin 2018 05:01
    Allo ??? Faire chier , passer moi le terme, autant les entreprises que les IRP alors que GOOGLE ET FACEBOOK continuent à exploiter nos données, se font des C**** en or en exploitant leur salariés, le tout sans payer d'impôt Excuse moi mais on se moque de qui ?
Laissez votre commentaire