Posté le Dimanche 24 novembre 2019 |
Caroline Olivier |

RGPD : CSE, êtes-vous à jour ?

Article rédigé par Guillaume Sauvage, Expert-Comptable, Commissaire aux comptes - Comité CE Ordre des experts-comptables Paris/IDF, dans Les Cahiers Lamy du CSE, avec l’aimable autorisation de la rédaction.
RGPD : CSE, êtes-vous à jour ?

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis le 25 mai 2018. Il vise à renforcer les droits des personnes physiques dont les données personnelles sont exploitées.

Selon la CNIL (Commission nationale de l'informatique et des libertés), les données personnelles englobent l’ensemble des données relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par un numéro d’identification ou des éléments qui lui sont propres (nom, adresse IP, adresse postale).

Cette réglementation, dite « RGPD », est issue de l’application du Règlement Européen n° 2016/679 du 27 avril 2016, considérant que « la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental » et vise à garantir le respect de la vie privée des citoyens au travers d’un meilleur contrôle de leurs données personnelles.

Le RGPD a représenté et constitue encore un important chantier pour les entreprises. Mais il ne faut pas s’y tromper, les employeurs ne seront pas les seuls à être impactés par ce nouveau règlement. Pour les instances du personnel, le sujet est également à saisir, avec peut-être davantage d'acuité dans la mesure où il implique deux nouvelles obligations pour les IRP : se mettre en conformité avec la loi en tant que détenteur de données, d’une part, et être vigilant sur l’application du règlement par l’entreprise, d’autre part.

Les grands principes de la protection des données

Le RGPD se base sur le respect d’un certain nombre de règles applicables par l’ensemble des organisations publiques ou privées de l’union européenne. Les CSE n’échappent donc pas à cette réglementation !

Ce respect du cadre législatif nécessite de la part des entreprises et des CSE d’être en mesure d’assurer 5 grands principes pour protéger ces données.

Le « principe de finalité » implique qu’on ne puisse conserver et utiliser les données personnelles d’une personne physique que dans un but précis, légal et légitime. Pour un CSE, la gestion des Activités Sociales et Culturelles répond à ce critère mais il ne peut conserver, ni recenser d’autres informations qui ne seraient pas utiles à cette finalité. Le « principe de proportionnalité et de pertinence » engage à ne conserver que les données personnelles strictement nécessaires au regard de la finalité voulue. Le CSE ne peut détenir plus de données que celles nécessaires à la réalisation des prestations proposées. Un autre principe, appelé « principe de durée de conservation limitée », oblige à fixer à l’avance la durée de conservation d’une donnée personnelle de manière indéfinie, puis à la supprimer au-delà du temps prévu. Afin que les données détenues ne soient accessibles qu’aux personnes autorisées à y avoir accès, est appliqué le « principe de de sécurité et de confidentialité ». Le CSE est garant des données qu’il possède et en assume la responsabilité. En cas de violation avérée, il doit en informer la CNIL (autorité de contrôle désignée pour la France) dans les 72 heures. Quant au « principe de reconnaissance du droit des personnes », il comprend notamment les droits d’information, d’accès, de modification et de suppression. Notons alors qu’un salarié est en droit de refuser de communiquer au CSE ses données, mais il risque alors de ne pas pouvoir bénéficier des prestations proposées.

Le respect du RGPD par l'entreprise : le CSE peut en contrôler le respect !

Dans un contexte de plus en plus numérique, le RGPD inquiète les DRH : base de CV, procédure de recrutement, gestion administrative, systèmes des accès et de contrôle sont bien sûr concernés. Sous peine de s’exposer à de lourdes sanctions pécuniaires (amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial), les Directions doivent repenser leur procédure de protection des données personnelles pour respecter de nouvelles règles : recueil de données strictement nécessaires, consentement pour chaque traitement de données personnelles, droit à l’information, etc. Toute entreprise devra notamment garantir « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

Quelles actions doit mettre en œuvre la direction ?

Le RGPD prévoit l’obligation de tenir un registre des traitements de données, dont certaines mentions sont obligatoires. L’établissement de ce registre requiert des services RH le recensement de l’ensemble des données personnelles collectées puis la cartographie des traitements opérés sur ces données. Si cette obligation ne s’applique qu’aux entreprises de plus de 250 salariés, elle apparaît toutefois opportune dans les plus petites entreprises pour optimiser les traitements des données, garantir leur sécurité et faire office de preuve le cas échéant.

Le RGPD prévoit également la désignation d’un Délégué à la protection des données (DPD) qui a pour mission de déterminer et mettre en place les mesures « techniques et organisationnelles » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation. Cette personne, salariée ou non de l’entreprise, aura notamment pour mission d’informer, de conseiller, de contrôler la conformité des traitements.

Comment garantir la confidentialité des données ?

Outre les considérations techniques intégrant la sécurité physique des lieux ou des serveurs informatiques qui devraient être gérées par les DSI, se pose également la question de savoir qui a accès aux données, quand, pourquoi et comment. A ce titre, une sensibilisation des acteurs, une documentation interne, voire un référentiel sur les méthodes de traitement, y compris à destination des sous-traitants, semblent judicieux pour se conformer aux exigences du RGPD.

Quelles informations à destination des salariés ?

Les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise, ainsi que du rappel de leurs droits (via par exemple le règlement intérieur, le contrat de travail, la charte informatique). La collecte de certaines données, qui ne relèvent pas du respect d’une obligation légale (photographie du salarié, par exemple, imposera l’obtention du consentement préalable de l’employé concerné.

Quels droits pour les salariés ?

Citons les droits principaux : le droit d’accès aux informations stockées le concernant ; le droit de rectification des données inexactes ou erronées ; le droit à l’oubli visant à demander la suppression des données personnelles, sachant qu’en principe, ces dernières données ne peuvent être conservées que pour la durée nécessaire à l’exécution de leur contrat de travail, au respect d’obligations légales (fiscales par exemple) et à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte ; le droit à la portabilité visant à obtenir les données fournies dans un format structuré et à le transmettre à un autre responsable de traitement ; le droit d’opposition au traitement des données. Quel que soit le droit invoqué, toutes les demandes devront être suivies d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.

Il appartient au CSE d’agir en tant que contrôleur du respect du RGPD par l’entreprise pour le compte des salariés. Au même titre que le respect du Code du travail et des règles de santé, sécurité et conditions de travail, la protection et l’utilisation des données personnelles deviennent petit à petit des enjeux de premier plan au sein de l’entreprise.

Nous recommandons donc d’intégrer la thématique de la mise en conformité de l'entreprise au RGPD à un prochain ordre du jour du CSE (exemple de libellé : « Information du CSE sur la mise en place du règlement général de la protection des données pour les salariés »).

En outre, à l’avenir, il faudra se saisir du sujet de la protection des données lors des informations/consultations récurrentes. Il faudra notamment vérifier l’intégration par l’entreprise des contraintes amenées par le RGPD pour chacun de ses nouveaux projets en demandant les documents détaillant quelles données sont collectées, comment le sont-elles, à quelles fins, pourquoi et comment sont-elles sécurisées.

Le CSE, en particulier dans le cadre de sa gestion des Activités Sociales et Culturelles (ASC), doit se conformer au RGPD

Au regard du présent règlement, les instances du personnel agissent elles aussi en tant que « responsables de traitement » (organisme qui utilise les données collectées). Cette position les oblige donc à revoir tous leurs traitements de données et notamment certains usages entre l’employeur et les membres de la délégation du personnel.

Il s’agira d’anticiper les conditions de transfert au CSE des données concernant les salariés par la direction de l’entreprise ; de mieux cibler la collecte de données personnelles en ne sélectionnant que les informations nécessaires ; de ne rendre disponible ces informations qu’aux collaborateurs chargés des traitements et surtout de demander, en tant qu’IRP, l’autorisation de chacun des salariés pour pouvoir les collecter. Même si, en théorie, il n’y a pas de véritables raisons que les salariés refusent la collecte de données à ces fins, cela inclut néanmoins une nouvelle organisation pour les élus et de nombreux points de vigilance pour se mettre en conformité.

Il sera donc nécessaire de répertorier toutes les données utilisées.

Ce suivi des données et de leur protection est susceptible de faire l’objet de contrôles. En effet, bien que le RGPD mette en avant une logique de « responsabilisation » des détenteurs de données personnelles, là où précédemment les mêmes détenteurs devaient au préalable établir auprès de la CNIL une déclaration, il n’en demeure pas moins que cette autorité administrative réalise des contrôles et sanctionne les infractions.

Il appartient en conséquence au CSE de prendre toutes les mesures requises pour garantir la conformité et la sécurité du traitement des données qu'il collecte.

La nomination du DPD

Bien que non obligatoire dans la plupart des CSE au regard de leur taille ou du nombre de données traitées, nous ne pouvons que préconiser aux CSE de nommer un Délégué à la Protection des Données (DPP).

A défaut, il nous semble indispensable de nommer a minima un « correspondant RGPD » chargé de s’assurer pour le compte du CSE du respect du règlement. Le RGPD et ses principes fondamentaux restent en effet inchangés quelles que soient la structure et la taille de celle-ci.

La mission de ce délégué/correspondant consiste principalement à informer et conseiller le responsable de traitement (celui qui traite les données), contrôler le respect du RGPD pour l’entité, coopérer avec la CNIL ainsi qu’à tenir et mettre à jour les registres de traitement des données.

Le DPD a également un rôle de conseil. En cas de faille de sécurité, c’est lui qui décide de la procédure à mettre en place. Il informe aussi le public de la finalité des données collectées et du type d’informations traitées.

Cette fonction peut être assurée par le secrétaire ou le trésorier du CSE si ces derniers ne s’occupent pas du traitement des données. Il convient sinon de confier cette fonction à un autre élu ou à un tiers. A ce titre, rien n’interdit que le CSE s’appuie sur les compétences du DPD de l’entreprise.

Il convient de prévoir un point spécifique sur ce sujet dans le règlement intérieur.

La gestion des fichiers RH fournis au CSE

Lorsque le CSE obtient l’intégralité des données personnelles des salariés via les services des RH, le CSE doit à notre sens se rapprocher des ressources humaines pour leur préciser les traitements effectués. En principe c'est à l'employeur d'intégrer les traitements faits par le CSE dans sa propre charte.

Si le traitement le permet (traitement à des fins statistiques par exemple), on ne peut que recommander au service RH de fournir au CSE des fichiers contenant des données pseudonymisées. Les données ainsi communiquées au CSE ne rentrent plus dans le spectre du traitement RGPD puisqu’elles n’ont plus de caractère « personnel ».

Il en va de même lorsque le CSE constitue lui-même le fichier de données et/ou que les salariés alimentent leurs propres données (par exemple en se connectant sur le logiciel du CSE) : le CSE doit obtenir le consentement des salariés pour conserver celles-ci et préparer une charte RGPD à communiquer aux salariés dans ce cadre.

Le traitement des données par un tiers

Dans certaines circonstances les CSE confient le traitement des données personnelles collectées à un sous-traitant (room liste à un voyagiste, accès au logiciel de suivi des œuvres sociales donné à l’expert-comptable etc.).

Le CSE doit alors s’assurer de ne faire appel qu’à des tiers qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Ces tiers doivent être en mesure de démontrer que leur traitement répondra aux exigences du présent règlement et garantira la protection des droits des personnes concernées.

Ainsi, les CSE doivent, en amont du traitement des données, déterminer avec ces tiers les modalités d’exécution et de protection qui seront mises en œuvre (via le contrat initial ou un avenant).

La conservation des données et leur portabilité

Les CSE sont tenus de conserver leurs justificatifs comptables 10 ans et ceux susceptibles d’être demandés par l’URSSAF dans le cadre d’un contrôle 4 ans. Au-delà du respect de ces deux délais, l’application du RGPD rend nécessaire de définir un délai de conservation spécifique pour chaque type de données personnelles en fonction de la finalité de leur traitement.

On ne peut que recommander dans ce cadre de définir, en amont du recueil des données, leur modalité de suppression. Cette anticipation simplifiera largement cette démarche finale.

Par ailleurs, les CSE doivent s’organiser pour être en mesure d’assurer, le cas échéant, les demandes de portabilité des données par les ouvrants-droits. Cela implique notamment de s’assurer que le logiciel permet une traçabilité de leurs consommations des prestations proposées par le CSE.

***

L’application du RGPD constitue un lourd chantier à mettre en place pour les CSE.

Cette démarche nécessite au préalable un recensement de l’ensemble des données déjà en leur possession. Nous ne pouvons que recommander aux élus de se former sur le sujet et de se faire accompagner par un professionnel spécialisé sur ce sujet pour mettre œuvre l’application de ce règlement.

 

 

 

 

Article rédigé par Guillaume Sauvage, Expert-Comptable, Commissaire aux comptes - Comité CE Ordre des experts-comptables Paris/IDF, dans Les Cahiers Lamy du CSE, avec l’aimable autorisation de la rédaction.

Aucun commentaire
Laissez votre commentaire