© Steven Theallier, avocat au Barreau de Paris, Picard avocats : lien
Le comité social et économique (CSE) collecte des données personnelles et met en œuvre certains traitements dans le cadre de ses missions, notamment pour la gestion des activités sociales et culturelles (ASC). À ce titre, il est un responsable de traitement [1] soumis à l’ensemble des obligations posées par le règlement général sur la protection des données (RGPD).
Les grands principes
En premier lieu, le CSE doit être en mesure d’assurer les cinq grands principes indispensables à cette protection.
Finalité : il n’est possible de conserver et d’utiliser les données concernant une personne physique que dans un but précis, légal et légitime. Les ASC en font partie.
Proportionnalité et pertinence : les données personnelles collectées doivent être strictement nécessaires au regard de la finalité poursuivie.
Durée de conservation : aucune donnée ne doit être gardée indéfiniment. Ce qui suppose de fixer une durée maximale à l’avance et de procéder à la suppression le moment venu. Pour les ASC, la Commission nationale de l'informatique et des libertés (Cnil) recommande une durée de deux ans à compter de l’exécution de la prestation pour certaines données.
Sécurité et confidentialité : l’accès aux données détenues doit être limité à certaines personnes autorisées (secrétaire, trésorier du CSE…). Le comité est le garant des données dont il dispose et en assume la responsabilité, notamment en mettant en place les dispositifs techniques et organisationnels appropriés (accès aux serveurs, mots de passe, etc.). En cas de violation, il doit en informer la Cnil.
Respect du droit des personnes : ce principe comprend le droit d’accès, de rectification, d’effacement et d’opposition.
Désigner un délégué ad hoc ?
Eu égard à sa taille, à la nature et au nombre de données personnelles traitées, le CSE est dispensé dans la plupart des cas de mettre en place un délégué à la protection des données (DPD) [2]. En effet, l’obligation vise principalement les traitements à grande échelle de données sensibles [3]. Néanmoins, la Cnil recommande vivement à tous les responsables de traitement de le faire. A minima, le CSE pourrait se doter d’un « correspondant » ou « référent » RGPD qui aura pour mission d’informer, de conseiller et de contrôler le respect du règlement pour le compte du comité. Cette fonction peut être assurée par un membre de l'instance.
De la même façon, les comités comptant moins de 250 salariés bénéficient d’une dérogation concernant l’obligation de tenir un registre de traitement, à l’exception des traitements non occasionnels, susceptibles de comporter un risque pour les droits et libertés des personnes ou portant sur des données sensibles [4]. Or, celles recueillies, par exemple dans le cadre des ASC ou d'une procédure d’inaptitude (identité, adresse, situation familiale, santé, etc.), ne sont a priori pas touchées par cette restriction, même si nous manquons encore de recul sur la position de la Cnil en la matière.
Information et consentement des salariés
Pour être en conformité, le CSE doit s’assurer que les salariés ont eu connaissance de leurs droits en leur communiquant un certain nombre d’informations [5] (identité du responsable de traitement, finalité, destinataires des données, durée de conservation, etc.), dont la liste diffère selon que les données sont collectées directement [6] auprès de la personne concernée ou indirectement [7] par l’intermédiaire d’un tiers (en l’occurrence l’employeur).
Le comité est néanmoins dispensé d’accomplir ces formalités lorsque la personne dispose déjà de ces informations, ce qui sera souvent le cas si celles-ci sont fournies par l’employeur. Dans cette hypothèse, le CSE devra préciser au service des ressources humaines (RH) les traitements qui seront effectués.
Le moment de cette communication n’est pas non plus identique selon que la collecte est directe ou indirecte [8], étant précisé que l'instance dispose d’une grande liberté de choix concernant le support utilisé, sous réserve que l’information soit compréhensible, concise et aisément accessible [9].
Pour être autorisé à mettre en œuvre un traitement, le règlement prévoit plusieurs bases légales dont le consentement de la personne concernée. Celui-ci n’est toutefois pas requis lorsque le traitement « est nécessaire au respect d'une obligation légale à laquelle le responsable [en la matière] est soumis » [10].
Par exemple, le traitement effectué dans le cadre d’information-consultation sur le licenciement d’un salarié protégé pourrait être justifié par les obligations issues du Code du travail. À l’inverse, pour les ASC, le CSE devra obtenir l'autorisation des personnels, en particulier lorsque la collecte de données est réalisée directement auprès de ces derniers.
Contrôle et mise en conformité
Tout comme l’employeur, le comité est susceptible de faire l’objet de contrôles. Il conviendra donc de recenser les traitements déjà mis en œuvre et de prendre les mesures nécessaires pour en garantir la conformité. Il ne peut qu’être conseillé aux membres de l'instance de se former sur ces questions, et/ou de se faire accompagner par un professionnel. À noter que la Cnil vient de mettre en ligne un Mooc [11] pour s’initier au RGPD, qui constitue un premier support d’information intéressant pour les élus du CSE, disponible jusqu’en septembre 2021.
[2] Lire Direction[s] n° 170, p. 37
[3] RGPD, article 37
[4] RGPD, article 30
[5] RGPD, article 48
[6] RGPD, article 13
[7] RGPD, article 14
[8] RGPD, article 13
[9] RGPD, article 12
[10] RGPD, article 6
[11] « L'atelier RGPD », à retrouver sur https://atelier-rgpd.cnil.fr