APEX-ISAST

LE RGPD CONCERNE AUSSI LES COMITÉS !

LE RGPD CONCERNE AUSSI LES COMITÉS !

Depuis maintenant plusieurs mois, impossible d’échapper aux communications relatives au RGPD. Vos fournisseurs ont d’ailleurs dû vous informer de leur mise en conformité avec cette nouvelle réglementation. En effet, le CE ou le CSE est concerné par le RGPD principalement en tant que gestionnaire du fichier des salariés pour la distribution des activités sociales et culturelles.

C’EST QUOI LE RGPD ?

Le RGPD, signifie Règlement Général pour la Protection des Données. C’est le nouveau texte de référence européen en matière de protection des données personnelles entré en application le 25 mai dernier. Il vise à améliorer les droits des personnes en ce qui concerne l’utilisation de leurs données personnelles. Pour cela, il modifie certaines des dispositions contenues dans la loi de 1978 relative à l’informatique, aux fichiers et aux libertés. Il introduit surtout une nouvelle façon d’envisager le traitement des données personnelles.

On ne conserve que les données utiles. Les données collectées doivent être pertinentes et limitées à ce qui est nécessaire en lien avec l’objet de la prestation, c’est le principe de minimisation des données. Inutile de demander des informations sur la situation de famille si vous ne proposez pas de prestation à leur destination …

Principe de transparence à l’égard du salarié. Le collaborateur doit être informé de l’utilisation qui sera faite de ses données. C’est l’équivalent des Conditions générales de Vente ou des Politiques de confidentialité : on y explique pourquoi on collecte l’information et on s’engage à ne pas en faire d’usage différent de celui prévu initialement. Il doit être en mesure de demander la suppression des données et vous devez vous exécuter. Bien évidement cela aura une incidence sur son accès aux activités sociales et culturelles. Il suffit de lui signifier.

Sécurisation et traçabilité des données. Vous devez également prendre toutes les mesures pour sécuriser l’accès aux données et mettre en place des règles pour détruire les informations audelà d’un certain temps. Des durées de conservations existent et sont fixées légalement. Si vos données sont transférées ou hébergées sur un serveur qui ne vous appartient pas, vous devez demander à votre prestataire comment les données hébergées sont sécurisées, conservées et comment il s’assure lui même du respect du RGPD.

SE METTRE EN CONFORMITÉ AVEC LE RGPD
EN 4 ÉTAPES

  1  
  2  

Constituez un registre de vos traitements de données

Dans un document, identifiez tous les fichiers dont vous disposez au sein du comité (fichiers des salariés, des retraités, des ayants-droits …)

  •  L’objectif poursuivi, c’est-à-dire la finalité du fichier (distribution des ASC par exemple …) ;
  •  Les catégories de données utilisées (nom, prénom, date de naissance, salaire, nombre d’enfant, conjoint, etc.) ;
  •  Qui a accès aux données ? (les élus, les permanents, les fournisseurs de services, l’expert-comptable ….) ;
  •  La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Faites le tri dans vos données

À l’occasion de la mise en place du registre, interrogez vos pratiques en matière de traitement des données.

  •  Les données que vous traitez sont-elles absolument nécessaires ?
  •  Avez-vous des données sensibles ? En avez-vous besoin ?
  •  Les personnes habilitées ont-elles seules accès aux données dont elles ont besoin ?
  •  Conservez-vous vos données au-delà de ce qui est nécessaire ?
  3  
  4  

Respectez les droits des personnes

Informez les salariés sur le traitement de leurs données et sur leur possibilité de droit d’accès, de rectification, d’opposition, d’effacement et à la limitation du traitement.

Sécurisez vos données

Lors de l’élaboration du registre du traitement des données interrogez vos utilisations et vos supports. Sont-ils sécurisés ? Si les données sont hébergées sur des supports externes, les plateformes sont-elles maintenues et sécurisées ? Prenez toutes les mesures nécessaires pour limiter le risque.

Au premier abord, cela peut sembler un travail titanesque. Dans les faits, c’est plus simple qu’il n’y paraît et c’est surtout l’occasion d’améliorer sa gestion des données et de jouer la transparence et le professionnalisme avec vos électeurs. Votre cabinet d’expertise peut vous accompagner sur ces sujets. N’hésitez pas à le solliciter.

QU’EST-CE QU’UNE DONNÉE PERSONNELLE ?

Les données sont considérées «à caractère personnel» dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement. Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier. Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification.

QU’EST-CE QU’UNE DONNÉE SENSIBLE ?

Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle.

FOCUS

LES ÉQUIPES SYNDICALES AUSSI !

Si les CE/CSE ont une obligation en matière de RGPD, les syndicats également. D’autant que par essence, le fait de pouvoir identifier un salarié à son affiliation syndicale est considéré comme une donnée sensible.

Le DPO de l’entreprise peut-il demander au Comité de se justifier sur les mesures prises en matière de RGPD ?

Il est plus que probable que le DPO se rapproche du Comité d’entreprise ou du CSE pour s’enquérir des actions et des mesures prises par les élus en matière de RGDP, dans la mesure où l’entreprise est susceptible de lui transmettre des données.

L’employeur pourrait-il refuser de transmettre les données relatives aux salariés ?

Sous l’empire de l’ancienne Loi, la CNIL dans une délibération du 17 octobre 2006 N°2006-230 a déterminé très précisément les données qui pouvaient être transmise au CE dans le cadre de la gestion des oeuvres sociales, à savoir, nom, prénom et coordonnées professionneles. L’employeur avait déjà l’obligation formelle d’informer les salariés de cette transmission, de sa finalité et des modalités pour s’y opposer. Avec les nouvelles dispositions RGPD, l’employeur pourrait refuser de transmettre les données au Comité, a fortiori, lorsqu’il sait que le CE/CSE n’a pas sécurisé leur traitement.

La responsabilité de l’employeur pourrait-elle être engagée en cas de problème avec les données transmises au CE (fuites des informations personnelles des salariés par exemple) ?

Désormais avec les nouvelles obligations RGPD, c’est bien le CE ou le CSE qui est responsable du traitement et de la conservation des données qui lui sont transmises. Le Comité pourra faire l’objet de sanctions administratives, civiles et pénales en cas de préjudice. Toutefois, si l’employeur transmet sciemment les données relatives aux salariés alors que le Comité n’a pas initié les mesures de protection des données des salariés et de leurs ayants-droits, alors il semble que la responsabilité de l’employeur pourrait être recherchée.

Quitter la version mobile