Le Règlement Général sur la Protection des Données (RGPD) vise à renforcer les droits des personnes physiques dont les données personnelles (identité, mail, téléphone…) sont exploitées. Ce Règlement Européen n° 2016/679 du 27 avril 2016, considérant que « la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental », vise à garantir le respect de la vie privée des citoyens au travers d’un meilleur contrôle de leurs données personnelles. La RGPD est entrée en application le 25 mai 2018.

Le Règlement Général de la Protection des Données constitue un important chantier pour les entreprises. Mais il ne faut pas s’y tromper, les employeurs ne sont pas les seuls à être impactés par ce nouveau règlement. Pour les instances du personnel aussi le sujet est à saisir, avec peut-être plus encore d’acuité dans la mesure où il implique deux nouvelles obligations pour les IRP : se mettre en conformité avec la loi en tant que détenteur de données personnelles, d’une part, et être vigilant sur l’application du règlement par l’entreprise d’autre part.

 

1/ Les principes du RGPD

 

3 principes clés

  • Garantir « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement».
  • Tenir un registre des traitements de données, dont certaines mentions sont obligatoires. L’établissement de ce registre requiert le recensement de l’ensemble des données personnelles collectées puis la cartographie des traitements opérés sur ces données. Si cette obligation ne s’applique qu’aux entreprises de plus de 250 salariés, elle apparaît toutefois opportune dans les plus petites structures
    pour optimiser les traitements des données, garantir leur sécurité et faire office de preuve le cas échéant.
  • Désigner un Délégué à la protection des données (DPD) qui a pour mission de déterminer et mettre en place les mesures « techniques et organisationnelles » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation. Cette personne, pas nécessairement salarié de l’entreprise, aura notamment pour mission d’informer, de conseiller, de contrôler la conformité des traitements.

Comment garantir la confidentialité des données ?

Outre les considérations techniques intégrant la sécurité physique des lieux ou des serveurs informatiques, se pose également la question de savoir qui a accès aux données, quand, pourquoi et comment. A ce titre, une sensibilisation des acteurs, une documentation interne voire un référentiel sur les méthodes de traitement, y compris à destination des sous-traitants est indispensable pour se conformer aux exigences du RGPD.

Quelles informations à destination des salariés ?

Les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise, ainsi que du rappel de leurs droits (via par exemple le règlement intérieur, le contrat de travail, la charte informatique). La collecte de certaines données, qui ne relève pas du respect d’une obligation légale (photographie du salarié, par exemple) imposera l’obtention du consentement préalable de l’employé concerné.

Quels droits pour les salariés ?

Citons 5 droits principaux :

  • Le droit d’accès aux informations stockées le concernant;
  • Le droit de rectification des données pour celles inexactes ou erronées;
  • Le droit à l’oubli visant à demander la suppression de leurs données personnelles. En principe, ces dernières données ne peuvent être conservées que pour la durée nécessaire à l’exécution de leur contrat de travail, au respect d’obligations légales (fiscales par exemple) et à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.
  • Le droit à la portabilité visant à obtenir les données fournies dans un format structuré et à le transmettre à un autre responsable de traitement.
  • Le droit d’opposition au traitement des données. Toutes les demandes devront être suivies d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.

Au même titre que le respect du code du travail et des règles de santé, sécurité et conditions de travail, la protection et l’utilisation des données personnelles deviennent petit à petit des enjeux de premier plan au sein de l’entreprise.

 

2/ Le CE/CSE, en particulier dans le cadre de sa gestion des Activités Sociales et Culturelles (ASC), doit se conformer au RGPD.

 

En effet, au regard du RPGD, les instances du personnel agissent elles aussi en tant que « responsables de traitement » (l’organisme qui utilise les données collectées). Cette position les oblige donc à revoir tous leurs traitements de données et notamment certains usages entre l’employeur et les élus du personnel.

Il s’agira d’anticiper les conditions de transfert des données concernant les salariés, par la Direction au CE/CSE ; de mieux cibler la collecte de données personnelles en ne sélectionnant que les informations nécessaires ; de ne rendre disponibles ces informations qu’aux collaborateurs chargés des traitements, et surtout de demander, en tant qu’IRP, l’autorisation de chacun des salariés pour pouvoir les collecter. Même si, en théorie, il n’y a pas de véritables raisons que les salariés refusent la collecte de données à ces fins, cela inclut quand même une nouvelle organisation pour les élus et de nombreux points de vigilance pour se mettre en conformité.

Il faudra donc, quoi qu’il en soit, répertorier toutes les données qui sont utilisées pour l’interne (les données RH des employés du CE/CSE par exemple) et l’externe et la manière dont elles sont utilisées sur un registre qui doit être tenu à jour.

 

De façon opérationnelle, au niveau de la gestion du CE/CSE, nous recommandons plusieurs choses :

  • Nommer dans les CE/CSE effectuant des traitements fréquents des données un Délégué à la Protection des Données (DPD). Un DPD ne nous semble pas strictement obligatoire dans les CE/CSE de petite taille, mais nous le recommandons vivement dans les CE/CSE gérant un fichier important de salariés.
  • Lorsque le CE/CSE obtient l’intégralité des données personnelles des salariés via les services des RH, se rapprocher des RH pour préciser les traitements effectués et déterminer si c’est à l’employeur d’intégrer les traitements faits par le CE/CSE dans sa propre charte.
  • Lorsque le CE/CSE constitue lui-même le fichier de données et/ou que les salariés alimentent leurs propres données (par exemple en se connectant sur le logiciel du CE/CSE), et que le CE/CSE doit obtenir le consentement des salariés, préparer une charte RGPD à communiquer aux salariés et s’assure d’obtenir leur consentement explicite.
  • S’organiser pour assurer les demandes de portabilités des données par les ouvrants-droits (ce qui implique de s’assurer que le logiciel permet une traçabilité des « consommations » des salariés).
  • Continuer à conserver les documents sur les durées légales (de notre point de vue 10 ans pour les documents comptables, 4 ans à minima pour assurer les obligations du CE/CSE face aux contrôles Urssaf).

 

RGPD pour CE/CSE : Sémaphores vous accompagne dans votre mise en conformité

 

» VOS QUESTIONS

 

  • Sur quels volets mon CE/CSE doit-il se mettre en conformité ? Quelles décisions faut-il anticiper ?
  • Quel rôle et quel périmètre pour le délégué à la Protection des Données ?
  • Dois-je élaborer une charte à destination de mes salariés ? Sous quelle forme communiquer avec eux et obtenir leur consentement explicite ?
  • Comment tenir mon registre des traitements de données ? En particulier lorsque mon CE/CSE est doté d’un logiciel de gestion ?

» Nos réponses

1- Diagnostic de votre situation et de votre conformité et/ou co-construction d’un plan d’action

2- Déploiement du plan d’action RGPD et suivi

3- Sensibilisation et formation des élus du personnel

4- Le cas échéant, intervention sur des volets spécifiques : identification et formation du DPD, élaboration des chartes RGPD et modèle de courriels à destination des salariés, analyses détaillées des processus et identification des axes d’amélioration, rédaction des registres de traitements, échanges avec votre éditeur du logiciel

Lire les autres numéros

Vous souhaitez en savoir plus la mise en conformité RGPD pour votre CE/CSE ?

 

FAITES-VOUS ACCOMPAGNER PAR UN EXPERT SEMAPHORES

  • Validation de l’assiette de calcul des subventions suites aux ordonnances
  • Accompagnement lors de l’élaboration de vos budgets et calibrage financier de vos activités
  • Accompagnement dans les transferts de patrimoine (arrêtés comptables)
  • Formation des nouveaux élus de CSE aux problématiques budgétaires et comptables issues des ordonnances

VOS CONTACTS

Paris

Arnaud LARGIER
06 71 10 04 42
arnaud.largier@semaphores.fr

Guillaume SAUVAGE
06 75 60 08 40
guillaume.sauvage@semaphores.fr

Lille

Pierre BULTEAU
06 63 78 97 34
pierre.bulteau@semaphores.fr

Metz

Kevin HENRY
06 48 09 19 14
kevin.henry@semaphores.fr

Rouen

Sophie PELTIER
06 74 29 69 58
sophie.peltier@semaphores.fr

Nantes

Manuel FRUCHAUD
06 74 29 69 60
manuel.fruchaud@semaphores.fr

Lyon

Aurélien HINARD
06 08 37 05 70
aurelien.hinard@semaphores.fr

Montpellier

Sabine MULLER
06 31 30 37 75
sabine.muller@semaphores.fr

Marseille

Catherine GARCIA
06 30 00 23 83
catherine.garcia@semaphores.fr

Bordeaux- Toulouse

Nathalie PEIRO
06 77 09 26 83
nathalie.peiro@semaphores.fr

 

Ile de La Réunion

Olivier MALIE
+262 6 92 53 78 46
olivier.malie@semaphores.fr