Depuis le 25 mai 2018, une nouvelle réglementation encadre la collecte et le traitement des données personnelles des citoyens européens, plus connue sous la forme de l’acronyme RGPD.

La Commission nationale de l’informatique et des libertés (CNIL) veille à sa bonne application au sein de tous les organismes concernés. Le CSE en fait partie et doit suivre quelques étapes afin d’assurer sa conformité.

Définition du RGPD

Une fois déplié, l’acronyme RGPD signifie « règlement général sur la protection des données ». Il succède en France à la loi Informatique et Libertés de 1978, et à la directive européenne de 1995 qui avait adapté la législation en vigueur pour suivre le développement des nouvelles technologies et l’intensification de la dématérialisation des transactions.

Le RGPD parachève cette volonté d’adéquation avec les nouvelles pratiques numériques et vise toute entité publique ou privée du territoire de l’Union Européenne, ou dont les actions concernent ses habitants.

Définition d’une donnée personnelle

Qu’est-ce qu’une donnée personnelle ? C’est une information associée à un individu et/ou pouvant permettre son identification : noms, prénoms, photos, vidéos, enregistrements, numéros d’identifiant, etc.

La compilation de ces différentes données peut permettre à des tiers d’établir une position géographique, des préférences ou des comportements de personnes ciblées, ce qui constitue une potentielle atteinte à leur vie privée.

C’est pourquoi une structure ne doit pas rechercher ni détenir d’informations personnelles sans pouvoir le justifier auprès de la CNIL ; elles servent impérativement un objectif professionnel (enquête satisfaction, étude de marché, mise à jour de fichiers RH, etc.).

Le traitement des données personnelles

Une donnée personnelle, qu’elle soit récoltée, étudiée, utilisée ou stockée, voire qu’elle transite par toutes ces étapes, est considérée comme traitée. Le format n’importe pas aux yeux de la CNIL : que ce soit sur support manuscrit ou numérique, ces informations sont détenues, ce qui implique la mise en place d’une politique RGPD adéquate.

Des données personnelles sont par exemple traitées dans le cadre :

Actualisation d’un fichier de clients ou de fournisseurs ;

  • Diffusion d’une enquête de satisfaction ;
  • Collecte des réponses dudit questionnaire ;
  • Etc.

L’adjectif « personnelles » a toute son importance : des informations ne concernant que la sphère professionnelle (noms de société, coordonnées) ne sont pas considérées comme des données personnelles. Il n’y a donc pas de politique de RGPD à mettre en place si une entité ne manipule qu’exclusivement ce genre d’informations – mais les cas sont rares.

Les obligations du CSE en matière de RGPD

Le CSE n’échappe donc pas à cette nouvelle législation puisque tout comité accumule et utilise les données personnelles de ses bénéficiaires dans le cadre de certaines missions, comme l’attribution des activités sociales et culturelles.

Certaines de ces informations sont en outre particulièrement sensibles :

  • Pièces d’identités ;
  • Données hautement privées (santé, engagement syndical ou politique, religion…) ;
  • Informations bancaires ;
  • Numéros d’authentification (sécurité sociale, TVA intracommunautaire, etc.).

Il incombe aux élus de garantir la confidentialité de toutes ces données qui leur sont confiées, afin de maintenir un lien de confiance avec les salariés qu’ils représentent.

Quels droits des utilisateurs sur leurs données personnelles

L’un des objectifs de la CNIL est de promouvoir les droits dont jouit n’importe quel citoyen en matière de données personnelles. En les respectant, le CSE développe un environnement propice à l’application du RGPD.

Le droit à l’opposition

Tout citoyen doit être en mesure d’accepter ou de refuser de partager à un tiers des informations personnelles, une fois convenablement instruit des modalités du processus de collecte en cours (son motif, les objectifs visés, la durée de conservation des données souhaitées). Il décidera ensuite en pleine connaissance de cause de donner son consentement ou non.

Ce droit est la pierre angulaire du RGPD et le fondement des droits suivants.

Le droit à la portabilité des données

L’exercice de ce droit permet à chaque citoyen de demander une copie des données qu’il a confiées à un organisme et de pouvoir les transférer à un autre si tel est son souhait.

Le droit à la rectification

Toute donnée personnelle partagée doit être modifiable sur demande de l’individu concerné.

Le droit à la suppression

Ce droit à l’oubli stipule que tout citoyen contrôle ses informations : s’il souhaite disparaître des fichiers d’un organisme, ce dernier a l’obligation d’accéder à cette requête.

Le droit à la réparation des dommages moraux ou matériaux

La divulgation d’information personnelles peut occasionner des dommages que le responsable du traitement des données du CSE fautif devra réparer.

Garantir la transparence et le consentement

En sus de sensibiliser ses bénéficiaires sur leurs droits en matière de données personnelles, et de les observer scrupuleusement, le CSE s’engage à établir une politique de RGPD conforme aux attentes de la CNIL.

Dans l’esprit du droit à l’opposition, les maîtres-mots de cette politique sont la transparence et le consentement.

L’on garantit la première en intégrant dans le règlement intérieur du CSE quel le processus de conservation des données des bénéficiaires : lesquelles sont gardées ? Pour combien de temps ? Pour quel usage ? Et a contrario, lesquelles ne sont pas stockées ? Quel membre du CSE a été désigné responsable du traitement des données ? Il faut officiellement répondre à toutes ces questions, et porter leurs réponses à la connaissance des employés.

Le consentement est pour sa part assuré si le CSE met un point d’honneur à avertir les employés dès qu’il procède à une collecte de données. Cela peut par exemple prendre la forme d’un bandeau informatif en introduction d’un formulaire en ligne et d’une case à cocher pour signifier son accord envers la communication de données. Le responsable du traitement sera de plus ainsi en mesure de prouver la régularité des procédés en cas de contrôle de la CNIL.

Tenir un registre de traitement des données

La Commission nationale de l’informatique et des libertés attend des organismes concernés par le RGPD qu’ils puissent prouver le traitement légal de toutes les données qu’ils traitent par la tenue d’un registre des traitements de données, au format manuscrit ou numérique, et à jour.

Un inspecteur de la CNIL y trouvera :

  • Les noms des membres du CSE participant directement ou indirectement au traitement des données (le responsable du traitement, des sous-traitants…) ;
  • Ceux des personnes ayant un accès
  • Et ceux des tiers à qui elles sont éventuellement transférées
  • Les types de données recueillies ;
  • Leur emploi et durée de conservation ;
  • Les mesures de sécurisation.

Les membres du CSE découvriront le bilan de leurs pratiques en matière de collecte et d’accumulation de données parfois sensibles, qu’il devient possible de rationaliser grâce à cette prise de recul.

Tous les sous-traitants ont l’obligation d’ouvrir et d’actualiser un tel registre. Il sera ainsi aisément prouvé en cas de litige que les données partagées par le CSE ont été protégées et employées à bon escient.

Bon à savoir
la mise aux normes du CSE sur les questions du RGPD est l’occasion de repenser la communication d’informations personnelles des bénéficiaires à des tiers. La meilleure des options consiste à se limiter au strict nécessaire pour le prestataire.

La CNIL propose sur son site un modèle de registre de traitement de données, dont la construction répond aux besoins standards d’un organisme. Chacun peut l’étoffer en fonction de sa politique.

Important
Sans être complètement exemptées de tenir un registre des traitements de données, les structures de moins de 250 salariés n’ont pas à le renseigner de manière aussi exhaustive.

Elles peuvent se limiter au recensement :

  • Des traitements d’informations les plus courants ;
  • De ceux impliquant des données sensibles et/ou potentiellement compromettantes vis-à-vis des droits et libertés des individus (localisation, vidéosurveillance, etc.).

Le registre des traitements de données doit-il être rendu public par le CSE ?

Un comité de structure publique, non chargée d’une mission de service public, communique le registre à tout individu en ayant fait la demande, et à condition de ne pas divulguer d’informations confidentielles. Le partage de ce document à des tiers est laissé à la discrétion des élus d’un comité de structure privée.

Désigner un délégué à la protection des données

Afin de s’assurer une bonne conduite de sa politique du RGPD, un organisme public brassant un grand volume de données personnelles doit nommer un délégué à la protection des données (DPD). Les autres structures n’y sont pas contraintes par la CNIL quoique fortement invitées, car l’expertise de cet acteur facilite le travail du responsable du traitement des données.

Il revient donc au CSE de décider s’il faut en désigner un ou non.

Ce délégué est en effet un allié de choix puisqu’on le choisit pour ces compétences en droit et gestion des informations personnelles – une connaissance du secteur d’activité et des besoins de l’entreprise constitue un avantage supplémentaire non négligeable.

Ses missions :

  • Conseiller le responsable du traitement
  • Examiner les pratiques de collecte et de protection des données
  • Être un interlocuteur privilégié des autorités en situation d’inspection
Attention
Le délégué à la protection des données est un prestataire extérieur de préférence, afin d’écarter tout risque de conflit d’intérêt. S’il s’agit d’un membre du CSE, il ne doit pas être mêlé aux discussions ni aux actions touchant de près ou de loin à la collecte et le traitement des données.

La CNIL ne tiendra pas le délégué pour responsable en cas d’entorse au RGPD. C’est le chargé du traitement des données personnelles qui essuiera tout blâme.

Sécuriser les données traitées

Dernière étape : assurer la sécurité des données récoltées et stockées par le CSE. Il s’agit avant tout d’adopter des pratiques simples, à renforcer si les informations à protéger sont sensibles.

  • Usage de mots de passe complexes et modifiés régulièrement ;
  • Mise à jour des logiciels et antivirus ;
  • Chiffrage des données les plus sensibles ;
  • Mise en place d’une procédure de sauvegarde et de récupération de données perdues ;
  • Création de profils utilisateurs adaptés aux besoins d’accès aux différentes catégories de données ;
  • Sécurisation de l’accès aux locaux ;
  • Listage de tous les supports de données.
Bon à savoir
En cas de modification, perte, destruction, vol ou consultation abusive de données personnelles, le responsable du traitement doit le signaler à la CNIL dans les 72 heures et prévenir les individus concernés si la situation constitue une atteinte à leurs droits et libertés.

Au-delà d’une nécessité de conformité avec la législation nouvellement en vigueur, le CSE aura également l’opportunité d’interroger ses pratiques en matière de collecte, de partage et de sécurisation des données de ses bénéficiaires.

l’article a répondu à ces questions

  • Quelle est la définition du RGPD ?
  • Qu’est-ce que le traitement des données personnelles ?
  • Pourquoi le CSE est-il concerné par le RGPD ?
  • Comment mettre son CSE en conformité avec les exigences de la CNIL ?

Une de vos interrogations demeure sans réponse ? Partagez-la en commentaire, et nous y répondrons avec plaisir.