Dans l’exercice de ses missions, le Comité social et économique (CSE) est amené à traiter les données personnelles des salariés. Dans ce cadre, le CSE est tenu de respecter le Règlement général sur la protection des données (RGPD). Cela signifie que le CSE doit garantir la protection des données personnelles des salariés et s'assurer que tous les traitements de données sont effectués de manière licite, loyale et transparente. Il doit également mettre en place des mesures de sécurité appropriées pour protéger les données contre toute perte, vol, utilisation illicite ou accès non autorisé.

Le CSE a accès à la plupart des données de l’entreprise, notamment celles contenues dans la base de données économiques, sociales et environnementales (BDESE). Il va également très souvent collecter des informations personnelles dans le cadre des activités sociales et culturelles (ASC) qu’il promeut auprès des salariés. Ces données doivent être protégées pour garantir leur confidentialité.

Le Règlement général sur la protection des données (ou RGPD) a été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union européenne à compter du 25 mai 2018.

Il s'agit d'un cadre juridique qui établit des normes pour la protection des données personnelles des individus et des entreprises. Le RGPD impose aux organisations de protéger les données personnelles des personnes auxquelles elles s'adressent. Le Comité social et économique, comme toute structure, entreprise ou organisation doit s’y conformer.

Le traitement des données personnelles par le CSE

Les CSE ont accès à la plupart des données de l’entreprise, notamment celles contenues dans la base de données économiques, sociales et environnementales (BDESE). Le CSE accède ainsi à de nombreuses informations personnelles relatives aux salariés : rémunérations, fonction…

Du fait de son rôle, le CSE est souvent amené à collecter et traiter les données personnelles des salariés de l’entreprise. Cela peut notamment avoir lieu dans le cas d’enquêtes et de sondages, mais aussi lors du simple exercice de ses prérogatives auprès des salariés. Par exemple, lors des inscriptions à des activités proposées par le CSE, ou lors du recueil de témoignages quant aux conditions de travail entre autres.

Le Comité a donc en principe largement accès à des informations plus ou moins sensibles touchant les salariés ; bien évidemment leur nom, prénom, âge, fonction, mais aussi bien souvent leur situation familiale, leur santé, leurs pratiques culturelles, etc. Ces données peuvent également être transmises directement par l’employeur, mais uniquement si les avantages dont peut faire bénéficier le CSE sont indexées sur des critères personnels (échelle de rémunération, enfants à charge, etc.). Le Comité social et économique doit strictement respecter la finalité pour laquelle les données ont été recueillies et ne pas se servir d’elles à d’autres fins, même lorsqu’il s’agit de compétences du comité.

La jurisprudence considère que le respect de la vie privée des salariés n’empêche pas la communication d’informations précises aux élus, ceux-ci étant tenus, par leur fonction, à une obligation de discrétion.

Le CSE et le respect du RGPD

Comme toute organisation, le CSE est concerné par le Règlement Général sur la Protection des Données (RGPD). Le comité doit ainsi s'assurer qu'il traite et protège les données à caractère personnel des salariés et de leurs familles conformément aux exigences du RGPD.

Le comité doit s'assurer que tous les salariés soient informés des mesures prises en matière de protection des données, et qu'un registre des activités de traitement est tenu à jour. Il doit également s'assurer que des mesures de sécurité appropriées sont mises en place pour protéger les données personnelles, et qu'un système de contrôle et de surveillance est mis en place pour veiller à ce que les droits des personnes concernées soient respectés.

Le CSE doit également veiller à ce que les salariés puissent exercer leurs droits en matière de protection des données, notamment le droit d'accès, le droit à l'oubli et le droit à la portabilité des données.

Le RGPD implique que le CSE respecte certaines obligations :

• Le CSE est garant de toutes les données à caractère personnelle dès leur collecte et doit les protéger. A ce titre, il doit se conformer au principe de sécurité et de confidentialité. Le comité devra veiller à la sécurisation des données contre le traitement non autorisé ou illicite, la perte ou la destruction… En cas de fuite ou violation des données, le CSE devra faire un signalement auprès de la CNIL (Commission nationale de l'informatique et des libertés).

• Les données et le consentement des salariés doivent être traçables.

• Le Comité doit se conformer au principe de finalité : il ne peut conserver et utiliser les données personnelles d’un salarié que dans un but précis, légal et légitime. Toutes les informations non pertinentes ne doivent pas être conservées/collectées, ce qui touche également au principe de proportionnalité et de pertinence. Le CSE doit seulement se contenter des données nécessaires à celles étant utiles au bon exercice de ses prérogatives.

• Le CSE ne peut conserver des données que pour un temps limité ; le Comité doit déterminer pour chaque donnée collectée le temps nécessaire à leur sauvegarde et doit les supprimer à échéance. Il s’agit du principe de conservation limitée.

• Un salarié a également le droit de demander à accéder à ses données, et le cas échéant, à demander de les effacer, y compris au détriment de son bénéfice des prestations du CSE qui demanderaient des informations personnelles (famille, adresse, etc.). Cette dernière obligation se réfère à la reconnaissance du droit à l’oubli.

Le RGPD implique pour les CE et CSE de renforcer les clauses contractuelles applicables aux prestataires externes et sous-traitants impliqués dans les traitements de données personnelles (devoir de conseil, obligations de sécurité, gestion des failles et incidents, coresponsabilité, etc.).

Le comité doit également s’assurer que sa collecte de données soit en conformité avec la CNIL et la RGPD, y compris concernant des données collectées avant l’instauration de celle-ci en 2018 : elle est en effet rétroactive. Faire un appel à un expert en cas de doute peut être particulièrement utile pour ne pas déborder du cadre légal et s’assurer que les démarches de collecte, de recueil et de détention des données sont bien adaptées.

Comment s’y prendre pour être en conformité avec le RGPD ?

Pour respecter le RGPD, le CSE doit effectuer une mise en conformité. La CNIL préconise 4 actions principales à effectuer pour une conformité réussie :

1/ Créer un registre de traitement des données

La première étape pour réussir votre conformité RGPD est la création d’un registre de traitement des données. Le registre de traitement de données est un document permettant aux élus du CSE de recenser l’intégralité des fichiers afin d’avoir une vue d’ensemble sur tous les traitements de données que le CSE effectue.

2/ Trier les données

Il est important de trier les données récoltées. En effet, en triant les données, vous respecterez ainsi une obligation du RGPD : le principe de minimisation des données.

3/ Respecter les droits des personnes dont les données sont traitées

Il est important de rappeler leurs droits à l’ensemble des salariés, à savoir l’accès aux informations les concernant, la rectification de leurs données personnelles et la suppression de celles-ci à tout moment s’ils le souhaitent.

4/ Sécuriser les données traitées

Le CSE doit assurer la sécurité des données récoltées pour éviter tout risque de vol ou piratage. Il convient par exemple de mettre en place des procédures de sauvegarde des données, de vérifier la sécurité du site internet du CSE et de s’assure de la sécurisation des locaux du CSE…

Désigner un délégué à la protection des données (DPO)

A noter que la RGPD a également consacré l’obligation qu’un délégué à la protection des données soit désigné dans certaines entreprises. Si l’entreprise compte moins de 50 salariés, alors le DPO sera le même que celui de l’entreprise dans son ensemble, ce qui demande une vigilance particulière quant à l’échange d’informations sensibles entre les deux entités. Si l’entreprise compte 50 salariés ou plus, il détient dès lors une personnalité juridique. A ce titre, un DPO peut être désigné pour le CSE uniquement.

Bien que cette désignation ne soit pas obligatoire pour un CSE, la gestion des données et la conformité avec la réglementation peut s’avérer difficile ; faire appel à un délégué à la protection des données ou tout du moins à d’autres experts en la matière est ainsi recommandé si le Comité a à traiter un grand nombre de données. En effet, une non-conformité du CSE au RGPD peut exposer les élus à des sanctions de la part de la CNIL. Les sanctions peuvent aller d’un rappel à l’ordre à une forte amende en passant par une mise en demeure.

Le CSE et la vie privée des salariés dans les affichages

L’article L.2315-15 du code du travail précise que les membres de la délégation du CSE peuvent faire afficher les renseignements qu’ils doivent faire connaitre au personnel sur les emplacements prévus à cet effet ; il s’agit d’une grande liberté dont disposent les CSE.

Le CSE peut divulguer des informations sur les panneaux réservés à cet usage. L’employeur n’a pas à vérifier et approuver ces informations, ce qui laisse au Comité une grande latitude pour ses communications auprès des salariés. Cette grande liberté s’accompagne également de la problématique du respect de la vie privée des salariés et de l’employeur.

Les obligations de l’employeur et du CSE en matière de divulgation des données

L’employeur ne peut refuser l’accès du CSE à certaines données au nom de la vie personnelle du salarié. Par exemple, il ne peut pas refuser de divulguer au CSE les informations relatives aux fourchettes de rémunérations, les règles d’évolution salariales, de bonus salariaux ou encore les règles des attributions des budgets par division/département.

Néanmoins, le CSE doit se soumettre à une obligation de confidentialité et doit également respecter le droit à la vie privée des salariés. De plus, seules des communications syndicales doivent être en principe affichées. Le CSE ne dispose donc pas d’une liberté totale et doit être particulièrement attentif au principe d’une atteinte à la vie personnelle proportionnée au but poursuivi lorsqu’il choisit de divulguer une information.

L’affichage touchant à la vie personnelle d’un salarié peut en revanche s’avérer indispensable à la défense des salariés en matière de protection, de santé et de sécurité ; dans ce cas, la divulgation proportionnée d’éléments relatifs à la vie privée est autorisée.

La Cour de Cassation a en effet donné raison à l’ancien CHSCT d’une société qui avait divulgué sur leur panneau informatif un échange d’e-mails entre le directeur de l’établissement et le responsable sécurité. Plus précisément, la Cour a jugé qu’il n’y avait pas nécessairement une contradiction entre le respect des articles 9 de la Convention de sauvegarde des droits de l’homme & des libertés fondamentales, l’article 8 du code civil (ces deux articles défendent le droit à la vie privée) et l’article L.2315-15 du Code du Travail déjà évoqué. Précisément parce que les informations contenues dans cet e-mail ont été jugées comme indispensables à la défense des salariés et proportionnées.

Nos conseils

Pour en savoir +

• CNIL - Règlement européen sur la protection des données personnelles se préparer en 6 étapes [ PDF-637.35 Ko]
• CNIL - Guide pratique RGPD - Délégués à la protection des données [ PDF-1.51 Mo]

Publié le 12 janvier 2023
Source : Officiel CSE