RGPD et mise en conformité
Je vous dis tout sur le Règlement Général de la Protection des Données et la marche à suivre pour votre mise en conformité recommandée par la Commission Nationale de l’Informatique et des Libertés.
Comme toute entreprise, le CSE doit respecter le RGPD car vous collectez des données personnelles tel que nom, prénom, matricule, date de naissance, adresse, numéro de téléphone ou mail. Certains CSE collectent les passeports pour les voyages à venir ou encore basent certaines activités sur le quotient familial donc avec délivrance du salarié de la feuille d’imposition du foyer fiscal.
Si votre CSE est employeur, vous collectez des données personnelles sur vos salariés pour établir leurs fiches de paie. Vous transmettez ces informations à votre expert-comptable.
Pourquoi et comment vous mettre en conformité ?
C’est pour le CSE l’occasion de mettre à plat les collectes d’informations à caractère personnel ainsi que l’utilité. Pour cela, voici un schéma explicatif issu du site de la CNIL :
Les 4 étapes pour passer à l’action :
1ère étape : avant de constituer le registre de vos traitements de données, les élus doivent nommer un DPO (Data Protection Officer) ou délégué à la protection de données. Il sera l’interlocuteur de votre CSE concernant le RGPD. Il peut être interne ou externe (exemple des sociétés sont spécialisées dans ce domaine et je peux vous en recommander). Il est recommandé de le faire et de l’inscrire dans le règlement intérieur.
Vous allez devoir identifier et lister tous les procédés ou activités qui utilisent des données personnelles : qui collecte des données et quels types de données ? dans quel objectif ? éventuellement à qui elles sont communiquées ?
La CNIL propose un modèle de registre simplifié https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement.
Pensez à ajouter le flux de données dont vous avez accès notamment la BDESE (Base de Données Economiques Sociales et Environnementales) et les fichiers partagés.
2ème étape : c’est le moment de faire le tri ! Avez-vous réellement besoin de l’information pour effectuer vos missions ?
3ème étape : faites preuve de transparence dans toutes vos communications ! Il vous faut informer les personnes concernées au moment de la collecte et la finalité de cette collecte. Les salariés, anciens salariés et membres de leurs familles doivent être informés du traitement de leurs données et doivent pouvoir en obtenir la rectification ou même supprimer à tout moment.
4ème étape : pour éviter vol ou piratage, vous devez mettre en œuvre tout moyen technique et organisationnel afin de sécuriser vos données. Les mots de passe des utilisateurs sont-ils suffisamment forts ? les locaux du CSE sont-ils bien sécurisés ? Avez-vous une procédure de sauvegarde (sans attendre l’incident !) ?
En cas de contrôle, c’est le registre de vos traitements de données qui sera demandé par la CNIL.
N’oubliez pas de revoir vos contrats avec d’éventuels sous-traitants et de mettre à jour votre site web.
En cas de violation des données, vous devez documenter l’incident, notifier la CNIL dans les 72 heures qui suivent et le notifier à la personne concernée.
Pour maintenir votre conformité dans le temps, vous devez mettre à jour les documents en sensibilisant les membres et éventuels salariés du CSE.
Le rôle des membres du CSE est aussi de contrôler le respect par l’entreprise elle-même du RGPD. C’est dans l’intérêt des salariés que vous représentez ! Imaginez les conséquences possibles sur l’emploi si l’entreprise venait à être lourdement condamnée. Les sanctions encourues vont d’un rappel à l’ordre à l’amende de 20 millions d’Euros ou jusqu’à 4% du chiffre d’affaire. La CNIL opère annuellement entre 300 à 400 contrôles. Dernières entreprises selon site de la CNIL le 6 janvier 2022 : Google et Facebook pour plusieurs millions d’euros et Free mobile pour 300 000 euros.
Pour bien communiquer avec vos salariés, il vous est tout à fait possible d’utiliser l’email professionnel si le salarié y consent : s’ils ne veulent pas passer à côté d’activités ou d’informations à vous de leur expliquer que toute communication du CSE passe par le site ou une newsletter mensuelle. Certains salariés peuvent préférer communiquer leur email personnel mais doivent explicitement donner leur accord.
Pensez à bien alerter le salarié sur l’utilisation de ses données sur vos documents par la phrase type suivante : « Aux fins de gestion des Activités Sociales et Culturelles, nous sommes amenés à solliciter des données personnelles vous concernant. L’acceptation de la présente vaut autorisation par le CSE de collecter, enregistrer et stocker les données nécessaires. Les informations sont réservées à notre usage exclusif. Vous bénéficiez d’un droit d’accès, de rectification et d’effacement des informations qui vous concernent. Vous pouvez exercer ce droit en adressant une demande à (adresse mail du CSE) ».
Si certaines de vos subventions sont basées sur le quotient familial, la CNIL autorise le CSE à demander l’avis d’imposition aux salariés. Dans le cas où le salarié choisi de ne pas le communiquer, la CNIL indique que le salarié ne peut être exclu du bénéfice des Activités Sociales et Culturelles mais que la participation du CSE sera celle du quotient familial le plus élevé. Il faut informer le salarié que les documents qu’il adresse sont saisis et sauvegardés dans le logiciel de gestion du CSE. Pour assurer toute confidentialité, le CSE s’engage à détruire tout document après le délai légal de conservation d’archivage de l’URSSAF. Pour rappel, le contrôle de l’URSSAF s’effectue sur les 3 dernières années civiles.
