Au fil de ses activités, le CSE est amené à collecter et traiter les données personnelles des salariés. La législation en la matière a beaucoup évolué ces dernières années avec le Règlement général de protection des données (RGPD) issu du droit européen. Les CSE ne font pas exception : consentement des salariés, sécurité des données, registre des traitements… ils doivent être conformes à cette législation complexe.

Décrypter des points de droit qui se posent au CSE, tel est l’objectif de ce nouveau rendez-vous régulier, intitulé « C’est votre droit ». Faisant fi du jargon, nous vous exposerons en termes simples mais précis les méandres qui forment l’alpha et l’oméga d’une question juridique. Vous ne verrez plus le droit comme un ennemi incompréhensible, plutôt comme un ami froid, mais sûr. Voici aujourd’hui, tout ce qu’il faut savoir sur la gestion des données personnelles.

Les textes applicables
Soyons clairs : le droit français n’a pas attendu l’arrivée du numérique ni le règlement général de protection des données (RGPD) de 2018 (1) pour légiférer en matière de données personnelles. Car si aujourd’hui, ces données évoquent surtout le consentement à fournir sur internet, la loi informatique et libertés de 1978 (2) avait déjà réglementé le sujet au temps des bons vieux fichiers papier. Alors, comment loi de 1978 et RGPD de 2018 se sont-ils articulés ? Contrairement à une directive qui nécessite un texte de transposition pour produire ses effets dans l’ordre juridique français, un règlement européen est d’application directe. En principe, il ne nécessite pas de loi de transposition. Cependant, le RGPD venant modifier de nombreux aspects du droit, une loi de 2018 est venue assurer la conformité de la loi de 1978 au RGPD, opérant ainsi une mise à jour bienvenue. Tels sont donc aujourd’hui les textes qui fondent le droit des données personnelles.
Le RGPD est venu harmoniser la réglementation des données personnelles dans les Etats membres. Il modernise le droit en intégrant à la loi les données biométriques et génétiques. Il renforce également la notion de consentement des personnes dont les données sont traitées. Enfin, et c’est le plus important, le RGPD fait passer le traitement de données d’une logique de formalité préalable à une logique de conformité et de responsabilité. Auparavant, un traitement de données nécessitait des déclarations auprès de la Commission nationale informatique et libertés (Cnil). Désormais, le responsable du traitement de données doit d’emblée en assurer la conformité. Le RGPD a ainsi instauré une logique de responsabilisation accrue des acteurs du traitement de données, ce qui a changé toute la physionomie du droit applicable.
 
En résumé, le droit des données personnelles résulte d’un empilement de textes rendu nécessaire par les évolutions technologiques et l’harmonisation européenne. La Cnil fournit de nombreux guides et documents de vulgarisation utiles pour les CSE.
 
Données, traitement, fichier : les définitions essentielles

Inutile pour un élu de CSE de connaître tous les méandres du droit des données personnelles, dont les textes applicables ont déjà donné un aperçu. On peut en revanche se concentrer sur les définitions des principales notions juridiques, issues des textes exposés ci-dessus.

Donnée personnelle : toute information se rapportant à une personne physique identifiée ou identifiable. L’identification peut être directe (nom prénom) ou indirecte (adresse mail)

Traitement de données à caractère personnel : toute opération portant sur des données personnelles, quel que soit le procédé utilisé (fichier informatique ou papier, base de données, tableau Excel, formulaire…), à savoir la collecte, la modification, l’enregistrement, l’organisation, l’utilisation, la transmission, le rapprochement, la consultation, l’extraction etc…

Donnée sensible : information qui révèle l’origine raciale ou ethnique, les opinions politiques, les religieuses ou philosophiques ou l’appartenance syndicale. Cela inclut les données biométriques, génétiques, les données de santé, les informations sur l’orientations sexuelle. Sauf exception, il est strictement interdit de collecter et traiter ces données.

En résumé, ces définitions sont volontairement très larges : la loi embrasse ainsi un maximum de situations.

 

Les données traitées par le CSE 

La conséquence de ces définitions très larges est simple : le seul fait d’inscrire dans une page Word ou dans un logiciel des renseignements sur les salariés place le CSE en situation de traitement de données personnelles. Et cela ne concerne pas que les fichiers informatiques. Comme le dit l’avocat spécialiste des données Jérôme Deroulez, « il peut s’agir de caisses de documents héritées d’une précédente mandature. Le nouveau CSE élu qui récupère ces données en devient immédiatement responsable. Si les élus précédents ne les ont pas gérées, il doit donc s’en saisir rapidement ».

L’avocat pointe aussi une incertitude liée au seuil de 50 salariés : « Selon que l’entreprise où siège le CSE emploie plus ou moins de 50 salariés, les prérogatives du CSE diffèrent, et cela emporte des conséquences sur le traitement des données ». Cependant, quel que soit le seuil, une gestion minimale des données est nécessaire afin d‘éviter toute réclamation d’un salarié qui estimerait le traitement non conforme à la législation.

Les premières données à considérer sont celles liées aux activités sociales et culturelles (ASC). Bons d’achat, chèques vacances, gestion de la billetterie, références des comptes bancaires des salariés, situation de famille, nombre d’enfants, revenu imposable…. Bref, voilà un vivier de données personnelles à gérer. Sans compter que le CSE traite parfois des données de salariés retraités et de stagiaires.

Selon Jérôme Deroulez, le spectre des données est plus large que les seules ASC car les autres activités du CSE peuvent l’amener à collecter et traiter des données : les enquêtes de terrain (pour accident du travail ou maladie professionnelle, par exemple), le droit d’alerte danger grave et imminentl’aide exceptionnelle aux salariés, les actions en faveur des travailleurs handicapés… Alors par où commencer ? Peut-être par un simple inventaire des données traitées par le CSE en fonction de ses activités avant de se pencher sur les principes applicables (ci-dessous).

Par ailleurs, la Cnil a précisé que la Base de données sociales économiques et environnementales (BDESE) ne doit contenir aucune donnée personnelle. Les seules données éventuellement utilisées pour constituer cette base anonymisée sont celles figurant dans des fichiers qui ont servi à la création de la BDESE. Ces fichiers doivent en revanche être conformes à la législation des données.

En résumé, presque toutes les activités du CSE peuvent donner lieu à un traitement de données, ce qui concerne aussi les éventuels salariés du CSE lui-même.

 

Les principes que le CSE doit appliquer aux données

Première chose à vérifier, selon Jérôme Deroulez : s’assurer que le traitement de données répond à une base légale issue du code du travail. Ainsi, la collecte des données répond à un intérêt légitime du CSE, la gestion des ASC par exemple. Le CSE devra de plus :

  • protéger les données collectées dès l’origine du projet ;
  • ne traiter que les données nécessaires à la finalité poursuivie ;
  • définir la finalité légitime du traitement des données (gérer les ASC, enquêter auprès des salariés etc.) ;
  • minimiser le traitement aux données adéquates, pertinentes et limitées ;
  • mettre à jour régulièrement les données afin qu’elles restent exactes ;
  • limiter la durée de conservation des données : elle ne doit pas excéder ce qui est nécessaire à la finalité du traitement ;
  • traiter les données de manière loyale et transparente : le traitement doit correspondre à ce qui a été décrit par la personne concernée, celle-ci devant être informée de façon précise, cohérente et aisément compréhensible (attention aux personnes vulnérables) ;
  • tenir un registre des traitements qui liste le nombre de traitements de données par le CSE ;
  • garantir la sécurité et la confidentialité des données : s’assurer qu’elles ne risquent pas d’être « hackées » : changer régulièrement les mots de passe, éviter la communication par messagerie grand public, garantir la sécurité des disques durs de stockage contre le vol etc…
  • s’assurer que les personnes concernées ont donné leur consentement préalable au traitement de données, par document écrit, case à cocher sur le site du CSE etc. ;
  • garantir aux personnes concernées un droit d’accès, de modification, de suppression des données ;
  • nommer un responsable des traitements de données, différent de celui de l’entreprise afin de ne pas créer de conflit d’intérêt (il peut donc s’agi du secrétaire du CSE par exemple).

Attention, selon l’avocat Jérôme Deroulez, le CSE doit également s’assurer que ses prestataires de services et sous-traitants protègent correctement les données personnelles qu’ils utilisent.

En résumé, le traitement de données doit résulter des fonctions et missions du CSE. Cette base légale fournit au CSE sa légitimité à traiter des données. Il faut cependant les encadrer et les sécuriser.
 
Quelles sanctions ?

Un droit ne serait rien sans sa sanction ! Si un CSE ne respecte pas ces principes, il s’expose en théorie aux sanctions prévues par l’article 226-16 du code pénal : 5 ans d’emprisonnement, 300 000 euros d’amende. Des peines qui semblent démesurées : elles sont supérieures à celles de l’homicide involontaire (3 ans de prison, 45 000 euros d’amende, 5 ans et 75 000 euros en cas d’accident de la route). Mal gérer des données serait-il donc plus grave que tuer quelqu’un ? Non, bien-sûr, mais on peut expliquer ce décalage par le fait que le législateur, inquiet par la numérisation des activités économiques, a voulu « marquer le coup » pour muscler la répression en matière de données.

Que les élus de CSE se rassurent cependant : ces peines sont rarement appliquées par le juge pénal. Ce dernier adapte la sanction en fonction de l’étendue des traitements et de la sensibilité des données. Il existe cependant très peu de contentieux à ce jour, notamment parce que la régulation est en partie assurée par la Cnil. Cela ne doit cependant pas servir de prétexte : quelle que soit la taille du CSE, mieux vaut se conformer à ces obligations.

En résumé, les juges adaptent la peine à chaque situation de fait et prononce le plus souvent quelques milliers d’euros d’amende. Le contenteux relatif aux données pourrait bien exploser ces prochaines années.

 

 

(1) Le RGPD s’est substitué à une directive 95/46/CE du 24 octobre 1995

(2) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

(3) Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Ce texte transpose également la directive 2016/680 du 27 avril 2016

Marie-Aude Grimont