Décrypter des points de droit qui se posent au CSE, tel est l’objectif de ce nouveau rendez-vous régulier, intitulé « C’est votre droit ». Faisant fi du jargon, nous vous exposerons en termes simples mais précis les méandres qui forment l’alpha et l’oméga d’une question juridique. Vous ne verrez plus le droit comme un ennemi incompréhensible, plutôt comme un ami froid, mais sûr. Voici aujourd’hui, tout ce qu’il faut savoir sur la gestion des données personnelles.
En résumé, le droit des données personnelles résulte d’un empilement de textes rendu nécessaire par les évolutions technologiques et l’harmonisation européenne. La Cnil fournit de nombreux guides et documents de vulgarisation utiles pour les CSE. |
Inutile pour un élu de CSE de connaître tous les méandres du droit des données personnelles, dont les textes applicables ont déjà donné un aperçu. On peut en revanche se concentrer sur les définitions des principales notions juridiques, issues des textes exposés ci-dessus.
Donnée personnelle : toute information se rapportant à une personne physique identifiée ou identifiable. L’identification peut être directe (nom prénom) ou indirecte (adresse mail)
Traitement de données à caractère personnel : toute opération portant sur des données personnelles, quel que soit le procédé utilisé (fichier informatique ou papier, base de données, tableau Excel, formulaire…), à savoir la collecte, la modification, l’enregistrement, l’organisation, l’utilisation, la transmission, le rapprochement, la consultation, l’extraction etc…
Donnée sensible : information qui révèle l’origine raciale ou ethnique, les opinions politiques, les religieuses ou philosophiques ou l’appartenance syndicale. Cela inclut les données biométriques, génétiques, les données de santé, les informations sur l’orientations sexuelle. Sauf exception, il est strictement interdit de collecter et traiter ces données.
En résumé, ces définitions sont volontairement très larges : la loi embrasse ainsi un maximum de situations. |
La conséquence de ces définitions très larges est simple : le seul fait d’inscrire dans une page Word ou dans un logiciel des renseignements sur les salariés place le CSE en situation de traitement de données personnelles. Et cela ne concerne pas que les fichiers informatiques. Comme le dit l’avocat spécialiste des données Jérôme Deroulez, « il peut s’agir de caisses de documents héritées d’une précédente mandature. Le nouveau CSE élu qui récupère ces données en devient immédiatement responsable. Si les élus précédents ne les ont pas gérées, il doit donc s’en saisir rapidement ».
L’avocat pointe aussi une incertitude liée au seuil de 50 salariés : « Selon que l’entreprise où siège le CSE emploie plus ou moins de 50 salariés, les prérogatives du CSE diffèrent, et cela emporte des conséquences sur le traitement des données ». Cependant, quel que soit le seuil, une gestion minimale des données est nécessaire afin d‘éviter toute réclamation d’un salarié qui estimerait le traitement non conforme à la législation.
Les premières données à considérer sont celles liées aux activités sociales et culturelles (ASC). Bons d’achat, chèques vacances, gestion de la billetterie, références des comptes bancaires des salariés, situation de famille, nombre d’enfants, revenu imposable…. Bref, voilà un vivier de données personnelles à gérer. Sans compter que le CSE traite parfois des données de salariés retraités et de stagiaires.
Selon Jérôme Deroulez, le spectre des données est plus large que les seules ASC car les autres activités du CSE peuvent l’amener à collecter et traiter des données : les enquêtes de terrain (pour accident du travail ou maladie professionnelle, par exemple), le droit d’alerte danger grave et imminent, l’aide exceptionnelle aux salariés, les actions en faveur des travailleurs handicapés… Alors par où commencer ? Peut-être par un simple inventaire des données traitées par le CSE en fonction de ses activités avant de se pencher sur les principes applicables (ci-dessous).
Par ailleurs, la Cnil a précisé que la Base de données sociales économiques et environnementales (BDESE) ne doit contenir aucune donnée personnelle. Les seules données éventuellement utilisées pour constituer cette base anonymisée sont celles figurant dans des fichiers qui ont servi à la création de la BDESE. Ces fichiers doivent en revanche être conformes à la législation des données.
En résumé, presque toutes les activités du CSE peuvent donner lieu à un traitement de données, ce qui concerne aussi les éventuels salariés du CSE lui-même. |
Première chose à vérifier, selon Jérôme Deroulez : s’assurer que le traitement de données répond à une base légale issue du code du travail. Ainsi, la collecte des données répond à un intérêt légitime du CSE, la gestion des ASC par exemple. Le CSE devra de plus :
- protéger les données collectées dès l’origine du projet ;
- ne traiter que les données nécessaires à la finalité poursuivie ;
- définir la finalité légitime du traitement des données (gérer les ASC, enquêter auprès des salariés etc.) ;
- minimiser le traitement aux données adéquates, pertinentes et limitées ;
- mettre à jour régulièrement les données afin qu’elles restent exactes ;
- limiter la durée de conservation des données : elle ne doit pas excéder ce qui est nécessaire à la finalité du traitement ;
- traiter les données de manière loyale et transparente : le traitement doit correspondre à ce qui a été décrit par la personne concernée, celle-ci devant être informée de façon précise, cohérente et aisément compréhensible (attention aux personnes vulnérables) ;
- tenir un registre des traitements qui liste le nombre de traitements de données par le CSE ;
- garantir la sécurité et la confidentialité des données : s’assurer qu’elles ne risquent pas d’être « hackées » : changer régulièrement les mots de passe, éviter la communication par messagerie grand public, garantir la sécurité des disques durs de stockage contre le vol etc…
- s’assurer que les personnes concernées ont donné leur consentement préalable au traitement de données, par document écrit, case à cocher sur le site du CSE etc. ;
- garantir aux personnes concernées un droit d’accès, de modification, de suppression des données ;
- nommer un responsable des traitements de données, différent de celui de l’entreprise afin de ne pas créer de conflit d’intérêt (il peut donc s’agi du secrétaire du CSE par exemple).
Attention, selon l’avocat Jérôme Deroulez, le CSE doit également s’assurer que ses prestataires de services et sous-traitants protègent correctement les données personnelles qu’ils utilisent.
En résumé, le traitement de données doit résulter des fonctions et missions du CSE. Cette base légale fournit au CSE sa légitimité à traiter des données. Il faut cependant les encadrer et les sécuriser. |
Un droit ne serait rien sans sa sanction ! Si un CSE ne respecte pas ces principes, il s’expose en théorie aux sanctions prévues par l’article 226-16 du code pénal : 5 ans d’emprisonnement, 300 000 euros d’amende. Des peines qui semblent démesurées : elles sont supérieures à celles de l’homicide involontaire (3 ans de prison, 45 000 euros d’amende, 5 ans et 75 000 euros en cas d’accident de la route). Mal gérer des données serait-il donc plus grave que tuer quelqu’un ? Non, bien-sûr, mais on peut expliquer ce décalage par le fait que le législateur, inquiet par la numérisation des activités économiques, a voulu « marquer le coup » pour muscler la répression en matière de données.
Que les élus de CSE se rassurent cependant : ces peines sont rarement appliquées par le juge pénal. Ce dernier adapte la sanction en fonction de l’étendue des traitements et de la sensibilité des données. Il existe cependant très peu de contentieux à ce jour, notamment parce que la régulation est en partie assurée par la Cnil. Cela ne doit cependant pas servir de prétexte : quelle que soit la taille du CSE, mieux vaut se conformer à ces obligations.
En résumé, les juges adaptent la peine à chaque situation de fait et prononce le plus souvent quelques milliers d’euros d’amende. Le contenteux relatif aux données pourrait bien exploser ces prochaines années. |
(1) Le RGPD s’est substitué à une directive 95/46/CE du 24 octobre 1995
(2) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
(3) Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Ce texte transpose également la directive 2016/680 du 27 avril 2016