Groupement doté de la personnalité civile et juridique, manipulant des données personnelles puisque permettant d’identifier une personne physique ou, à tout le moins de la rendre identifiable, le CSE doit se conformer au même titre à ces obligations.
Les obligations du CSE en matière de protection des données personnelles
Le CSE est doté de la personnalité civile et juridique. Dès lors qu’il utilise et traite des données personnelles permettant d’identifier une personne physique (par exemple dans le cadre de la gestion des activités sociales et culturelles), il est tenu de respecter les règles édictées par le RGPD.
Le CSE doit donc s’assurer de :
- La licéité du traitement, qui suppose que le ou la salarié(e) dont les données personnelles sont collectées ait consenti audit traitement pour une ou plusieurs finalités spécifiques ou, à défaut, que ce traitement réponde à l’une des conditions du RGPD ;
- La traçabilité dudit consentement lorsque le traitement repose sur cet élément ;
- La finalité du recueil ainsi lancé qui se doit d’être déterminée en amont, explicite et légitime ; les données ainsi récoltées devant être indispensables à la poursuite du traitement en cause et ne pouvant ultérieurement être réutilisées à d’autres fins ;
- L’exactitude des données traitées et conservées sous tendant donc, la rectification voire la suppression de ces dernières pour être en adéquation avec la finalité du traitement ;
- La limitation dans le temps de la conservation des données recueillies, elle aussi fixée à l’avance ;
- La sécurisation de ces dernières contre le traitement non autorisé ou illicite, la perte, la destruction, etc. En cas de violation avérée, le CSE devra réaliser un signalement auprès de la CNIL et, sous conditions, auprès du ou des salarié(s) victime(s) de cette violation. Dans la même veine, il est tenu de vérifier les garanties présentées, concernant la sécurisation des données, par les potentiels opérateurs qui procéderont au traitement des données pour lui ;
- L’effectivité et du respect, pour tout(e) salarié(e) dont les données ont fait l’objet d’une collecte, de son droit à une information claire et complète quant au traitement opéré, mais aussi d’accès, de modification, de portabilité et enfin de suppression (droit à l’oubli) de ses données.
Attention, la même analyse doit être menée pour les données d’ores et déjà détenues par le CSE par le biais des anciens CE (comités d’entreprise).
Le CSE et le DPO
Un DPO (délégué à la protection des données) doit notamment être désigné lorsque, les activités consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle.
Le CSE doit donc procéder à la nomination d’un DPO en fonction de ses activités, de leur portée, et de la récurrence des besoins en matière de collecte (mise à jour des fichiers).
Aucun texte n’interdit la nomination d’un DPO commun entre l’entreprise et son CSE.
Toutefois, en cas de DPO commun, son rôle de conseil risque de le mettre en position difficile selon les situations : atteinte à son indépendance, conflits d’intérêts, etc…
Source – LégiSocial