Le respect du RGPD par le CSE

Entrées en vigueur le 1^er janvier 2018, les « ordonnances Macron » instaurent l’obligation pour les entreprises d’au moins 11 salariés de désigner un Comité Social et Économique (CSE) au plus tard le 1^er janvier 2020. Cette nouvelle Instance Représentative du Personnel (IRP) vient donc fusionner les anciennes instances existantes : les délégués du personnel (DP), le Comité d’Entreprise (CE), et le Comité d’Hygiène, de Sécurité et des Conditions de Travail (CHSCT). Les Établissements Publics à Caractère Industriel et Commercial (EPIC) et les Établissements Publics à Caractère Administratif (EPCA) employant du personnel de droit privé sont également concernés.

Le code du travail fixe les attributions du CSE et les dispositions selon lesquelles il exerce ses missions. Comme tout organisme traitant des données à caractère personnel (DCP) sur le territoire européen, le CSE est assujetti au Règlement Général sur la Protection des Données (RGPD).

Il convient de distinguer deux cas :

·        Pour les entreprises de 11 à 49 salariés, le CSE est interne à l’entreprise,

·        Pour les entreprises de 50 salariés ou plus, le CSE est une entité juridique distincte de l’entreprise et possède la personnalité civile (Code du travail art. L.2315-23).

La prise en compte de cette distinction est importante en matière de respect du RGPD. Nous verrons dans la suite de cet article ce que cela implique à différents niveaux.

Dans les entreprises de moins de 50 salariés, le CSE comprend l’employeur et une délégation du personnel constituée d’un ou deux titulaires et d’un nombre égal de suppléants, qui assistent aux réunions en cas d’absence des titulaires. L’employeur est président du CSE et organise les élections de ses membres tous les 4 ans.

Dans les entités d’au moins 50 salariés, le nombre de titulaires est d’autant plus important que le nombre d’employés est grand. Il est défini par 54 seuils allant de 4 titulaires pour les entreprises de 50 salariés, à 35 titulaires pour les entreprises de 10 000 salariés. Ces seuils découlent du Code du Travail et sont répertoriés sur le site service-public.fr. Le nombre de suppléants est identique au nombre de titulaires.

Dans les entreprises de moins de 300 salariés, le délégué syndical est membre de droit du CSE, tandis que dans les entreprises de plus de 300 salariés, chaque organisation syndicale représentative dans l’entreprise ou l’établissement peut désigner un délégué pour siéger au sein du CSE.

Le médecin du travail et le responsable interne du service de sécurité assistent aux réunions du CSE relatives à la santé, la sécurité et les conditions de travail.

En matière de protection des données à caractère personnel, la première obligation concerne le registre des activités de traitements :

·        Les traitements de données à caractère personnel opérés par le CSE dans les entités de moins de 50 salariés doivent être inscrits au registre des traitements de l’entreprise. L’entreprise est le responsable de traitement représenté par son dirigeant.

·        Les traitements de données à caractère personnel opérés par le CSE dans les entités 50 salariés ou plus doivent être inscrits au registre des traitements du CSE. Ce dernier est donc responsable de traitement et il est représenté par son président (le dirigeant de l’entreprise).

Conformément au RGPD, les traitements de données à caractère personnel opérés par le CSE doivent reposer sur l’une des six bases légales définies à l’article 6, et leurs finalités doivent être déterminées, explicites et légitimes. Chaque traitement de données à caractère personnel mis en œuvre doit en outre figurer dans le registre des activités de traitement. Les personnes concernées doivent en être informées préalablement à la collecte de leurs données et doivent également être informées de leurs droits ainsi que de la façon dont elles peuvent les exercer. Les traitements doivent être proportionnés aux finalités, et les données collectées doivent être limitées au strict nécessaire, tandis que leurs durées de conservation doivent être limitées que ce soit lorsqu’il s’agit d’atteindre les objectifs pour lesquels le traitement a été mis en œuvre, qu’on appelle la phase active, ou lorsque CSE est contraint de conserver les données après que l’objectif ait été atteint, notamment en raison d’obligations légales et, ou réglementaires pesant sur lui, ce qu’on appelle la phase intermédiaire.

Le responsable de traitement doit bien sûr garantir la sécurité des données personnelles conformément à l’article 32 du RGPD, et notifier la Commission Nationale de l’Informatique et des Libertés (CNIL) tout incident de sécurité susceptible d’engendrer une  violation des données à caractère personnel qui pourrait présenter des risques pour les personnes concernées conformément à l’article 33. En complément de cette notification à l’autorité de contrôle, il doit notifier les personnes concernées lorsque ces risques sont élevés ou susceptibles de restreindre leurs libertés fondamentales et leurs droits fondamentaux. Lorsque la violation de donnée ne présente pas de risque pour l’intégrité, la confidentialité ou la disponibilité des données à caractère personnel des personnes concernées, il doit en tout état de cause la documenter en interne dans un registre spécialement créé pour cette fin : le registre des violations de données.

Il convient donc, avant de collecter toute donnée à caractère personnel, de procéder à une analyse préalable afin de s’assurer que le traitement est compatible avec les attributions du CSE, et que la donnée est strictement nécessaire au traitement.

Par exemple, dans le cas d’un organisme d’au moins 50 employés, dès lors que le CSE est distinct de l’organisme principal, les données collectées par l’entreprise n’ont nécessairement vocation à être communiquées au CSE …  Aussi, s’il est obligatoire pour l’entreprise de mettre le Registre Unique du Personnel à disposition du CSE conformément à l’article L.1221-15 du Code du Travail, l’entreprise n’a cependant pas le droit de lui communiquer l’email personnel, ni le numéro de téléphone personnel du salarié sans le consentement préalable de ce dernier. Pour en savoir plus sur l’éventail des données personnelles du salarié qui peuvent figurer au registre unique du personnel, vous pouvez vous rendre sur le site service-public.fr.

En outre, lors de l’embauche du salarié, le service ressources humaines peut transmettre les coordonnées professionnelles du salarié (nom, prénom, numéro de poste, adresse e-mail professionnelle) au CSE selon 3 méthodes :

·        Communiquer directement les coordonnées au CSE mais informer préalablement le salarié de cette communication, des informations concernées, des finalités de cette communication et des modalités lui permettant de s’y opposer,

·        Fournir au nouveau salarié une fiche préparée par le CSE à remplir et à retourner directement au CSE s’il le souhaite. Elle doit contenir les mentions d’informations obligatoires comme tout formulaire de collecte et ne permettre de collecter que les données strictement nécessaires,

·        Utiliser la fiche d’embauche pour informer le salarié de la transmission au CSE et recueillir son accord écrit directement sur la fiche.

En tout état de cause, le CSE n’a pas le droit de collecter le numéro de sécurité sociale des enfants ou du conjoint du salarié, ni même leurs prénoms, puisque ce n’est pas nécessaire aux traitements de données liées à ses attributions. Pour offrir un cadeau aux enfants en période de fêtes, seul le nombre d’enfants nécessite d’être connu.

Les traitements de DCP opérés par le CSE sont donc intrinsèquement liés aux attributions de ce dernier. Il convient donc de se référer aux articles L.2312-5 à L.2312-7 du code du travail pour les organismes de moins de 50 salariés, et L.2312-8 à L.2312-84 pour les organismes de 50 salariés ou plus. Il s’agit entre autres de traitements nécessaires à :

-         L’organisation des activités sociales et culturelles (ASC), enquêtes de terrain (accidents du travail…),

-         L’exercice du droit d’alerte,

-         La fourniture de l’aide exceptionnelle aux salariés,

-         La réalisation d’actions en faveur des travailleurs handicapés et femmes enceintes,

-         La réalisation et le suivi de l’analyse des risques professionnels,

-         La prévention du harcèlement,

-         La saisine de l’inspection du travail…

Le CSE dispose en effet d’un droit d’alerte et l’un de ses membres doit être désigné référent en matière de lutte contre le harcèlement sexuel et les agissements sexistes.

Concernant le délégué à la protection des données personnelles (DPO/DPD), il est également le DPO du CSE pour les entités de 11 à 49 salariés, tandis que dans le cas d’une entité de 50 salariés ou plus, le CSE dispose de son propre DPO. Dans ce dernier cas, il est déconseillé de désigner le même DPO pour l’entreprise et pour le CSE afin d’éviter les situations de conflit d’intérêt.

Enfin, il existe aussi un type de CSE particulier : le CCSE ou CSEC (Comité Social et Économique Central) lorsque une société comprend un certain nombre d’entreprises qui disposent chacune de leur propre CSE. Le CCSE prend alors place au-dessus de ces instances (à l’instar de l’ancien CCE pour les CE). L’article L.2313-1 du code du travail prévoit que les entreprises d’au moins 50 salariés mettent en place un CCSE lorsqu’elles disposent d’au moins deux établissements distincts.

Un ensemble d’informations et de fiches pratiques sur la mise en place d’un CSE sont disponibles sur le site travail-emploi.gouv.fr.

Enfin, s’agissant des élections professionnelles que l’employeur doit organiser pour élire les membres du CSE, la CNIL a publié différents conseils sur son site internet à l’adresse suivante. On y trouve notamment différentes questions-réponses, mais aussi des informations en lien avec la sécurité des systèmes de vote par internet et la mise en place d’un dispositif de vote électronique.