Les données à caractère personnel détenues par le CSE

La gestion des activités sociales et culturelles (exemple : chèques cadeaux, sport ou loisirs, activités de voyage …) par comite social et économique (CSE) suppose la collecte et le traitement d'informations sur les salariés qui en bénéficient. Le Règlement européen du 27 avril 2016 (1) exige une protection des données personnelles détenues, telles que :

  • les données personnelles (identité, adresse, photo, etc.) figurant dans des fichiers numériques (y compris les données concernant ses salariés) ;
  • le numéro IBAN (compte bancaire) ;
  • les numéros de téléphone ;
  • les numéros individuels (ex : numéro de Sécurité sociale, n° de TVA intracommunautaire, numéro contrat de complémentaire santé, etc.) ;
  • les identifiants, code d'accès, mot de passe ;
  • les données biométriques détenues ;
  • les données de géolocalisation GPS et IP (y compris celle des véhicules) ;
  • les enregistrements de caméras détenus ;
  • les pièces justificatives personnelles (photocopie carte identité, passeport, justificatif de domicile, relevé bancaire, carte vitale, etc.) ;
  • etc.

La protection des données à caractère personnel détenues par le CSE

Jusqu'à présent, chaque organisme était responsable de ses propres traitements de données. Ce principe, a priori, devrait perdurer. Le règlement prévoit qu'à chaque fois que des informations personnelles sont demandées aux salariés, vous devez leur indiquer, notamment (2) :

  • l'identité et les coordonnées du responsable du traitement ;
  • les finalités du traitement ;
  • les catégories de données personnelles concernées ;
  • l'intention ou non de transférer les données à l'étranger ;
  • la durée de conservation des données.

Si la collecte des données est faite auprès d'un tiers et non pas de l'intéressé, le responsable du traitement dispose d'un délai d'un mois pour fournir les informations au salarié (3).

Le Règlement prévoit également que, chaque personne qui fait l'objet d'une collecte de données personnelles la concernant, doit être informée de son droit :

  • d'obtenir gratuitement une copie des données les concernant (4) ;
  • de faire rectifier les données qui se révèleraient inexactes ou de les compléter (5) ;
  • à l'effacement ("droit à l'oubli”), sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son contentement (6) ;
  • de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement (7).
De plus, pour les établissements ou entreprises dont l'effectif atteint 50 salariés, l'employeur met en place une base de données économiques et sociales (BDES) destinée au CSE/IRP. En principe, la BDES ne comporte pas d'informations nominatives qui permettent l'identification d'une personne, directement ou indirectement. Néanmoins, si l'employeur inclut de telles données, il doit de son côté, établir un registre de traitement des données personnelles collectées. Le CSE quant à lui, en raison de cette collecte de données auprès d'un tiers (l'employeur), doit en informer le salarié dans un délai d'un mois, conformément aux informations ci-dessus (3).

Soyez vigilant, un défaut de conformité à la législation vous expose à des sanctions non négligeables.