BRÈVE Oeuvres sociales & activités culturelles du CSE

RGPD et traitement de données personnelles par le CSE


Par Sophie Gervais-Seillan , Juriste - Modifié le 19-06-2018

RGPD et traitement de données personnelles par le CSE

Depuis le 25 mai 2018, toute société qui collecte des informations à caractère personnel sur ses clients, comme sur ses salariés doit être en conformité avec le règlement Général sur la Protection des Données (RGPD). Qu'en est-il du comité social économique (CSE) qui recueille et traite ce type de données pour la gestion des activités sociales et culturelles (ASC) ? CE, DP, comité de groupe ou CSE doivent également se conformer à la nouvelle règlementation européenne. Quelles sont les données visées, quelle protection leur assurer ? Quelques explications pour être en conformité.


Les données à caractère personnel détenues par le CSE

La gestion des activités sociales et culturelles (exemple : chèques cadeaux, sport ou loisirs, activités de voyage …) par comite social et économique (CSE) suppose la collecte et le traitement d'informations sur les salariés qui en bénéficient. Le Règlement européen du 27 avril 2016 (1) exige une protection des données personnelles détenues, telles que :

  • les données personnelles (identité, adresse, photo, etc.) figurant dans des fichiers numériques (y compris les données concernant ses salariés) ;
  • le numéro IBAN (compte bancaire) ;
  • les numéros de téléphone ;
  • les numéros individuels (ex : numéro de Sécurité sociale, n° de TVA intracommunautaire, numéro contrat de complémentaire santé, etc.) ;
  • les identifiants, code d'accès, mot de passe ;
  • les données biométriques détenues ;
  • les données de géolocalisation GPS et IP (y compris celle des véhicules) ;
  • les enregistrements de caméras détenus ;
  • les pièces justificatives personnelles (photocopie carte identité, passeport, justificatif de domicile, relevé bancaire, carte vitale, etc.) ;
  • etc.

La protection des données à caractère personnel détenues par le CSE

Jusqu'à présent, chaque organisme était responsable de ses propres traitements de données. Ce principe, a priori, devrait perdurer. Le règlement prévoit qu'à chaque fois que des informations personnelles sont demandées aux salariés, vous devez leur indiquer, notamment (2) :

  • l'identité et les coordonnées du responsable du traitement ;
  • les finalités du traitement ;
  • les catégories de données personnelles concernées ;
  • l'intention ou non de transférer les données à l'étranger ;
  • la durée de conservation des données.

Si la collecte des données est faite auprès d'un tiers et non pas de l'intéressé, le responsable du traitement dispose d'un délai d'un mois pour fournir les informations au salarié (3).

Le Règlement prévoit également que, chaque personne qui fait l'objet d'une collecte de données personnelles la concernant, doit être informée de son droit :

  • d'obtenir gratuitement une copie des données les concernant (4) ;
  • de faire rectifier les données qui se révèleraient inexactes ou de les compléter (5) ;
  • à l'effacement ("droit à l'oubli”), sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son contentement (6) ;
  • de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement (7).
De plus, pour les établissements ou entreprises dont l'effectif atteint 50 salariés, l'employeur met en place une base de données économiques et sociales (BDES) destinée au CSE/IRP. En principe, la BDES ne comporte pas d'informations nominatives qui permettent l'identification d'une personne, directement ou indirectement. Néanmoins, si l'employeur inclut de telles données, il doit de son côté, établir un registre de traitement des données personnelles collectées. Le CSE quant à lui, en raison de cette collecte de données auprès d'un tiers (l'employeur), doit en informer le salarié dans un délai d'un mois, conformément aux informations ci-dessus (3).

Soyez vigilant, un défaut de conformité à la législation vous expose à des sanctions non négligeables.

Références :

(1) Règlement n°2016-679 du 27 avril 2016 – règlement général sur la protection des données (en anglais – General Data Protection Regulation – GDPR) qui remplace la Directive sur la protection des données personnelles adoptée en 1995
(2) Article 13 du Règlement n°2016-679 du 27 avril 2016
(3) Article 14 du Règlement n°2016-679 du 27 avril 2016
(4) Article 15 du Règlement n°2016-679 du 27 avril 2016
(5) Article 16 du Règlement n°2016-679 du 27 avril 2016
(6) Article 17 du Règlement n°2016-679 du 27 avril 2016
(7) Article 21 du Règlement n°2016-679 du 27 avril 2016


À propos de l’auteur

Commenter cet article

Pour commenter cet actualité, veuillez vous connecter.

Votre message a bien été enregistré.
Vous ne pouvez pas ajouter un nouveau commentaire. Un intervalle de 30 minutes est nécessaire entre chaque commentaire pour éviter les spams.

Les informations recueillies sur ce formulaire sont destinées à Juritravail aux fins de traitement de votre demande et la réception d'information juridique par email. Elles font l’objet d’un traitement informatique destiné au service marketing de Juritravail.

Pour connaître et exercer vos droits, notamment de retrait de consentement à l'utilisation de vos Données, veuillez consulter notre Charte de protection des Données Personnelles et nous contacter à l'adresse suivante : [email protected].

loader Juritravail