Cet article répondra à toutes vos questions :

  • Qu’est-ce que le RGPD ?
  • En quoi consiste le traitement des données personnelles ?
  • Quelles obligations du CSE envers le RGPD ?
  • Comment conformer son CSE aux obligations de la CNIL ?

Vous avez certainement entendu parler du « RGPD », relatif à la protection des données personnelles, mais savez-vous que votre comité social et économique (CSE) est concerné par cette nouvelle réglementation entrée en vigueur le 25 mai 2018 ?

Du décryptage de cette réforme à vos obligations, en passant par les étapes à suivre pour conformer votre CSE aux normes RGPD et aux exigences de la Commission nationale de l’informatique et des libertés (CNIL), on vous guide !

Le RGPD, qu’est-ce que c’est ?

Par RGPD, comprenez le Règlement Général sur la Protection des Données. Son objectif est d’encadrer la collecte et l’usage des informations personnelles des citoyens européens. La loi française Informatique et Libertés de 1978 avait posé la première pierre en la matière. En 1995, une directive européenne a adapté et harmonisé la législation face à l’essor continu des nouvelles technologies et des transactions en ligne. Applicable à compter de mai 2018, le RGPD marque l’acte final de l’encadrement par le législateur de l’usage des données.

Les organismes concernés ? Toute structure, privée ou publique, implantée sur le territoire de l’Union Européenne, ou dont les
activités touchent les résidents de l’UE.

Que comprendre par « donnée personnelle » ?

La CNIL définit la donnée personnelle comme une information liée à une personne physique, ou permettant de l’identifier. Parmi les informations entraînant une reconnaissance directe ou indirecte d’un tiers, on retrouve :

  • les noms et prénoms ;
  • les numéros de téléphone ;
  • les numéros d’identifiant (client ou adhérent) ;
  • des photos, vidéos et enregistrements voix
  • et plus largement toute donnée relative à la vie privée (culturelle, sociale, physiologique, etc.).

 La connaissance d’une seule de ces données suffit à entraîner l’identification d’un citoyen, quand le croisement de plusieurs d’entre elles permet d’aller encore plus loin en déterminant une localisation, des habitudes et des comportements dont certaines entités peu scrupuleuses peuvent tirer profit.  

En quoi consiste le traitement de ces données personnelles ?

Une donnée personnelle est traitée dès qu’elle est collectée, analysée, utilisée ou stockée, de manière informatique ou manuscrite. Il peut s’agir de la diffusion d’un questionnaire en ligne et du relevé des réponses, d’une mise à jour d’un fichier de fournisseurs ou de clients ; tout ce qui implique la perception et la détention d’informations.

Leur caractère personnel est fondamental : la tenue d’un tableau ne comportant par exemple que des informations professionnelles, comme un nom d’entreprise et son adresse postale, ne constitue pas un traitement de données personnelles.

La collecte et le traitement de ces données doivent être dûment motivées et se justifier auprès des autorités compétentes telles que la CNIL en cas de contrôle. Les données personnelles servent un objectif professionnel ou n’ont pas de raison d’être collectées !

Les droits des utilisateurs au cœur du RGPD

 

Pour bien comprendre les tenants et aboutissants de cette nouvelle réglementation, il vous suffit de garder à l’esprit les différents droits dont tout citoyen dispose sur ses données personnelles, et que la CNIL entend faire respecter.

LE DROIT À L’Opposition

Lorsqu’un organisme procède à la collecte de données personnelles, il doit impérativement en informer les individus ciblés ! Leur durée de conservation et leur usage prévu doivent apparaître, ainsi que la possibilité d’exprimer un consentement ou un refus. Il incombera par la suite au responsable du traitement des données de prouver que les informations lui ont été librement communiquées, et qu’un droit à l’opposition a pu être exercé.

Chacun peut exercer un droit d'opposition pour protéger ses données personnelles

Le droit à la portabilité des données

La portabilité, c’est la faculté d’exercer un contrôle sur les données que l’on a cédées à un tiers. Chacun peut, à n’importe quel moment, demander une copie de ses informations afin de pouvoir, le cas échéant, les partager à un autre organisme.

Le droit à la rectification

L’intitulé est clair : tout citoyen est en droit de demander la modification des données précédemment transférées.

Le droit à la suppression

Également appelé « droit à l’oubli », ce droit permet d’exiger d’un organisme détenant nos informations personnelles de les supprimer de ses fichiers. Parce que le Web conserve tout ce qui est partagé par les internautes, ce droit en faveur d’une réappropriation de ses données est un cheval de bataille de la CNIL ! 

Le droit à la réparation des dommages matériaux ou moraux 

Enfin, en cas de préjudice matériel ou moral entraîné par la divulgation d’informations personnelles, la victime est en mesure d’obtenir réparation auprès du responsable du traitement desdites données.

Chacun dispose d'un droit à obtenir réparation

Pourquoi mon CSE est-il concerné par le RGPD ?

Forts de ces nouvelles connaissances sur les origines et objectifs du RGPD, vous comprenez maintenant que votre comité entre dans son champ d’application, par la nature de l’entité et les données qu’il brasse.

Vous êtes amené à traiter les données personnelles des salariés que vous représentez, par exemple lorsque vous gérez le fichier des salariés ou que vous récoltez des informations pour mettre en œuvre vos actions sociales et culturelles (ASC).

Vous pouvez de surcroît être amené à accumuler des informations dites sensibles :

  • Données bancaires
  • Numéros d’identification (Sécurité sociale, contrats, TVA intracommunautaire, etc.)
  • Justificatifs et pièces d’identité
  • Données médicales, sur l’engagement syndical, sur les orientations religieuses et politiques, etc.

La liste est non-exhaustive mais vous donne un aperçu de la mission qui vous incombe en tant qu’élu : garantir une collecte raisonnée, un usage justifié et une confidentialité satisfaisante de ces données qui vous sont confiées par vos bénéficiaires ou même la direction !

Bannière publicité HelloCSE

Étape n°1 : prôner consentement et transparence

Vous l’aurez compris, pour se mettre en conformité avec le RGPD, vous devez veiller à ce que vos bénéficiaires aient connaissance de leurs droits et soient en mesure de consentir à la communication de leurs données (ou de refuser !).

Cas concret : si vous soumettez un formulaire en ligne afin de récolter des informations utiles à l’organisation d’un événement, insérez un encart spécifiant les conditions de la collecte des données, accompagné d’une case à cocher pour témoigner de son accord ou désaccord. Vous ferez ainsi d’une pierre deux coups. D’une part, vous instaurez un climat de confiance et d’autre part, en cas de contrôle, vous disposez d’une preuve que vous avez bien obtenu l’approbation de vos bénéficiaires !

Toujours dans un souci de transparence, intégrez dans le règlement intérieur du comité votre positionnement quant à l’archivage et au tri des données que vous collectez. Vos bénéficiaires pourront s’y référer pour exercer pleinement leurs droits.

Vous devez notamment vous prononcer sur ces questions :

  • Qui sont les responsables du traitement des données au sein de votre CSE ?
  • Combien de temps votre CSE conserve-t-il ces données ?
  • Quelles données sont archivées ou supprimées, et pourquoi ?

Arrêter des règles officielles vous aidera à faire un premier pas dans votre politique de collecte et de protection des informations personnelles de vos bénéficiaires !

Étape n°2 : instaurer un registre des traitements de données

En cas de contrôle de la CNIL, vous devez être en mesure de prouver le bon traitement des données répertoriées. Comment ? En leur présentant votre registre des traitements de données, numérique ou manuscrit.

Ce registre retrace tous les processus mis en œuvre par votre comité social et économique pour en assurer la conformité avec le RGPD. Il répertorie :

  • tous les membres de votre CSE prenant part au traitement des données, de manière directe ou indirecte (le responsable désigné, les co-responsables, d’éventuels sous-traitants, etc.) ;
  • les catégories de données collectées ;
  • leur usage ;
  • les personnes ayant accès à ces données ;
  • les personnes à qui les données sont communiquées ;
  • la durée de conservation des données
  • et le système déployé pour en assurer la sécurité.

La CNIL vous propose un modèle de registre qui répond aux besoins les plus communs, que vous pouvez consulter et adopter ici.

Si vous avez recours à des sous-traitants, ces derniers doivent tenir un registre semblable afin de pouvoir prouver, en cas de contrôle ou de litige, que les données que vous lui avez partagées sont bien employées et protégées

En outre, tâchez de rationaliser le partage des données lorsque vous travaillez avec un prestataire. Vous êtes responsable des informations que vous détenez sur vos collègues. Aussi, ne lui communiquez que les informations dont il a besoin dans le cadre de sa mission.

Un tel détail de vos démarches en faveur du RGPD peut sembler contraignant, mais la création et la mise à jour régulière de ce registre représentent aussi une occasion de faire un tri entre les informations, parfois sensibles, dont vous avez réellement besoin, et celles que vous conservez sans motif réel. C’est l’opportunité idéale pour rationaliser et ordonner vos collectes et stockages de données, pour davantage de légèreté dans la gestion de vos fichiers !

Si on vous en fait la demande, vous êtes tenu de rendre ce registre public, en veillant bien sûr à ne pas divulguer d’informations confidentielles ou liées à la sécurité des systèmes d’information. Vous ne devez pas être chargé d’une mission de service public.

Vous n’avez aucune obligation en la matière, mais si un tiers demande à accéder à ce document, vous pouvez le lui partager si vous l’estimez judicieux.

À noter

Les organismes de moins de 250 salariés sont dispensés de tenir un registre de traitements des données aussi complet !
Si tel est votre cas, vous pouvez vous contenter d’y recenser :

  • Les traitements les plus récurrents
  • Les traitements portant sur des données sensibles (santé, religion, politique, etc.)
  • Les traitements pouvant compromettre liberté et droits des individus (vidéosurveillance, données géolocalisées, etc.)

Étape n°3 : désigner un délégué à la protection des données (DPD)

Le rôle d’un délégué à la protection des données est de veiller à la conformité de vos procédures vis-à-vis du RGPD. Qu’il soit nommé en interne ou qu’il soit un prestataire externe au CSE, il remplit ses missions en complète impartialité.

Elles consistent à :

  • prodiguer assistance et conseils au chargé de traitement des données et aux employés ;
  • contrôler les pratiques à l’œuvre pour protéger les données ;
  • servir d’intermédiaire avec les autorités en cas de contrôle.

Le délégué ne sera pas responsable, aux yeux de la loi, d’une quelconque entorse au RGPD ; c’est votre chargé du traitement qui devra justifier tout manquement à la CNIL.

Les organismes publics, ceux dont les activités impliquent un suivi régulier et massif des individus, ou qui collectent des données sensibles ont l’obligation de désigner un délégué. Pour les autres structures, si la CNIL n’a pas rendu cette désignation obligatoire, elle le recommande car le recours à un expert ne pourra que mieux aider votre chargé de traitement dans la politique de RGPD de votre CSE. 

Il n’existe ni profil ni parcours type pour un délégué, mais tout candidat doit idéalement attester d’un certain degré d’expertise en matière de protection des données et d’une connaissance du secteur d’activité et des besoins de l’organisme concernant le RGPD.

Vérifiez qu’il n’existe pas une forme de conflit d’intérêts avec les missions qu’il est appelé à remplir ! Tout membre de votre CSE impliqué dans la collecte, le traitement ou la définition des objectifs de ladite collecte ne peut briguer cette fonction.

Étape n°4 : sécuriser vos données

Enfin, après avoir sensibilisé vos bénéficiaires sur leurs droits, collecté leurs données de manière raisonnée et consentie, et créé votre registre des traitements de données sous la supervision de votre DPD, il ne vous reste qu’à assurer la sécurité des informations sous votre garde !

Plus les données détenues sont sensibles, plus vos mesures doivent être renforcées. De manière générale, il s’agit d’établir et
d’entretenir des réflexes simples.

 

  • Mettez à jour vos logiciels et vos antivirus pour prévenir toute faille
  • Établissez des mots de passe complexes et modifiez-les régulièrement
  • Créez des profils selon les besoins d’accès aux différents types de données
  • Mettez en place une procédure de sauvegarde et de récupération des données pour palier tout incident
  • Chiffrez vos données les plus sensibles
  • Recensez tous les supports comportant des données
  • Sécurisez l’accès à vos locaux

Des données confiées à votre CSE ont été modifiées, perdues, détruites, volées ou consultées de manière non autorisée ? Signalez-le à la CNIL dans les 72 heures et avertissez les personnes concernées si cette violation peut représenter une atteinte à leurs droits et libertés. Vous serez alors accompagné dans vos démarches !

En résumé, si vous ne devez retenir que cinq mots-clés pour aiguiller votre politique de protection des données de vos bénéficiaires : transparence, consentement, recensement, encadrement et sécurité.

Vous voilà tout à fait prêt à conformer votre CSE aux normes RGPD !