Actualités

L’application du RGPD dans les CE

Le Règlement Européen n° 2016/679 du 27 avril 2016 déclare que : «  la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental ». Ce règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui abroge la directive 95/46/CE  , est applicable à partir du 25 mai 2018.

 

Ce nouveau règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Cela signifie que dès lors que vous collectez des données personnelles de salariés dans le cadre de la gestion des activités sociales et culturelles, de manière automatisée, ou de manière non-automatisée mais devant figurer dans un fichier, vous êtes concernés par ces nouvelles règles. Vous le serez également si votre CE  /CSE   est employeur (données des salariés employés).

 

Les règles à respecter sont sensiblement les mêmes qu’auparavant. Il y a toutefois quelques modifications :

  • Le salarié ou l’ouvrant droit doit avoir expressément consenti à fournir ses données personnelles (article 6 du règlement). Le CE   /CSE   doit pouvoir apporter la preuve du consentement du salarié ou de l’ouvrant droit (par un écrit papier ou électronique).

 

  • Le RGPD précise que les salariés ou l’ouvrant droit doivent pouvoir accéder à leurs données dans le délai maximum d’un mois.

 

  • La désignation d’un délégué à la protection des données (DPO) est obligatoire pour (article 37 du règlement) :
  1. les organismes publics ;
  2. les entités dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions, ce qui peut être le cas du CE  /CSE  .

Qui a pour mission de déterminer et mettre en place les mesures « techniques et organisationnelles  » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation. Cette personne, pas nécessairement salarié de l’entreprise, aura notamment pour mission d’informer, de conseiller, de contrôler la conformité des traitements.

 

Ainsi, dans le cadre de ses activités sociales et culturelles (ASC), le CE  /CSE   devra :

Donner aux salariés les informations suivantes :

o l’identité et les coordonnées du responsable de traitement des justificatifs collectés (en principe le secrétaire ou le trésorier) ;

o le cas échéant, les coordonnées du délégué à la protection des données (DPO) ;

o les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que le fondement juridique du traitement (activités sociales et culturelles prévues à l’article L. 2323-83 du Code du travail) ;

o le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

o la durée de conservation des données (à définir par le CE  /CSE   mais cela doit correspondre temps nécessaire à l’attribution des ASC) ;

o le droit d’accès aux données les concernant dans le délai d’un mois et de rectification de ces données ;

o le droit du salarié de retirer son consentement à tout moment ;

o le droit du salarié d’introduire une réclamation auprès de la CNIL.

 

Leur demander individuellement leur consentement à fournir ces données personnelles (par écrit papier ou par voie électronique). Il faudra alors préciser au salarié qu’il peut accepter ou refuser de fournir ces données. Il faudra lui préciser les conséquences en cas de refus, comme par exemple le fait de perdre le tarif réduit auquel il aurait pu prétendre ou/et qu’il se verra appliquer la tranche haute de rémunération pour le paiement des cotisations. Il devra également être informé du fait qu’il pourra retirer son consentement à tout moment. Dans ce cas, les conséquences seront les mêmes qu’en cas de refus (perte du tarif réduit, assiette de cotisations sur la tranche haute …)

 

- Mettre en place une procédure de demande d’accès aux données personnelles. Cette procédure doit au maximum être d’une durée d’un mois. Elle pourrait se faire par courriel auprès du responsable du secrétaire et/ou du trésorier du CE  /CSE  . Cela suppose que le CE  /CSE   ait communiqué au préalable aux salariés le courriel de cette personne et ait précisé sous quelles modalités doit se faire la demande.

 

La procédure peut être la suivante :

  • Envoi d’un courriel au secrétaire et/ou trésorier du CE  /CSE   précisant l’identité du salarié et les données auxquels il souhaite accéder,
  • Le secrétaire dispose d’un délai de réponse d’un mois (délai obligatoire),
  • Si aucune suite ne peut être donnée à sa demande il faut l’informer des motifs de cette inaction, les voies et délais de recours ouverts dans un délai d’un mois suivant la réception de sa demande (recours auprès de la CNIL).

Le trésorier ou le secrétaire s’engage à y répondre dans le délai d’un mois à compter de la réception de la demande.

 

Enfin, un projet de loi sur le RGDP est en cours de discussion au Parlement. Etant donné que le RGPD est un règlement européen, s’appliquant directement, et sans transposition en droit interne, ce projet de loi n’a vocation qu’à préciser certaines dispositions dudit règlement.

 

N’oubliez pas, ATLANTES peut vous accompagner dans ce processus ! 

Partagez