Asc

Données personnelles et CSE : comment maîtriser les obligations du RGPD (Focus Miroir Social)

Par Agnès Redon | Le | Culture et sorties

Le Règlement Général sur la Protection des Données (RGPD) s’impose aux CSE. Le webinaire organisé le 28 septembre 2023 par Miroir Social et le cabinet d’expertise 3E a permis de faire le point sur les obligations en harmonie avec l’action du CSE, en particulier le volet des ASC.

CSE : comment maîtriser les obligations du RGPD sans entraver l’action dans la gestion des ASC ? - © D.R.
CSE : comment maîtriser les obligations du RGPD sans entraver l’action dans la gestion des ASC ? - © D.R.

Appliquer le cadre réglementaire obligatoire

Il faut prendre en compte : 

  • le règlement européen général sur la protection des données (RGPD) applicable depuis le 25 mai 2018,
  • la loi relative à l’Informatique, aux Fichiers et aux Libertés du 6 janvier 1978 (modifiée par ordonnance du 12 décembre 2018) entrée en vigueur le 1er juin 2019.

Les 4 objectifs de cette règlementation sont les suivants :

  • Mettre en place des pratiques visant à protéger les données personnelles ;
  • Renforcer les droits des personnes ;
  • Imposer aux entités de rendre compte de leur conformité ;
  • Rendre les sanctions dissuasives.

« Le RGPD concerne tous les CSE, dans la mesure où ils ont accès à des données personnelles, notamment à travers :

  • L’assistance personnelle aux salariés ;
  • La représentation collective des salariés ;
  • la gestion des activités sociales et culturelles (ASC) », indique Nathalie Christophe, chargée de mission pour le cabinet 3E (cabinet agréé CSE et SSCT pour l’accompagnement des IRP, des élus du personnel et des organisations syndicales). 

« Sur le terrain dans le cadre de nos expertises, nous nous rendons compte que peu de CSE s’approprient ce sujet », constate Nathalie Christophe.

« La fusion des instances représentatives du personnel a réduit les moyens des élus de CSE et par conséquent, le RGPD est passé au second plan », ajoute Fernando Martins, secrétaire du CSE régie des Transports de l’agglomération grenobloise et secrétaire fédéral FO Transports.

Mettre le CSE en conformité 

Pour Keshia Afari, juriste pour Groupe 3E, le CSE peut être conforme au RGPD en suivant ces étapes :

  • Désigner un référent/délégué à la protection des données (DPO) ;
  • Faire l’inventaire des données personnelles utilisées ;
  • Identifier les personnes concernées ;
  • Identifier les mesures correctives à mettre en place pour garantir la sécurité des données personnelles ;
  • Mettre en place un registre des traitements.

« Le RGPD est non seulement une obligation légale mais aussi un point d’appui par rapport à la direction, notamment dans le rôle de vigilance. En effet, la direction a elle aussi des obligations RGPD, par exemple dans l’information consultation. Cela marche dans les deux sens », indique Keshia Afari.

Les risques encourus en cas d’une non-conformité signalée à la CNIL sont importants. De l’intérêt de bien cadrer le « qui a accès à quoi » dans le règlement intérieur du CSE et de s’assurer que le RGPD s’applique du CSE central au CSE d’établissement.

« En cas de violation RGPD, la CNIL peut émettre des sanctions pécuniaires ou judiciaires », rappelle Keshia Afari. 

Gérer les informations confidentielles 

Cyril Bourgeois, trésorier du CSE AML Systems (groupe Johnson Electric) et délégué syndical CGT, confirme ce point : « Afin d’éviter qu’un salarié mécontent dépose une plainte à la CNIL, nous avons choisi de nous former sur le sujet du RGPD. »

Le RGPD pèse aussi sur les activités économiques du CSE. Par exemple sous le prisme des :

  • justificatifs demandées aux élus eux-mêmes,
  • garanties qui s’imposent quand les élus accèdent à des données individuelles sur les salaires.

« Quand le CSE applique une politique de subvention en fonction du quotient familial, qui requiert de connaître le revenu imposable, la gestion de ces informations peut s’avérer délicate », explique Cyril Bourgeois.

  • « En 2010, nous avions réussi à obtenir une subvention mensuelle supplémentaire sur les œuvres sociales de 0,65 % de la masse salariale pour attribuer une prestation de chèques vacances. Nous avons choisi de favoriser les plus bas salaires et pour cela, nous distribuons chaque année un formulaire aux salariés pour leur demander leur tranche de salaire.
  • Sur une base auto-déclarative, nous attribuons un montant de chèque-vacances.
    • Nous avions besoin de la liste du personnel mais, depuis un an, nous avons même du mal à obtenir leur adresse postale.
    • Pour qu’une personne en arrêt maladie puisse tout de même recevoir son cadeau de Noël chez elle, nous préparons un recommandé et nous donnons le cadeau à la direction. Mais si le cadeau arrive en retard, cela pénalise le salarié », relate Cyril Bourgeois.

Pour sa part, Fernando Martins explique que, dans son CSE, toutes les prestations gérées sont simplifiées.

  • « Nous n’avons pas besoin de disposer des fiches de paie des salariés ou de leur quotient familial, mais seulement d’identifier les ayants droit.
  • En effet, quand un salarié est recruté, nous lui donnons un document à remplir et nous demandons des pièces justificatives de sa situation familiale par exemple, nécessaires pour la déclaration à l’Urssaf.
  • Chaque salarié est en droit de modifier les informations écrites.
  • Tous les salariés reçoivent le même montant de chèque-vacances, quel que soit le salaire. En revanche, nous ajoutons 70 euros par enfant. »