Le RGPD s'impose au CSE, comme à tout organisme. De plus, les anciens Comités d'Entreprises et demain les CSE traitent un grand nombre de données à caractère personnel appartenant aux salariés de l'entreprise dans le cadre de la gestion des œuvres sociales.
La plupart du temps, ces infos sont plus larges que celles qui ont vocation à être portées à la connaissance de l'employeur dans le cadre du contrat de travail, en vertu du principe de minimisation des données. On peut citer par exemple : l'information sur le nombre d'enfants (qui est nécessaire à l'employeur au moment de l'embauche que dans le cas d'une mutuelle familiale obligatoire ou d'une majoration familiale) ou l'utilisation du quotient familial afin de moduler le versement des œuvres sociales ;
Qui dit RGPD dit obligatoirement "Responsable de Traitement" qui est : "la personne physique et morale, l'autorité publique, le service ou un autre organisme qui, seul et conjointement avec d'autres, détermine les finalités et les moyens du traitement". Jusque là rien de bien compliqué : le CSE, bien que n'ayant pas dans la plupart des cas d'obligation de nommer un DPO, devra tenir un registre de traitement. Par contre, n'oublions pas que le Président du CSE est le représentant de l'employeur.
Cette précision est importante dans les cas, heureusement rares où la responsabilité pénale du dirigeant peut être engagée.
Or, en pratique, le Président du CSE a la plupart du temps, peu d'impact, voire peu d'infos sur la façon dont les données sont collectées et traitées par le CSE.
Première interrogation et non des moindres : sont-elles transmises à des sous-traitants ? dans l'affirmative qu'en font-ils ensuite ? Ne seront-elles pas ensuite utilisées sans l'accord des personnes concernées ?
Plusieurs problématiques sont à traiter et il convient d'organiser le partage des responsabilités en amont des traitements qui seront réalisés.
- Sur la collecte tout d'abord :
Les pratiques existantes et variées font apparaître que souvent, c'est l'employeur qui collecte et transmet les données des salariés, au moins pour ce qui permet ensuite au CSE de prendre contact ;
Cette transmission doit, au minimum avoir été portée à la connaissance du salarié, et au mieux avoir donné lieu à son accord, puisque rien n'oblige un salarié à percevoir les œuvres sociales du CE/CSE. Il est toutefois possible de lier cela à la base légale du contrat de travail et de l'informer lors de son embauche en laissant au salarié la possibilité de s'opposer à la transmission.
Il semblerait néanmoins plus logique d'organiser la collecte des données de façon dissociée : par exemple dans le dossier d'embauche, qu'un formulaire à l'entête du CSE soit intégré ; à charge pour le salarié nouvellement embauché de remplir celui-ci et de le transmettre directement au CSE.
Rappelons que l'ancienne dispense numéro 10 indiquait que seuls les noms, prénoms et coordonnées professionnelles du salarié devaient être transmises par le service RH au Comité d'Entreprise. Même si cette dispense n'a plus de validité juridique depuis l'avènement du RGPD, les principes de bonnes pratiques édictées restent valables.
- Sur la mise à jour des données à caractère personnel :
Rien ne s'oppose à ce que soit prévue entre les parties une mise à jour des listes sur le point de savoir si les personnes ont quitté l'entreprise. La base légale sera l'intérêt légitime du responsable de traitement qui doit s'assurer que des personnes ne pouvant plus prétendre aux aides ne continuent pas à les percevoir.
Par contre, pour tout ce qui est des mises à jour d'informations autres que l'employeur n'a pas à connaître, il appartient au CSE et à lui seul d'en prévoir les modalités.
- Sur la transmission des données à des tiers :
L'ancienne dispense DI-10 prévoyait de façon stricte les possibles communications de données à des tiers :
- pour le comité d’entreprise ou d’établissement : secrétariat, trésorier, élus ;
- l’expert-comptable (interne ou externe) du comité d’entreprise ou d’établissement ;
- le commissaire aux comptes ;
- les prestataires et fournisseurs de services et de chèques-cadeaux ;
- les organismes de voyage ;
- les résidences de vacances.
On voit que toute transmission à une société dans un but de B2C, autres que ceux listés, était exclue par cette rédaction; Il ne faut pas non plus oublier que ces pratiques commerciales numériques se généralisent et qu'en toute bonne fois, les données peuvent être transmises par le CSE.
Il est donc nécessaire d'être particulièrement vigilant alors de la signature des contrats avec ces prestataires qui doivent offrir toutes les garanties de protection.
Sur les traitements de données qui déterminent le droit ou non aux prestations :
L'ICO (CNIL anglo-saxonne), a élaboré un questionnaire afin de déterminer, selon le rôle de chacun, si l'on se trouve en position de responsable de traitement, co-responsable ou sous-traitant. Or le CSE, porté par la voix de son secrétaire, joue un rôle important à la fois dans le choix des traitements qui sont réalisés, mais également dans la détermination des personnes qui vont bénéficier des prestations :
- quels sont les éléments qui vont permettre de déterminer les différents seuils de perception des prestations ? certains choisiront le classement indiciaire du salarié, d'autres vont demander le quotient familial.
- quels sont les droits attachés à ces seuils ?
- quelles sont les prestations versées ? chèque cadeaux, places de cinémas etc. …
Le but est de répondre à la question cruciale que nous allons développer : qui est le responsable de traitement ?
Il parait logique, au vu de ces éléments, d'organiser entre le secrétaire, voire le trésorier et le représentant de l'employeur au minimum une co-responsabilité de traitement qui rendra compte de la réalité de la prise de décision sur le traitement de données à caractère personnel. Il semblerait même normal que le trésorier ou le secrétaire puissent être déclarés Responsable de traitement s'ils décident seuls des DCP colletées et des traitements réalisés
Pour cela, il est nécessaire d'ajouter la négociation de ces dispositions aux travaux préalables à la mise en place du CSE. La rédaction du règlement intérieur peut intégrer ces problématiques ou alors un accord ultérieur devra être conclu entre l'employeur et le CSE pour clarifier les rôles et responsabilités de chacun.
Le règlement intérieur doit également prévoir les modalités de l'information des salariés sur les traitements de données réalisés, ainsi que la façon dont le CSE répondra aux éventuelles demandes de communication, modification, opposition, suppression de ces données émanant des salariés.
Organiser en amont les rôles et le partage de responsabilité employeur/secrétaire du CSE, tant sur la collecte que sur le traitement des données à caractère personnel, est nécessaire afin d'aborder la mise en conformité RGPD du CSE.
La logique de responsabilisation des élus répond au principe d'accountability de tous les acteurs qui peut-être traduit par : "Etre conforme et pouvoir le démontrer à tous moments".
Enfin, n'oublions pas que dans le cas où les données numériques sont hébergées sur un serveur informatique central de l'entreprise par exemple, l'employeur deviendra sous-traitant du CSE pour cette partie hébergement ;
Et un autre contrat devra alors être conclu en ce sens ...