Ce comité, ayant un rôle central dans l’entreprise, résulte de la fusion des délégués du personnel (DP), du comité d’entreprise (CE), et du CHSCT (Comité d’hygiène, de sécurité et des conditions de travail).
Il est composé de l’employeur et d’une délégation élue du personnel.
Le CSE est chargé de présenter à l’employeur les réclamations individuelles ou collectives relatives aux salaires, de contribuer à promouvoir la santé, la sécurité et l’amélioration des conditions de travail dans l’entreprise, de réaliser des enquêtes en matière d’accidents du travail ou de maladies professionnelles ou à caractère professionnel, d’exercer le droit d’alerte, de surveiller l’application des dispositions légales de l’employeur, d’assurer et de contrôler ou participer à la gestion de toutes les activités sociales et culturelles établies dans l’entreprise.
Dans le cadre de ses missions, le CSE est amené à collecter et traiter des données personnelles, notamment celles des salariés qui sont en lien avec leur vie familiale et personnelle ainsi que leur santé : identité, fonction, formation, situation de santé, activité sociales et culturelles...
L’article L2312-18 du code du travail impose d’ailleurs la mise en place d’une "base de données économiques et sociales" qui "rassemble l’ensemble des informations nécessaires aux consultations et informations récurrentes que l’employeur met à disposition du comité social et économique".
Le traitement de l’ensemble de ces données est soumis à la réglementation relative à la protection des données (RGPD).
Ainsi, le CSE doit respecter un certain nombre d’obligations pour être en conformité avec cette réglementation.
La première est celle de s’assurer de la base légale du traitement et d’informer les salariés de leurs droits.
Par ailleurs, pour répondre à l’exigence de "responsabilité du responsable de traitement", il convient de mettre "en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément" au règlement.
Ainsi, le CSE est soumis à l’obligation de tenir un registre de traitement et de prévoir des mesures permettant d’assurer la confidentialité des données traitées (engagement de confidentialité, procédure pour répondre aux demandes d’exercice de leurs droits par les salariés).
En cas de non-respect, les sanctions sont les mêmes que celles qui pourraient être appliquées à tout responsable de traitement allant jusqu’à plusieurs millions d’euros.
Il convient donc de désigner un responsable à la protection des données au sein du comité social et économique dès sa création afin d’observer et d’assurer le respect de la réglementation. Pour l’assister, ce responsable peut-être accompagné d’un délégué à la protection des données.
Discussions en cours :
Il me semble curieux d’affirmer que le consentement du salarié soit la base juridique d’un traitement mis en œuvre par un CSE.
En effe, l’intérêt légitime du CSE semble pouvoir ici primer... D’autant plus si on estime que le CSE œuvre avant tout pour les intérêts des salariés.
Qu’en pensez-vous ?
Je suis aussi dubitatif sur l’obligation d’un consentement (sauf dans le cas de transfert à des tiers)
Est ce que ce n’est pas plutôt le respect d’une obligation légale à laquelle le CSE (responsable de traitement) est soumis ?
Le consentement obligatoire risque même d’être en porte à faux vis à vis de la législation existante. La CNIL imposait uniquement dans la dispense 010 une information préalable avec la possibilité pour le salarié d’utiliser son droit d’opposition s’il ne souhaite pas que ses données soient traitées par le C.E.
L’analyse faite par la rédactice manque encore certainement de recul.
Le consentement est la dernière base légale à laquelle je me serai référé...
J’aurais plutôt cherché du côté de l’obligation légale ou de l’exécution du contrat de travail par les salariés, puisque leur statut de salarié (donc l’exécution de leur contrat) implique un traitement de leurs données à caractère personnel par le CSE...
Il me semble, d’expérience, que la principale base légale possible et raisonnable est l’intérêt légitime du CSE, lié à la nature d’un CSE et à son positionnement en droit du travail. Par contre, pour les données personnelles supplémentaires et optionnelles qu’un CSE souhaite collecter pour proposer des services optionnels de type CE (voyages, avantages, centrale d’achat, etc.), la base légale ne peut être que le consentement.
1) pour les données personnelles de type professionnel (dossier du salarié), pour constituer le dossier simple :
Finalité : constitution du dossier du salarié au CSE
Données nécessaire à la constitution du dossier : nom, prénom, fonction, date d’embauche, coordonnées...
une information préalable des salariés, détaillant la justification de l’intérêt légitime ;
qui disposent d’un droit de refus (opposition) immédiat ou ultérieur
la gestion du traitement selon le RGPD
2) pour les données strictement personnelles, hors dossier salarié (pour activités type CE) :
Finalité : offres de services du CSE (selon le type d’offre)
Données strictement nécessaires à chaque type d’offre. Exemple : structure familiale, centres d’intérêt, coordonnées personnelles, coordonnées bancaires (attention !), voyages...
Information préalable des salariés, détaillée suivant RGPD
Recueil du consentement (case à cocher et/ou signature)
Droit de retrait du consentement par le salarié
gestion du traitement selon RGPD.
Bon traitement !
Frederic BOURGUET - Avocat spécialisé TIC