RGPD et CSE : quelle application de la législation sur la protection des données aux représentants du personnel ?

Avec la mise en place du Règlement Général sur la Protection des Données (RGPD), nous nous sommes posés la question : quelle place a le Délégué à la Protection des Données ou Data protection officer (DPO), garant de la conformité RGPD, face au CSE , lorsqu’il est rattaché uniquement à l’entité et non au CSE. Et comment le RGPD s’applique dans un CSE ? En cas de violation de données personnelles, qui est responsable ? Comment qualifier le CSE vis-à-vis de l’entité auquel il est rattaché ?

Le Conseil économique et social (CSE), qui a remplacé les anciens délégués du personnel, l’ancien Comité d’entreprise ou encore l’ancien Comité d’Hygiène de Sécurité des Conditions de Travail (CHSCT), a pris une place encore plus importante dans nos entreprises. Pour rappel, le CSE est une instance unique de représentation du personnel composée de l’employeur et d’une délégation élue du personnel comportant un nombre de membres fixé en fonction de l’effectif de l’entreprise.

Nous avons interrogé la CNIL sur le sujet RGPD et CSE pour vous, et voici ce qu’il en ressort.

Le DPO de l’entité est-il aussi le DPO du CSE ?

Deux cas sont à distinguer.

Le CSE, lorsqu’il n’a pas la personnalité juridique, c’est-à-dire lorsqu’il appartient à une entité dont l’effectif est inférieur ou égal à 49 salariés, se confond avec l’entité à laquelle il appartient en terme de protection des données. Concrètement, le DPO de l’entité serait le DPO du CSE également avec toutes les conséquences qui en découlent[1]. Notons néanmoins que l’échange de données entre les deux devra être strictement encadré, dans le respect, d’une part, du droit du travail et du respect de la vie privée des salariés, et, d’autre part, dans le respect du RGPD et de la loi informatique et liberté (voir infra).

Le CSE, lorsqu’il a la personnalité juridique, c’est-à-dire lorsqu’il appartient à une entité comprenant plus de 50 salariés, est bien distinct de son organisme de « rattachement » en matière de protection des données personnelles. De ce fait, il met en œuvre des traitements dont il a défini les finalités et les moyens, et recouvre à ce titre le statut de responsable de traitement. Aussi, il dispose également de son propre DPO, qui peut être la même personne que celle que l’entité a désignée, sous réserve de vigilance quant aux éventuels conflits d’intérêts.

En cas de violation de données, la CNIL nous a indiqué qu’a priori, c’est le dirigeant de l’entité qui paraîtrait responsable puisque celui-ci est le président du CSE.

Quelles données l’entité peut transmettre au CSE sur les salariés ?

Au préalable, notons que si le RGPD et la loi Informatique et Libertés n’interdisent pas à l’employeur de transmettre des informations aux représentants du personnel, celui-ci doit toutefois veiller à être transparent[2] tout en respectant la vie privée des salariés[3]. Il doit également s’assurer de respecter le principe de minimisation des données[4].

Afin de mieux comprendre les données pouvant être transmises par l’entité au CSE, distinguons deux cas possibles suivants les missions du CSE.

Dans le cadre du dialogue social

Les membres du CSE ont pour missions de veiller à l’application des réglementations du travail dans l’entreprise et de promouvoir la santé et la sécurité sur le lieu de travail. Aussi, ils ont un intérêt légitime à obtenir communication des informations afférentes à ces sujets.

Néanmoins, et conformément au principe de minimisation, les données communiquées doivent être limitées à ce qui est nécessaire au regard de l’objectif poursuivi, et ne peuvent être réutilisées par le CSE pour une autre finalité.

Dans le cadre de la gestion des avantages culturels et sociaux

Lorsque l’entité comptabilise au moins cinquante salariés, le CSE peut proposer des avantages culturels et sociaux, tels que cantine, crèches, colonies de vacances, activités etc, afin d’améliorer les conditions de travail du personnel.

Pour la mise en œuvre de ces traitements de données personnelles pour lesquels le CSE est responsable de traitement, l’employeur doit communiquer des informations du salarié, sous réserve de l’accord préalable de celui-ci et que les données soient strictement nécessaires à l’objectif poursuivi. Par exemple, dans le cadre de l’aide au financement de la crèche, l’échelle de rémunération du salarié ne sera communiquée que si elle constitue un critère d’attribution de l’avantage.

Outre ces points et en conclusion, nous attirons votre attention sur le fait que quelle que soit la mission concernée, le CSE doit veiller à ne pas traiter des données préalablement collectées pour une finalité distincte (par exemple, les informations recueillies à des fins d’analyse des risques professionnels ne peuvent être traitées dans le cadre des avantages culturels et sociaux).

En cas de doutes, n’hésitez pas à nous contacter, nous nous ferons un plaisir de répondre à vos questions !

[1] Pour en savoir plus à ce sujet, contactez-nous !

[1] Art. 5 et 12 RGPD

[2] Art 9 Code civil

[3]Art 5 RGPD