Le CSE, acteur de la cybersécurité et de la protection des données des salariés
Le Règlement Général sur la Protection des Données (ou RGPD) a été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 27 États membres de l’Union européenne à compter du 25 mai 2018. Ainsi, toute structure, entreprise ou organisation a dû s’y conformer, n’épargnant pas le Comité Social et Économique.
En quoi consiste l’obligation de se conformer au « RGPD » ?
Ce règlement vient mettre en place un ensemble de règles :
- pour protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel, et
- réglementer la libre circulation de ces données.
Cinq piliers fondent cette réglementation :
- La finalité de la conservation des données ;
- La proportionnalité et la pertinence des données collectées ;
- Le temps de conservation des informations récoltées ;
- La sécurité et l’accès à ces informations ;
- Le droit pour les personnes, dont les informations ont été collectées, d’accéder modifier et supprimer les données.
Pourquoi le CSE est-il concerné ?
Dans le cadre de ses activités sociales et culturelles, comme par exemple les chèques-cadeaux, ou dans son fonctionnement, en recrutant un ou plusieurs salariés, par exemple, le CSE va recueillir des données sensibles sur les salariés et leurs familles (nom, date de naissance, numéro de sécurité sociale, déclaration d’imposition etc.). Ces données doivent donc être protégées et demeurer confidentielles, c’est-à-dire en accès limité. Ainsi, les élus doivent être vigilants sur les données personnelles gérées pour se mettre en conformité avec le RGPD. Cela pourra induire notamment des modifications du règlement intérieur.
Les élus ne doivent pas hésiter à se faire accompagner d’un conseil ou d’un organisme de formation, afin de ne pas oublier une des étapes essentielles dans cette démarche RGPD. En cas de non-conformité à la réglementation, les sanctions peuvent être lourdes de conséquences, allant de la simple mise en demeure de se mettre en conformité à une amende de 20M€ !
Comment sécuriser les données ?
Dans les procédures obligatoires, le CSE devrait notamment :
- Instaurer un registre des traitements de données ;
- Vérifier que le consentement des personnes a été recueilli au préalable de l’opération et que ce dernier reste traçable ;
- S’assurer que les données utilisées pour une finalité ne soient pas réutilisées à d’autres fins ;
- Vérifier que les éventuels sous-traitants présentent des garanties suffisantes ;
- Désigner un responsable au sein de CSE : le Délégué à la Protection des Données ;
- Sécuriser les données en évitant tout risque de vol ou de piratage.
Ainsi, devant cette procédure complexe, les membres du CSE doivent se former pour éviter tous risques de sanctions.
Les autres obligations du CSE portant sur la cybersécurité
Au-delà de son rôle de garant de la protection des données au sein même du CSE, ses membres sont également consultés sur la surveillance des salariés mise en place par l’employeur. En effet, si l’employeur peut légitimement contrôler l’activité de son personnel, les moyens mis en œuvre doivent être justifiés, proportionnés et faire l’objet d’une consultation préalable du CSE. Ces règles sont obligatoires et mises en place pour garantir la protection des salariés.
Dans cette consultation, le CSE devra vérifier que l’employeur a une finalité légitime, comme la garantie de sécurité des biens et des personnes ou les horaires d’entrées et de sorties des salariés. Si les membres du CSE doutent des nouveaux moyens de surveillance mis en œuvre par leur employeur, la formation et l’accompagnement par un expert peut les aider à éclaircir la situation.
N’hésitez pas à vous faire accompagner, nous sommes là pour vous !