Main Menu
RGPD et CSE : est-ce qu’un syndicat peut soulever des manquements du CSE au RGPD devant les juridictions ?
C’est ce que nous confirme un arrêt rendu par la Cour d’appel de Paris le 14 mars 2024.
En l’espèce, un syndicat soulevait des violations du RGPD par un CSE ayant adopté le principe de remise de chèques-vacances avec participation des salariés sur la base de la production des bulletins de salaires.
La Cour d’appel a considéré que la collecte des bulletins de salaire par un CSE est conforme au RGPD si :
- Elle est proportionnée et pertinente au regard de la finalitéC’est l’objectif principal que poursuit un traitement de données. La finalité doit être déterminée, explicite et légitime préalablement à l’utilisation des données. Cet objectif doit être respecté, il n’est pas… (en l’espèce, pour l’application des barèmes d’attribution des chèques-vacances) ;
- la confidentialité des données est assurée (en l’espèce, utilisation de l’enveloppe confidentielle pour la remise du bulletin) ;
- la durée de conservation des données est définie (en l’espèce, suppression immédiate après vérification par le CSE) ;
- les personnes concernées ont été dument informées (en l’espèce, remise d’une note explicative annexe aux salariés).
Cet arrêt nous apprend également que le syndicat a un intérêt à agir lorsque des troubles au sein d’un CSE sont constatés et peut soulever l’absence de conformité du CSE au RGPD lorsque des atteintes aux données sont présumées.
La non-conformité au RGPD entraine un risque de condamnation du CSE ou encore un risque réputationnel, tant en cas de contrôle par la CNIL, qu’en cas d’action en justice par un syndicat ou des salariés.
Le CSE, en tant que responsable de traitementC’est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique…, doit être vigilant sur sa conformité RGPD notamment lorsque ses actions impliquent le traitement des données personnellesToute donnée qui identifie directement ou indirectement une personne physique. Cette identification peut s’effectuer à partir d’une seule donnée ou à partir d’un croisement d’un ensemble de données. Ex1 :… des salariés.
Conseil : Nous vous conseillons de questionner chacun des traitements effectués auprès des salariés, tant pour construire une relation de confiance avec les salariés que pour éviter tout risques d’actions en justice et de sanctions.
MyDataPartner est une plateforme qui propose l’accompagnement des CSE/CASI pour la protection des données des salariés (Pack conformité RGPD & CSE).
Pour en savoir plus : www.mydatapartner.com