Quelles sont les données personnelles traitées par les CSE/CASI/COS ?

Ils traitent de nombreuses données personnellesToute donnée qui identifie directement ou indirectement une personne physique. Cette identification peut s’effectuer à partir d’une seule donnée ou à partir d’un croisement d’un ensemble de données. Ex1 :… des salariés et de leurs familles pour gérer les activités sociales et culturelles. Cela inclut notamment des noms, prénoms, adresses, numéros de téléphone, des informations plus sensibles comme les données bancaires ou des données de santé et bien sûr, de nombreux documents personnels. Ils traitent également les données des élus !

Quels CSE/CASI/COS sont soumis à l’obligation légale de se conformer à
la règlementation sur la protection des données (RGPD) ?

Les CSE d’entreprise de plus de 50 salariés et tous les CASI et COS.

Quelles sont les principales obligations RGPD à remplir pour un CSE/
CASI/COS ?

• Mettre en place une documentation juridique adéquate afin d’assurer un 1er niveau de conformité portant notamment sur :
  
  • L’information des personnes concernées et si besoin, leur consentementC’est l’accord de la Personne concernée donné de façon explicite au responsable de traitement sous une forme compréhensible et aisément accessible, et formulé en des termes clairs et simples. Pour… ;
  • La contractualisation des relations avec les prestataires du CSE ;
  • La conservation des données pendant une période limitée.

• Assurer la mise en œuvre effective des mesures de protection, de sécurité et de confidentialité des données traitées.

• Désigner, le cas échéant, un délégué à la protection des données (DPOLe Data Protection Officer (ou Délégué à la Protection des Données personnelles en français) est chargé de la conformité en matière de protection des Données personnelles au sein d’une entité…) et l’associer à toutes les questions relatives à la protection des données.

Quelles sont les précautions prendre pour les données sensibles traitées par les CSE/CASI/COS ?

Certains CSE/CASI/COS proposent des prestations particulières, notamment en cas de handicap.
Pour traiter des données liées à cette situation, les CSE doivent :

• Obtenir le consentement explicite des personnes concernées et être en mesure de le prouver ;
• Mettre en place des mesures de sécurité renforcées ;
• Limiter strictement l’accès à ces données ;
• Réaliser une analyse d’impact relative à la protection des données (AIPD) si nécessaire.

Comment gérer la collecte des pièces justificatives de manière conforme ?

• Limiter la collecte aux justificatifs strictement nécessaires ;
• Mettre en place des mesures de sécurité adaptées (chiffrementEst une méthode qui consiste à protéger ses documents en les rendant illisible à toute personne n’ayant pas accès à une clé dite de déchiffrement., accès restreint) ;
• Informer clairement les salariés sur l’utilisation de ces justificatifs ;
• Définir des durées de conservation limitées et les respecter ;
• Prévoir des procédures de suppression sécurisée des justificatifs.

Quelles précautions prendre lors du partage de données avec les prestataires des CSE/CASI/COS ?

Le CSE/CASI/COS doit qualifier juridiquement tous ses destinataires externes (CSEC, prestataires de loisirs, fournisseurs de logiciels, sites Internet, plateforme de billetterie, etc.) car ses obligations varient selon le type de destinataires (destinataireC’est une personne habilitée au titre de sa mission ou de ses fonctions à accéder aux données personnelles, et ce dans la stricte limite de ses attributions respectives et de… sous-traitantC’est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement sur ses instructions documentées et conformément au contrat conclu avec… ou non sous-traitant, tiers autorisé…).

En fonction de la qualification réelle, des actes juridiques devront être mis en place comme la conclusion d’avenants sous-traitant RGPD obligatoires ou un simple engagement de confidentialité.

Quels sont les risques en cas de non-conformité au RGPD ?

Les CSE/CASI/COS s’exposent à plusieurs types de risques :

• Sanctions administratives par la CNIL pouvant aller de 10 à 20 millions d’euros selon le contexte et la gravité de l’infraction ;
• Risque pénal prévu par les articles 226-16 et suivants du Code pénal : 300 00 euros d’amende, 5 ans d’emprisonnement ;
• Responsabilité civile ;
• Actions en justice potentielles de la part des syndicats ou de l’entreprise !

Qui porte cette responsabilité réglementaire et pénale ?

• Le secrétaire du CSE ;
• Le trésorier ;
• Le président du CASI/COS.

Est-ce qu’un CSE a déjà été condamné pour non-conformité au RGPD ?

Oui. Par décision du 27 décembre 2023, la CNIL a condamné un CSE à une amende de 10 000 € pour manquements à ses obligations de conformité RGPD et avec l’obligation d’y remédier.

Un syndicat peut-il contester la conformité RGPD d’un CSE ?

Oui, la jurisprudence a confirmé que les syndicats peuvent soulever l’absence de conformité du CSE au RGPD dès lors que des atteintes aux données des salariés sont présumées !

Qui est responsable en cas de faille de sécurité sur ma plateforme/site Internet ?

Cela dépend. Soit le CSE/CASI/COS seul, soit l’éditeur de la plateforme/site Internet ou les deux.

Comment le CSE/CASI/COS peut-il démontrer sa conformité en cas de contrôle ?

Le CSE doit pouvoir présenter :

• Son registre des activités de traitement à jour ;
• La documentation des mesures techniques et organisationnelles mises en place ;
• La preuve de l’information des personnes concernées ;
• Les contrats avec les sous-traitants incluant les clauses RGPD ;
• Les procédures de gestion des droits des personnes et des violations de données ;
• Les preuves de la formation des élus du CSE à la conformité RGPD.

Quelle solution efficace, fiable et pérenne ?

MyDataPartner est une plateforme en ligne qui propose de simplifier la conformité RGPD avec des documents préremplis, prêts à l’emploi, spécifiquement adaptés aux CSE. Les packs de conformité RGPD & CSE offrent la possibilité de choisir son niveau d’assistance par les avocats experts. Avant toute mise en conformité, nous recommandons le Diagnostic/Feuille de route RGPD qui permettra aux CSE d’avoir une première vision de leur conformité et des actions à mettre en place.