Le Comité Social et Économique (CSE) est une pierre angulaire du dialogue social en entreprise. Chargé de défendre les intérêts des salariés et de gérer les activités sociales et culturelles, il joue également un rôle clé dans l’amélioration des conditions de travail et la sécurité des employés. Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), le CSE, quelle que soit sa taille, doit intégrer une dimension essentielle à savoir : la gestion des données personnelles.
En effet, dans le cadre de ses nombreuses missions, le CSE est amené à collecter une large gamme de données personnelles, dont certaines peuvent être particulièrement sensibles. Qu’il s’agisse des informations liées aux dispositifs d’alerte, aux signalements de harcèlement, ou à la gestion des prestations sociales et culturelles, le CSE peut être amené à manipuler des données très confidentielles. Ces informations peuvent inclure des opinions politiques, des affiliations syndicales, des données de santé ou des éléments relatifs à la vie privée des salariés. Dès lors, la mise en conformité avec le RGPD n'est pas seulement un impératif juridique, mais également un levier pour assurer la transparence et la sécurisation des traitements tout en préservant la confiance des salariés.
Bien que le RGPD s’applique directement au CSE, le déploiement du dispositif de conformité relatif aux données personnelles varie en fonction de son statut juridique. En effet, si le CSE est une entité propre (dans les entreprises de plus de 50 salariés), il devra mettre en place un dispositif RGPD autonome, indépendant de l’entreprise. A contrario, si le CSE est un département intégré à l’entreprise (dans les entreprises de moins de 50 salariés), c’est cette dernière qui supporte le dispositif RGPD et coordonne la gestion des données personnelles. Cette différence soulève des enjeux et des moyens différents quant à la mise en conformité du CSE.
En premier lieu, la nomination d’un Délégué à la Protection des Données doit être envisagée en fonction du statut juridique du CSE. Si le CSE est une entité propre, il devra nommer un DPO le représentant En revanche, s’il est un département de l’entreprise, le CSE pourra mutualiser cette fonction avec celle de l’entreprise. Dans ce cas, une étude relative aux conflits d’intérêts doit être menée afin d’éviter toute problématique sur l’utilisation des données personnelles.
En second lieu, les éléments attestant de la conformité au RGPD vont eux aussi varier. Pour un CSE, en tant qu’entité propre, il sera nécessaire de mettre en place un registre des traitements, ainsi que des mécanismes et mesures opérationnelles pour répondre aux demandes d’exercice de droits, aux violations de données personnelles, à l’information des personnes, etc. La mise en œuvre de ces mesures incombe au CSE. Pour un CSE, département d’une entreprise, ces mesures pourront être mutualisées avec le dispositif de conformité de l’entreprise, dans la limite du respect des obligations de confidentialité des missions d’un CSE.
Enfin et en dernier lieu, lorsqu’un CSE traite des données personnelles des salariés, il est impératif d’assurer la conformité au RGPD, que la collecte soit directe ou indirecte. Pour un CSE département d’entreprise, la conformité de la collecte sera généralement organisée par le DPO de l’entreprise. En revanche, pour un CSE entité propre, la collecte, notamment lors des échanges entre l’entreprise et le CSE (la fourniture des listes de salariés par exemple), doit être encadrée par un accord de partage de données afin de rendre licite l’utilisation des données par le CSE.
