Le CSE est-il concerné par la gestion des données personnelles dans le cadre de ses activités ?
Dans le cadre de sa mission, notamment en matière d’activités sociales et culturelles, le CSE est amené à collecter nombres d’informations individuelles sur les salariés et leur famille.
À ce titre, il est soumis comme n’importe quel responsable de données personnelles au Règlement n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016 communément appelé « RGPD ».
Le CSE répond en effet à la définition du « responsable de traitement » : Il s’agit de la personne physique ou morale, (…) qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données personnelles.
Il doit, à ce titre, s’assurer du respect d’un certain nombre d’obligations :
- Garantir la sécurité et la confidentialité des données
- S’assurer de la conformité du traitement des données
- Informer les salariés, obtenir un accord et garantir leurs droits
Le droit européen impose désormais une longue liste d’informations à fournir aux personnes dont les données personnelles sont collectées. Ces informations doivent être données aux salariés au moment où ils fournissent des données personnelles, dans le cas où ces dernières sont collectées directement auprès d’eux.
-
Le salarié doit avoir connaissance des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des destinataires des données et des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition.
-
Tout salarié ou ancien salarié justifiant de son identité doit pouvoir demander au responsable du traitement des données l’accès à toutes les données personnelles ayant été collectées, les finalités du traitement des données, les destinataires de ces données, leur durée de conservation, etc.
Ce délai d’accès à sa demande est dorénavant fixé à un mois. -
Les salariés ont le droit d’obtenir du CSE dans les meilleurs délais, la rectification des données personnelles inexactes les concernant.
La personne concernée par le traitement de données personnelles peut s’opposer à ce traitement à tout moment, notamment s’il conteste la légitimité des motifs poursuivis par le responsable de traitement.