Participatif
ACCÈS PUBLIC
12 / 01 / 2022 | 88 vues
Sylvie MANNESSIER / Membre
Articles : 10
Inscrit(e) le 15 / 05 / 2021

Obligations des CSE au règlement européen (RGPD) : la tenue des registres

Le règlement européen pour la protection des données à caractère personnel (RGPD) offre une boîte à outils diversifiée pour permettre aux CSE de gérer leur conformité d’une façon dynamique et de démontrer qu’ils respectent la règlementation, notamment :

  1. le registre des traitements,
  2. les mentions légales d'information,
  3. l’analyse des conséquences sur la protection des données,
  4. l’encadrement des transferts en dehors de l’UE (par exemple, les voyages organisés par le CSE).

 

La tenue des registres

 

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. C’est un document de recensement et d’analyse qui doit refléter la réalité des traitements de données personnelles collectées par le CSE et précisément permettre d’identifier :

  • les parties prenantes (représentant, sous-traitants, co-responsables etc.) qui interviennent dans le traitement des données ;
  • les catégories de données traitées, (par exemple, les données syndicales qui font parties des données sensibles) ;
  • à quoi servent ces données (ce que vous en faites) ;
  • qui accède aux données (secrétaire du CSE, membres du bureau et sous-traitants) ;
  • à qui elles sont communiquées ;
  • combien de temps vous les conservez ;
  • comment elles sont sécurisées.

 

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions.

  • Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?
  • Est-il pertinent de conserver toutes les données aussi longtemps ?
  • Les données sont-elles suffisamment protégées ?

 

L’obligation de tenir un registre des traitements concerne tous les organismes (publics et privés, quelle que soit leur taille), dès lors qu’ils traitent des données personnellesChaque CSE est un responsable de traitement qui doit posséder son registre.  Ce registre doit pouvoir être communiqué à la CNIL lorsque celle-ci le demande. Elle pourra notamment l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

 

Exemple de pénalité prononcée par la CNIL le 30 décembre 2021 : montant de l’amende : 120.000 €
 

Manquements constatés :

  • durée de conservation excessive,
  • défaut d'information des gens,
  • non-respect des demandes d'effacement,
  • obligation d’encadrer les relations avec les sous-traitants,
  • et défaut de sécurité des données.

 

Point important
 

La non-conformité du CSE au RGPD pourra être passible de sanctions de la part de la CNIL allant d’un simple rappel à l’ordre à une amende administrative pouvant s’élever à 4 % de son budget annuel de fonctionnement. Chaque CSE a la possibilité de se conformer seul ou par l’intermédiaire d'un professionnel qualifié en protection des données personnelles, pour précisément identifier les actions à mettre en place, gérer la mise en conformité en mode projet et assurer le suivi dans le temps.

Afficher les commentaires