Depuis 2019, le Règlement Général sur la Protection des Données (RGPD) s'impose aux CSE pour lesquels  la gestion des ASC sous-entend le traitement de nombreuses données personnelles, dont certaines sont sensibles. Dans les faits, très rares sont les CSE à être en conformité mais les directions mettent de plus en plus la pression. Retour sur le direct du 28 septembre organisé par Miroir Social, sur une impulsion du Groupe 3E

En théorie, tous les CSE qui traitent des données personnelles, à fortiori sensibles, doivent tenir un registre des activités de traitement. Des données qui concernent les salariés bénéficiaires des activités sociales et culturelles (avis d'imposition, passeport,...) mais aussi les élus qui vont devoir fournir par exemple leur carte grise pour justifier du remboursement de leur déplacement...
 

"Ce registre est l'outil qui permet de montrer que le CSE respecte les exigences issues du RGPD. L'atelier pratique que nous intégrons dans toute nos formations RGPD permet de commencer à alimenter ce registre", explique Keshia Afari, juriste au sein du groupe 3E qui souligne que si la sensibilisation aux exigences de la RGBD concerne tous les élus, le CSE doit désigner un pilote interne, mettre en place une commission RGPD ou désigner un DPO (délégué à la protection des données), soit en interne ou soit en contractualisant pour une intervention externe. 
 

Directions, CSE : chacun peut se demander des comptes

Le CSE doit assurer la sécurité des données personnelles dont il dispose, sous peine de sanctions pénales, civiles ou administratives avec la CNIL. Et c'est le secrétaire du CSE qui se trouve en première ligne en tant que responsable de traitement... Des risques de sanctions qui ne font pas bien peur aux élus des CSE. La pression vient plus des directions. "Nous nous rendons compte que peu de CSE se sont approprié ce sujet technique qui ne paraît pas prioritaire au regard du temps limité dont disposent les élus. C'est une responsabilité de plus avec des moyens qui sont à la baisse depuis les ordonnances Macron. Pour autant, les Directions commencent tout doucement à aborder ce sujet et à demander aux élus de rendre des comptes. Si le CSE n'est pas en mesure d'afficher sa conformité, une direction transmettant par exemple des informations sur le personnel pour faciliter les attributions, alors que rien ne l'y oblige, peut menacer de ne plus le faire. Cela rendra tout de suite l'action du CSE plus compliquée", souligne Nathalie Christophe, consultante du Groupe 3E spécialisée dans l’expertise des comptes des CSE. Elle précise  que le CSE est aussi en droit de demander des comptes à la direction sur l'application de la RGPD en matière de gestion des ressources humaines. 

Des directions qui ne peuvent, par ailleurs, pas "se cacher derrière le RGPD pour refuser au CSE l'accès au Registre Unique du Personnel (article L1221-1; D 1221-13 du CT) dans le cadre de l’information consultation sur la Politique Sociale de l’Entreprise car, dans ce cadre, les élus sont tenus à une stricte obligation de confidentialité", ajoute Nathalie Christophe.

Principe de minimisation

Chez l'équipementier automobile AML Systems (groupe Johnson Electric) qui emploie 240 salariés sur l'usine Hirson (Aisne), le CSE n'est pas encore en conformité. La formation de tous les élus était prévue en 2023 mais il a été finalement jugé plus prioritaire de se former à la nouvelle classification de la métallurgie. C'est donc en 2024 que les élus vont se former au RGPD. 

Un CSE qui applique pour autant le principe de base du RGPD qui consiste à ne pas recueillir plus de données que nécessaire selon les principes de minimisation et de proportionnalité. "Nous attribuons par exemple des chèques vacances en fonction du coefficient familial mais sans demander les avis d'imposition. Il appartient aux salariés de se positionner sur les 3 tranches de financement par une simple auto-déclaration", déclare Cyril Bourgeois, le trésorier du CSE d'AML Systems à Hirson, qui s’interroge sur le fait que la direction refuse depuis un an de transmettre les adresses postales des salariés en arrêt de longue durée afin que les élus puissent leur adresser les coffrets cadeaux du CSE. 

Sur le site R&D de l'entreprise, où un CSE distinct est en place, les élus demandent les bulletins de salaire en guise de justificatif. Or, la direction s'est intéressée à la conformité RGPD de l'instance et par le plus grand des hasards, ce CSE n'a pas été mesure de distribuer des bons cadeaux aux enfants…

Chez M Tag, la société de transport de Grenoble, la direction adresse les informations utiles au CSE qui gère 1500 ouvrants droit. Notamment la situation familiale des nouveaux entrants.  En direct, le CSE ne demande rien. "C'est la situation familiale qui détermine le niveau des  subventions et pas le salaire. Nous n'avons pas besoin des avis d'imposition", explique Fernando Martins, le secrétaire du CSE et secrétaire fédéral FO Transports qui rapporte que le sujet RGPD est loin d'être la priorité de ses collègues élus dans les autres CSE des régies de transports publics. 

Pour autant, c'est la direction de M Tag qui va mener le diagnostic et l'audit qui va permettre au CSE de se mettre en conformité. Cela se fera après les élections professionnelles qui se dérouleront en novembre. Une condition pour continuer à adresser des informations sur les ayants droit au CSE.

Un CSE en conformité

L'un des CSE de Solystic, une entreprise industrielle spécialisée dans les systèmes d’automatisation de tri du courrier et des colis (250 salariés) est lui en conformité avec le RGPD. C'est celui du site de Bagneux qui emploie 60 salariés. L'instance a profité des compétences d'une élue CFE-CGC qui avait préalablement suivi une formation d'un an pour être DPO. "J'ai pris l'initiative de me former pour étoffer mes compétences professionnelles en ingénierie des données. C'était avant d'être élue", explique Florence Quilleret, élue et désormais DPO du CSE de Solystic Bagneux où le principe de minimisation s’applique à la lettre. Les salariés sont ainsi invités à amener leur avis d'imposition pour justifier de la tranche de subvention dont ils vont bénéficier mais ils repartent avec..."J'ai pris en main la structuration et l'alimentation du registre des activités de traitement mais l'approche doit être collective. C'est pour cela que j'ai formé l'ensemble des élus pendant deux heures aux grands principes du RGPD", précise Florence Quilleret qui a proposé son assistance aux autres CSE de l'entreprise. Ceux-ci se sont déclarés très intéressés mais n'ont en revanche pas encore trouvé le temps pour se mettre en marche…

Et Nathalie Christophe de préciser que le RGPD s'applique aussi aux syndicats : "demander, par exemple, un bulletin de paie pour calculer le montant de la cotisation syndicale est disproportionné ; une attestation sur l’honneur suffit".