Le règlement européen (RGPD) s’applique aux traitements de données à caractère personnel effectués dans le cadre des activités d’un CSE, comme pour tout organisme établi sur le territoire de l'Union européenne, que le traitement ait lieu dans l'Union ou non.

Ce traitement peut être lié à une offre de biens ou de services, qu'un paiement soit exigé ou non.

Pour répondre aux obligations légales (ASC-BDES) et/ou optionnelles, le CSE collecte différents types de données personnelles qui lui sont nécessaires pour assurer sa gestion et proposer différents services aux salariés adhérents.

Bien gérées et sécurisées, les données personnelles permettent de :

1. renforcer la confiance des salariés et adhérents du CSE ;
2. améliorer la gestion du CSE en efficacité et gain de temps ;
3. améliorer la sécurité des données personnelles recueillies ;
4. rassurer les salariés partenaires et développer de nouveaux services ;
5. maîtriser la relation avec les sous-traitants (site web et autres partenaires).

Pour ce faire, certaines règles s’imposent. Les données à caractère personnel doivent être :

• traitées de manière licite, loyale et transparente ;
• recueillies pour des finalités déterminées, explicites et légitimes, et ne pas être ultérieurement traitée de manière incompatible avec ces finalités ; 
• adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ; 
• exactes et, si nécessaire, tenues à jour ;
• conservées sous une forme permettant l'identification des gens concernés pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
• traitées de façon à garantir une sécurité appropriée, notamment les protéger contre le traitement non autorisé ou illicite contre la perte, la destruction ou les dégâts d'origine accidentelle.

Pour assurer les obligations du RGPD, le CSE doit notamment :

i) cartographier l’ensemble des données recueillies ;
ii) tenir des registres de traitement en précisant ; la finalité, les catégories de données utilisées, les destinataires internes ou externes du CSE, la durée de conservation de ces données (…) ;

iii) Informer les gens concernes sur la finalité des traitements, leurs droits (accès aux informations les concernant, rectification de leurs données personnelles et suppression de leur profil) et les recours possibles ;

iv) sécuriser les données, avec mise à jour des antivirus et logiciels, mots de passe complexes, chiffrement des données si nécessaire ;

v) s’assurer que les sous-traitants présentent des garanties suffisantes pour que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ;

vi) procéder à des analyses d’impact, selon les situations ;

vii) notifier l'autorité de contrôle d'une violation de données à caractère personnel ;

viii) communiquer à la personne concernée les violations de données à caractère personnel dont elle pourrait être victime.

Lorsque des manquements sont portés à sa connaissance, à l'issue de contrôle ou de plaintes, la CNIL pourra prononcer :

- des sanctions allant du rappel à l’ordre avec injonction de se mettre en conformité, y compris sous astreinte ;

- une amende administrative tenant compte :

• de la nature ou de la gravité du manquement,
• du nombre de personnes concernées par le fichier,
• du fait que la violation a été commise délibérément ou par simple négligence,
• des catégories de données concernées,
• de la taille et de la situation financière de l'organisme dans la mesure où le montant de l'amende doit être proportionné. 

Chaque CSE a la possibilité de se mettre en conformité seul ou par l’intermédiaire de professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place, gérer la mise en conformité en mode « projet » et assurer le suivi dans le temps.

Source  >  CNIL https://www.cnil.fr/fr/.