FR EN

L'actualité sur les technologies avancées

12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
08.11.2024 23:18

Soutenez Altij & Oratio avocats au Palmarès du Droit

Notre cabinet participe au "Palmarès du Droit – Toulouse 2024" et nous avons besoin de vous !


Cat: Corporate, M&A et restructuring, Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
voir les archives ->
< Les publications Facebook entre amis sous le radar de l’employeur !
27.10.2020 11:24 Il y a: 4 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social
Auteur : Les avocats du pôle data et social

CSE, attention : le RGPD vous concerne aussi

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) encadre, sur le territoire de l’Union européenne, le traitement des données personnelles c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable (de manière directe ou indirecte) . Le traitement est défini de façon très large de sorte que la simple collecte et la conservation, même non automatisées, d'informations entraînent l'application des obligations imposées par le RGPD.


  •   Qu’est-ce que le RGPD

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD)1 encadre, sur le territoire de l’Union européenne2, le traitement des données personnelles c’est-à-dire touteinformation se rapportant à une personne physique identifiée ou identifiable (de manière directe ou indirecte)3 . Le traitement est défini de façon très large de sorte que la simple collecte et la conservation, même non automatisées, d'informations entraînent l'application des obligations imposées par le RGPD.

  • Pourquoi le CSE ? 

Les CSE n’échappent donc pas aux obligations prévues par le règlement. En effet, ils sont amenés à traiter des données personnelles collectées dans le cadre de la gestion des activités sociales et culturelles (ASC), le cas échéant de l'administration du personnel qu'ils emploient, voire dans celui d'enquêtes qu'ils peuvent être amenés à décider en matière de santé et de sécurité : état civil des salariés et de leurs familles, situation matrimoniale, quotient familial, adresse, numéro de téléphone, adresse électronique, niveaux de revenus, identifiants de connexion, photographies, coordonnées bancaires, données de santé, historique des prestation accordées, numéro de sécurité sociale lorsque le CSE est employeur… 

Dès lors, les CSE, quelle que soit leur taille, doivent veiller à être en conformité avec les dispositions du RGPD. En outre, la mise en conformité nécessite parfois lanomination d’un DPO

  • Les obligations des CSE en matière de données personnelles

    • Les CSE doivent respecter plusieurs principes énoncés par le RGPD

      • Les principes de loyauté, licéité et transparence. Cela implique une information complète des salariés sur les traitements réalisés et sur leurs droits.

      • La définition de finalités déterminés, explicites et légitimes de manière à ce que les données traitées ne puissent pas être utilisées à une autre fin que celle pour laquelle elles ont été collectées.

      • Le principe de minimisation des données qui signifie que les données doivent être adéquates, pertinentes et strictement limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

      • Le principe d’exactitude qui implique une mise à jour régulière des données.

      • Le principe de limitation de la conservation selon lequel la durée de conservation ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles les données sont traitées.

      • Les principes d’intégrité et de confidentialité appelant la mise en place de mesures techniques et organisationnelles de sécurité des données4.

      • Le recueil du consentement des salariés au traitement de leurs données5.

      • La réalisation d’une documentation comprenant un registre des activités de traitement, un document sur les procédures de gestion des droits, l’insertion de clauses dans les contrats avec les sous-traitants6

    • En cas d’inobservation de ces principes, les CSE s’exposent à plusieurs types de sanctions : 

      • des sanctions administratives allant du simple avertissement à une amende de 20 millions d’euros7 ;
      • des sanctions civiles prenant la forme de dommages-intérêts versés à la personne ayant subi un préjudice8 ;
      • des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende9.

Pour se prémunir des risques que représentent de telles sanctions, pour renforcer la confiance des salariés en leurs représentants dans l’entreprise mais aussi pour s’assurer la crédibilité du CSE à l’égard des tiers, les CSE doivent veiller au respect des dispositions du RGPD.  Pour ce faire, ils doivent mettre en place une procédure de mise en conformité. 

  • La procédure de mise en conformité

La mise en conformité avec les dispositions du RGPD suppose, pour les CSE, de mettre en place une procédure complexe permettant de saisir l’ensemble des obligations en matière de données personnelles. Cette procédure peut se décomposer en plusieurs étapes comme suit : 

  • Une phase de sensibilisation des membres du CSE et le cas échéant de ses salariés et de désignation d’un responsable de traitement ;
  • Une phase d’audit, de rédaction du registre des activités de traitement et d’élaboration d’un plan d’action ;
  • Une phase de documentation juridique interne (à l’égard des salariés du CSE) et externe (à l’égard des salariés bénéficiaires et des sous-traitants) ;
  • Une phase de détermination des mesures techniques (chiffrement, anonymisation, pseudonymisation, privacy by design)
  • Une phase de gestion des demandes d’exercice de droits notamment le droit d’accès des salariés à leurs données personnelles

 

  • La désignation d’un DPO

    • DPO : qui est-ce ? 

Le DPO (« Data protection officer ») est un nouvel acteur qui a vu le jour avec le RGPD. Véritable chef d’orchestre, distinct du Responsable de traitement, le DPO s’assure de la mise en œuvre de démarches de conformité et du respect des obligations et principes du RGPD. Il est l’interlocuteur de la CNIL et des personnes dont les données sont traitées. 

  • Quand le DPO est-il obligatoire dans les CSE ? 

Bien que son rôle soit capital, sa nomination n’est obligatoire que lorsque « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations detraitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées », ou lorsque « les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 [dont l'appartenance syndicale, les données concernant la santé, l'orientation sexuelle....] et de données à caractère personnel relatives à des condamnations pénales et à des infractions10».

Les CSE doivent donc désigner un DPO lorsqu’ils réalisent un traitement « à grande échelle ». Le RGPD ne précisant pas cette notion, il faut pour l’apprécier, regarder : 

  • le nombre de salariés bénéficiaires ;
  • le volume de données traitées ;
  • la durée de l’activité de traitement ;
  • et dans une moindre mesure la répartition géographique du traitement11.

Or, cette appréciation in concreto laisse beaucoup de place à l’insécurité juridique. Dès lors et particulièrement lorsque le CSE gère des activités sociales et culturelles (ASC) et dispose d’une commission santé, sécurité et conditions de travail (CSSCT), la désignation d’un DPO est fortement conseillée.

  • Mode de désignation du DPO dans les CSE

Le DPO est désigné sur délibération du CSE. Ce dernier doit vérifier son niveau de compétence en fonction notamment de « ses connaissances spécialisées du droit et des pratiques en matière de protection des données »12, son indépendance et l’absence de conflit d’intérêt entre les missions du DPO et d’autres missions qui lui seraient confiées13

Au regard de cette dernière observation, si la désignation d’un DPO en interne est possible, l’externalisation de la fonction présente plusieurs avantages, notamment en termes de garantie d’indépendance. 

En tout état de cause, bien plus qu’une obligation, la désignation d’un DPO dans les CSE est source de bonne gouvernance, de confiance et de sécurité. 

CSE, nous vous encourageons vivement à entreprendre votre mise en conformité avec le RGPD avec l’aide d’un DPO !

Les avocats du cabinet Altij vous accompagnent dans cette démarche et vous proposent pour ce faire plusieurs offres et formations. Pour plus d’informations, se référer au catalogue d’offres ou nous contacter.

 

 Le règlement général sur la protection des données (RGPD), 23 mai 2018

 Est soumise au RGPD toute organisation, publique ou privée, qui traite des données à caractère personnel pour son compte ou non, lorsqu’elle est établie sur le territoire de l’Union européenne et/ou que son activité concerne directement des résidents européens.

1Le règlement général sur la protection des données (RGPD), 23 mai 2018

2Est soumise au RGPD toute organisation, publique ou privée, qui traite des données à caractère personnel pour son compte ou non, lorsqu’elle est établie sur le territoire de l’Union européenne et/ou que son activité concerne directement des résidents européens. 

3Art. 4, RGPD

4Art. 5, RGPD

5Art. 7 et ss., RGPD

6Art. 30, chapitre III, art. 28, RGPD…

7Art. 58 et 83, RGPD

8Art. 1240 C. civ.

9Art. 226-16 C. pén.

10Art. 37, RGPD

11PROBST Audrey, Les Cahiers du DRH, Nº 273-274, 1er mars 2020

12Art. 37.5, RGPD

13Art. 37.6, RGPD