« Le CSE doit respecter le RGPD » rappelle la Cnil dans une interview accordée aux cahiers Lamy du CSE. Lors de cette interview, Eric Delisle (Chef du service de l'emploi, des solidarités, du sport et de l'habitat de la Cnil) indique que « le CSE en tant qu'organisme traitant des données personnelles (puisqu'il dispose de données sur les personnes, sur leur environnement familial etc.), doit respecter le RGPD dans son intégralité. »

Pour cela le CSE doit veiller à observer 5 principes :
➢ Le principe de la finalité : « pourquoi le CSE a-t-il besoin de traiter ces données ? Quel but poursuit-il en collectant ces données ? En l'occurrence le CSE a besoin de ces données pour distribuer des prestations aux salariés. »
➢ Le principe de la pertinence et de la minimisation des données : « de quelles données a-t-il nécessairement besoin ? Par exemple, pour accorder certaines prestations, est-il nécessaire de connaître les nom/ prénom des enfants ou encore la date de naissance précise ? L'âge et le nombre d'enfants ne suffirait-il pas ? Le CSE doit se demander à chaque fois si la donnée dont il dispose suffit à réaliser l'objectif poursuivi. »
➢ Le principe de la limitation de la durée de conservation : « le CSE doit déterminer une durée pendant laquelle il va avoir besoin des données, et au-delà de laquelle les données seront anonymisées ou détruites. Le CSE est parfois obligé de garder certaines données pendant plusieurs années, non pas pour ses besoins propres, mais à des fins légales ou contentieuses : il va alors conserver ces données en « archivage intermédiaire » dans lequel l'accès est plus restreint et limité à certaines personnes en charge de ces questions juridiques. »
➢ Le principe de la sécurisation et de la confidentialité des données collectées : « certaines actions presque intuitives que les élus peuvent adopter vont permettre d'améliorer grandement la sécurité des données : fermer le bureau, verrouiller son ordinateur quand on s'absente, mettre en place des antivirus... »
➢ Le principe de transparence vis-à-vis des salariés : « le CSE doit être transparent à l'égard des salariés dont il collecte les données et doit donc les informer de ce qu'il fait. Les salariés disposent également d'un certain nombre de droits comme le droit de rectifier les données (par exemple un salarié qui a un deuxième enfant, ou qui change de nom peut le modifier), le droit d'accéder aux données (demander au CSE quelles sont les données dont il dispose) ou encore le droit d'opposition au traitement de ses données, ce que le CSE doit garantir. »

Afin de rassurer les salariés ne voulant pas communiquer leurs données personnelles, la CNIL rappelle que le meilleur moyen est précisément « de respecter ces principes et surtout de le leur montrer. Il doit ainsi veiller à les informer sur la finalité du recueil de données donc sur ce qu'il cherche à faire en collectant ces données, sur les données dont il a besoin et aussi leur rappeler que les données ne sont pas conservées indéfiniment. »

La non-conformité d'un CSE au RGPD pourra est passible de sanctions de la part de la CNIL allant d’un simple avertissement à une sanction financière qui peut correspondre à 4 % du chiffre d'affaire ou jusqu'à 20 millions d'euros. Cela peut aller aussi jusqu'à l'injonction de cesser le traitement. Mais la sanction prononcée tient toujours compte du contexte dans lequel le manquement a été commis.

Néanmoins, comme le rappelle Eric Delisle « avant les sanctions, il existe un certain nombre d'étapes. La Cnil peut d'abord mener des contrôles soit à la suite de plaintes répétées, soit suite à une actualité sortie dans la presse soit encore, en raison d'un programme annuel de contrôle. Puis, nous demandons une mise en conformité et si cela ne marche pas nous pouvons sanctionner. »

Pour rappel, la CNIL est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Elle a un rôle d'alerte, de conseil et d'information vers tous les publics mais dispose également d'un pouvoir de contrôle et de sanction.

« La Cnil préfère accompagner que sanctionner : l'objectif est celui de la mise en conformité de tous les acteurs. Dans cette démarche, nous répondons fréquemment aux questions des élus et les accompagnons. En cas de doute, le CSE peut aussi solliciter son délégué à la protection des données (DPO) s'il en a un, ou plus généralement celui de l'entreprise qui peut l'aider à répondre à ses questions. »