RGPD et CSE : les obligations du comité en matière de données personnelles
Vous êtes élu au comité social et économique et vous gérez des chèques-vacances, des listes de bénéficiaires d’activités sociales, des inscriptions à des sorties, parfois des données de santé. À chaque fois, vous traitez des données personnelles de salariés. Le règlement général sur la protection des données, applicable depuis le 25 mai 2018, ne concerne pas que l’employeur : il s’applique aussi au CSE.Beaucoup de comités l’ignorent encore, alors que l’enjeu est double. D’une part, le CSE est lui-même détenteur de données et doit s’y conformer. D’autre part, il a un rôle à jouer dans le contrôle du respect du RGPD par l’entreprise, pour le compte des salariés. À l’inverse, l’employeur tente parfois d’opposer le RGPD au comité pour refuser de lui transmettre des informations. Ce guide fait le tour des obligations du CSE en matière de données personnelles, de sa feuille de route de mise en conformité et de la façon d’articuler protection des données et droit à l’information du comité.

Par Maître Arnaud Sirven, Avocat en droit social Mis à jour le 4 juillet 2026
À retenir Le CSE est un responsable de traitement à part entière. Dès qu’il gère des données personnelles de salariés, en particulier dans le cadre des activités sociales et culturelles, il doit respecter le RGPD au même titre que l’employeur : finalité, proportionnalité, durée de conservation limitée, sécurité et confidentialité, respect des droits des salariés. Le comité a une double casquette : se mettre en conformité comme détenteur de données, et veiller à ce que l’employeur respecte lui-même le règlement. Enfin, l’employeur ne peut pas, en principe, refuser de transmettre au comité des données personnelles nécessaires à l’exercice de ses attributions en se retranchant derrière le RGPD. Ce guide détaille les obligations du CSE et sa feuille de route de conformité.
Vous êtes élu au comité social et économique et vous gérez des chèques-vacances, des listes de bénéficiaires d’activités sociales, des inscriptions à des sorties, parfois des données de santé. À chaque fois, vous traitez des données personnelles de salariés. Le règlement général sur la protection des données, applicable depuis le 25 mai 2018, ne concerne pas que l’employeur : il s’applique aussi au CSE.
Beaucoup de comités l’ignorent encore, alors que l’enjeu est double. D’une part, le CSE est lui-même détenteur de données et doit s’y conformer. D’autre part, il a un rôle à jouer dans le contrôle du respect du RGPD par l’entreprise, pour le compte des salariés. À l’inverse, l’employeur tente parfois d’opposer le RGPD au comité pour refuser de lui transmettre des informations. Ce guide fait le tour des obligations du CSE en matière de données personnelles, de sa feuille de route de mise en conformité et de la façon d’articuler protection des données et droit à l’information du comité.
Le CSE est un responsable de traitement à part entière
Le comité social et économique est un responsable de traitement au sens du RGPD. Dès lors qu’il détermine les finalités et les moyens d’un traitement de données personnelles, il en assume la responsabilité, exactement comme l’employeur pour ses propres traitements. Cette qualité découle de l’article 4 du RGPD, qui définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable, et le responsable de traitement comme celui qui détermine les finalités et les moyens du traitement.
Or le CSE traite de nombreuses données. La gestion des activités sociales et culturelles suppose de collecter des noms, des coordonnées, des situations familiales, parfois des justificatifs de ressources. La tenue des listes électorales, l’organisation d’événements, le suivi des bénéficiaires impliquent tous des traitements de données personnelles. Le comité n’échappe donc pas au règlement.
Cette situation confère aux instances représentatives du personnel une double obligation. D’une part, se mettre en conformité en tant que détentrices de données. D’autre part, être vigilantes sur l’application du règlement par l’entreprise. Ces deux volets structurent l’ensemble des développements qui suivent.
En clair : dès que le comité conserve un fichier de salariés, ne serait-ce que pour distribuer des chèques-cadeaux, il devient responsable de ce fichier au sens du RGPD. Ce n’est pas une obligation de l’employeur seul : le CSE répond de ses propres traitements.
Les cinq principes que le CSE doit respecter
Le CSE doit respecter les mêmes principes fondamentaux que tout responsable de traitement. Le RGPD repose sur un ensemble de règles applicables à toutes les organisations, publiques ou privées, et les comités n’y échappent pas. Cinq principes structurent la protection des données que le comité détient.
La finalité
Le principe de finalité impose de ne collecter et utiliser des données que dans un but précis, légal et légitime. Pour le CSE, la gestion des activités sociales et culturelles répond à ce critère. En revanche, le comité ne peut pas conserver ni recenser des informations qui ne seraient pas utiles à cette finalité. Chaque donnée détenue doit se rattacher à un objectif clairement identifié.
La proportionnalité et la pertinence
Le principe de proportionnalité et de pertinence oblige à ne conserver que les données strictement nécessaires au regard de la finalité poursuivie. Le CSE ne peut pas détenir plus de données que celles nécessaires à la réalisation des prestations qu’il propose. Réclamer un justificatif exhaustif quand une simple attestation suffit méconnaît ce principe.
La durée de conservation limitée
Le principe de durée de conservation limitée impose de fixer à l’avance la durée pendant laquelle une donnée est conservée, puis de la supprimer une fois ce délai écoulé. Le comité ne peut pas conserver indéfiniment les données des salariés. Pour chaque catégorie de données, une durée doit être définie et respectée.
La sécurité et la confidentialité
Le principe de sécurité et de confidentialité concerne l’accès aux données, qui doit être limité aux seules personnes autorisées. Le CSE est garant des données qu’il détient et en assume la responsabilité. En cas de violation avérée de données, il doit en informer la CNIL dans un délai de 72 heures. Cela suppose de savoir, à tout moment, qui a accès aux données, quand, pourquoi et comment, ce qui justifie une sensibilisation des élus et, idéalement, une documentation interne des méthodes de traitement.
La reconnaissance des droits des salariés
Le principe de reconnaissance des droits des personnes recouvre les droits d’information, d’accès, de rectification et de suppression. Les salariés dont le comité traite les données peuvent exercer ces droits auprès de lui : droit d’accès aux informations les concernant, droit de rectification des données inexactes, droit à l’oubli, droit à la portabilité et droit d’opposition. Toute demande doit recevoir une réponse dans un délai d’un mois, ce qui impose de s’organiser en conséquence. Un salarié est d’ailleurs en droit de refuser de communiquer ses données au CSE, quitte à ne pas pouvoir bénéficier de certaines prestations.
En clair : ces cinq principes tiennent en une phrase. Le CSE ne collecte que ce qui est utile, pour un but précis, ne le garde pas trop longtemps, le protège, et respecte les droits des salariés sur leurs données. C’est le socle de sa conformité.
Les activités sociales et culturelles : le principal traitement du CSE
Les activités sociales et culturelles constituent le premier terrain d’application du RGPD pour le comité. C’est en gérant les ASC que le CSE collecte le plus de données personnelles, et c’est donc là que sa vigilance doit être maximale. La finalité est claire, la gestion des prestations offertes aux salariés, mais elle ne justifie que la collecte des données réellement nécessaires.
Certaines données appellent une précaution particulière. Lorsque la collecte ne relève pas d’une obligation légale, par exemple la photographie d’un salarié, elle suppose le consentement préalable de l’intéressé. Les salariés doivent par ailleurs être informés du traitement de leurs données de façon claire et précise, ainsi que du rappel de leurs droits, ce qui peut passer par le règlement intérieur du comité, une charte ou une note d’information dédiée.
Exemple : Un CSE organise un arbre de Noël et souhaite publier des photographies des enfants des salariés sur son intranet. Cette diffusion ne repose sur aucune obligation légale : elle suppose le consentement préalable des parents concernés. À défaut, le comité s’expose à un manquement au RGPD.
En clair : gérer les ASC, c’est gérer des données. Ne demandez que ce dont vous avez besoin, informez les salariés de l’usage de leurs données, et recueillez leur accord pour tout ce qui n’est pas strictement nécessaire à la prestation, comme une photo.
Comment informer les salariés
L’information des salariés est une obligation à part entière, et elle doit être claire et précise. Les salariés dont le comité traite les données doivent savoir quelles données sont collectées, pour quelle finalité, pour combien de temps, et quels sont leurs droits. Cette information peut s’appuyer sur plusieurs supports : le règlement intérieur du comité, une charte dédiée, ou une note d’information remise lors de l’inscription aux activités.
Le rappel des droits est un élément clé de cette information. Le salarié doit être informé de son droit d’accès, de rectification, d’effacement, d’opposition et de portabilité, ainsi que de l’identité de l’interlocuteur à qui adresser sa demande au sein du comité. Une information soignée limite les litiges et démontre la diligence du CSE.
Exemple : Lors de l’inscription à la billetterie du comité, une courte note rappelle aux salariés que leurs coordonnées sont utilisées uniquement pour la gestion des activités sociales et culturelles, conservées pour une durée déterminée, et qu’ils peuvent à tout moment demander l’accès à leurs données ou leur suppression. Cette simple note matérialise le respect du principe de transparence.
La feuille de route de mise en conformité du CSE
La conformité du CSE repose sur quelques chantiers concrets, largement inspirés de ceux de l’entreprise. Ils traduisent la responsabilité qui pèse sur le comité en tant que responsable de traitement et lui permettent de démontrer qu’il respecte le règlement.
Le premier chantier est le registre des activités de traitement. Le RGPD impose de tenir un registre recensant les traitements de données, avec des mentions obligatoires. Cette obligation vise en priorité les organisations de 250 salariés et plus, mais sa tenue est vivement recommandée y compris pour les comités de plus petite taille, car elle permet d’optimiser les traitements, d’en garantir la sécurité et de faire office de preuve en cas de contrôle.
Le deuxième chantier est la gouvernance. La désignation d’un délégué à la protection des données n’est pas obligatoire pour la plupart des comités, compte tenu de leur taille et du volume de données traitées. Elle reste toutefois recommandée. À défaut, il est vivement conseillé de désigner au moins un correspondant RGPD chargé de veiller au respect du règlement pour le compte du comité. Cette fonction peut être assurée par le secrétaire ou le trésorier, à condition qu’ils ne soient pas eux-mêmes en charge du traitement des données, ou confiée à un autre élu ou à un tiers. Rien n’interdit d’ailleurs au comité de s’appuyer sur les compétences du délégué à la protection des données de l’entreprise.
Le troisième chantier est l’encadrement interne. Il est opportun de prévoir un point spécifique sur la protection des données dans le règlement intérieur du comité, d’anticiper les conditions de transfert au CSE des données des salariés par la direction, de cibler la collecte sur les seules informations nécessaires et de restreindre l’accès à ces informations aux seuls élus concernés.
En clair : votre feuille de route tient en trois mots : un registre de vos traitements, un référent RGPD au sein du comité, et des règles internes claires sur qui accède à quoi. Ce sont ces éléments qui démontreront votre conformité en cas de contrôle.
Exemple : Un trésorier de CSE, qui ne gère pas directement les fichiers des ASC, est désigné correspondant RGPD du comité. Il tient le registre des traitements, sensibilise les élus et sollicite ponctuellement le délégué à la protection des données de l’entreprise. Le comité dispose ainsi d’une gouvernance simple mais réelle, adaptée à sa taille.
Le CSE, gardien du respect du RGPD dans l’entreprise
Le comité a aussi vocation à contrôler le respect du RGPD par l’entreprise, pour le compte des salariés. Au même titre que le respect du Code du travail ou des règles de santé et de sécurité, la protection des données personnelles devient un enjeu que le comité peut légitimement suivre. Cette mission de vigilance est le second volet de la double obligation évoquée plus haut.
Concrètement, le comité peut inscrire la question de la conformité de l’entreprise au RGPD à l’ordre du jour d’une réunion, par exemple sous un libellé d’information sur la mise en place du règlement pour les salariés. Il peut aussi se saisir du sujet à l’occasion des informations et consultations récurrentes, en vérifiant que l’entreprise intègre les contraintes du RGPD dans ses nouveaux projets : quelles données sont collectées, comment, à quelles fins et avec quelles garanties de sécurité.
En clair : le CSE n’est pas seulement soumis au RGPD, il peut aussi en surveiller l’application par l’employeur. Mettre la protection des données à l’ordre du jour, ou en faire un point de vigilance lors des consultations, fait partie de son rôle de représentant des salariés.
RGPD et droit à l’information du CSE : l’employeur peut-il refuser de transmettre des données ?
L’employeur ne peut pas, en principe, se retrancher derrière le RGPD pour refuser de communiquer au comité des données personnelles nécessaires à ses attributions. La question se pose de plus en plus souvent : lors des réunions ou dans le cadre des procédures accélérées au fond fondées sur l’article L. 2312-15 du Code du travail, l’employeur, responsable de traitement, oppose parfois ses obligations RGPD pour éviter de transmettre des informations touchant aux données personnelles des salariés. Cette position ne résiste pas à l’analyse.
La mise en balance ne fait pas prévaloir la protection des données sur le droit de la représentation collective, ni l’inverse. Le principe de participation des salariés à la détermination de leurs conditions de travail et la liberté syndicale ont une valeur constitutionnelle, garantie par les alinéas 6 et 8 du Préambule de la Constitution de 1946. Les obligations du responsable de traitement se combinent avec celles du Code du travail, sans que le RGPD ne constitue un verrou à l’exercice des prérogatives du comité.
Les arguments du CSE pour obtenir la communication
Le comité dispose d’arguments solides pour obtenir la transmission de données personnelles essentielles à ses missions. Le premier tient à la licéité du traitement. L’article 6 du RGPD prévoit plusieurs bases légales alternatives, dont le respect d’une obligation légale. Or les attributions du comité, prévues aux articles L. 2312-8 et suivants du Code du travail, constituent autant d’obligations légales justifiant la communication. Le consentement du salarié peut également jouer : de plus en plus de contrats de travail comportent une clause désignant les institutions représentatives du personnel parmi les destinataires des données, ce qui peut valoir consentement au traitement par le comité.
Le deuxième argument tient à l’obligation de confidentialité qui pèse sur les élus. Les membres du CSE sont tenus à une obligation de discrétion à l’égard des informations confidentielles présentées comme telles par l’employeur, et l’expert éventuellement mandaté est soumis aux mêmes obligations de secret et de discrétion (articles L. 2315-3 et L. 2315-84 du Code du travail). Cette obligation est réelle : la sanction disciplinaire d’un représentant du personnel qui ne la respecterait pas peut être justifiée (Cass. soc., 6 mars 2012, n° 10-24.367), sous réserve d’une analyse minutieuse de la proportionnalité de l’atteinte (Cass. soc., 16 février 2022, n° 20-14.416). L’employeur peut donc difficilement soutenir que la communication trahirait ses obligations, puisque ses interlocuteurs sont eux-mêmes astreints à la confidentialité. Cet argument gagne à être mis en avant comme contrepartie sécurisant la transmission des informations.
Le troisième argument tient à la sécurité des données, que le responsable de traitement doit assurer par des mesures appropriées, sans que cela fasse obstacle à la communication elle-même. Il serait d’ailleurs difficilement tenable pour l’employeur d’invoquer le RGPD alors qu’il lui appartient de mettre en place la base de données économiques, sociales et environnementales et de fournir aux élus les moyens de communication utiles à l’exercice de leurs prérogatives : ce serait tirer profit d’une situation qu’il a lui-même créée.
En clair : si votre employeur refuse de transmettre une information au motif du RGPD, ce refus est rarement fondé. Le comité et l’expert sont tenus au secret, vos attributions constituent une base légale, et le RGPD n’a pas été conçu pour priver les élus de l’information nécessaire à leur avis.
Consultations récurrentes et consultations ponctuelles
Le risque RGPD n’est pas le même selon le type de consultation. Lors des trois grandes consultations récurrentes, portant sur les orientations stratégiques, la situation économique et financière et la politique sociale, les élus s’appuient le plus souvent sur les éléments de la base de données économiques, sociales et environnementales, qui sont principalement anonymisés ou chiffrés. Le risque qu’une difficulté RGPD émerge y est donc faible. La CNIL a d’ailleurs précisé que cette base ne contient en principe pas de données à caractère personnel.
Le sujet ressurgit surtout lors des consultations ponctuelles et des expertises. Le comité peut être assisté d’un expert qui sollicite des informations complémentaires, parfois nominatives. C’est à cette occasion que l’employeur oppose le plus fréquemment le RGPD. La finalité du traitement, à savoir permettre au comité de rendre un avis éclairé, se combine pourtant avec les obligations du responsable de traitement : rendre un avis utile suppose une information suffisante, et cette finalité est elle-même légitime au sens du règlement.
En clair : pour les grandes consultations annuelles, les données que vous manipulez sont généralement anonymisées, donc peu de risque. C’est lors d’un projet ponctuel, souvent avec un expert, que la question des données personnelles se pose vraiment. Ciblez alors précisément ce qui vous est utile.
Ce que dit la jurisprudence
Les juges rappellent toutefois que l’information demandée doit être utile, pertinente et proportionnée. La demande du comité ou de son expert doit être utile, pertinente et loyale au regard de la nature du projet examiné (Cass. soc., 10 juillet 2013, n° 12-14.629 ; Cass. soc., 7 mai 2014, n° 13-13.307). Les décisions du fond illustrent cette exigence d’équilibre. Une cour d’appel a écarté l’argument RGPD opposé par une direction qui refusait de communiquer à un expert les numéros de sécurité sociale des salariés (CA Paris, pôle 6, ch. 2, 2 juillet 2020, n° 19/22158, un arrêt ultérieur ayant été rendu sur cette affaire sans porter directement sur la question RGPD, Cass. soc., 9 mars 2022, n° 20-18.166). À l’inverse, une autre a jugé qu’une demande d’accès aux adresses électroniques des salariés n’était ni utile ni proportionnée à la finalité recherchée, dès lors que l’employeur proposait une solution alternative préservant la confidentialité (CA Versailles, 6e ch., 17 juin 2021, n° 19/03540).
En pratique, le comité a donc intérêt à cibler précisément l’information qu’il demande et à mettre en avant l’ensemble des arguments à sa disposition. Il convient également de rappeler que la base de données économiques, sociales et environnementales ne contient en principe pas de données à caractère personnel, la CNIL ayant précisé que les données éventuellement utilisées pour la constituer figurent dans des fichiers, comme la paie, dont l’employeur doit assurer la conformité au RGPD.
Exemple : Lors d’une consultation, votre CSE demande la communication de données nominatives que l’employeur refuse au nom du RGPD. En ciblant précisément les données réellement utiles à votre avis, en rappelant votre obligation de discrétion et en visant vos attributions légales comme base de licéité, vous placez l’employeur en position difficile pour maintenir son refus.
Les sanctions encourues
Le non-respect du RGPD expose à des sanctions financières lourdes, qui concernent le responsable de traitement, y compris le CSE pour ses propres traitements. Les manquements au règlement peuvent être sanctionnés par des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les entreprises. Au-delà du montant, l’enjeu pour le comité est celui de sa responsabilité : il est garant des données qu’il détient et en assume les conséquences en cas de violation.
Cette responsabilité rend d’autant plus utile la mise en conformité décrite plus haut. Un comité qui tient son registre, a désigné un référent, encadre l’accès à ses fichiers et informe les salariés se met en situation de démontrer sa diligence, ce qui est précisément l’esprit du RGPD.
En clair : la conformité n’est pas un luxe réservé aux grandes structures. Un petit comité qui gère des ASC détient des données sensibles au sens courant du terme, et sa responsabilité peut être engagée. Quelques mesures simples suffisent à réduire fortement ce risque.
Récapitulatif
Les points essentiels des obligations RGPD du CSE :
- Le CSE est un responsable de traitement dès qu’il gère des données personnelles, notamment pour les activités sociales et culturelles.
- Il doit respecter cinq principes : finalité, proportionnalité et pertinence, durée de conservation limitée, sécurité et confidentialité, reconnaissance des droits des salariés.
- Une violation de données doit être notifiée à la CNIL dans les 72 heures.
- Sa feuille de route : tenir un registre des traitements, désigner un délégué ou un correspondant RGPD, prévoir un point dans son règlement intérieur, informer les salariés.
- Le comité peut aussi contrôler le respect du RGPD par l’entreprise et inscrire le sujet à l’ordre du jour.
- L’employeur ne peut pas, en principe, refuser de transmettre au comité des données nécessaires à ses attributions en invoquant le RGPD.
- Les manquements exposent à des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
FAQ : vos questions sur le RGPD et le CSE
Le CSE est-il soumis au RGPD ?
Oui. Le comité social et économique n’échappe pas au RGPD. Dès qu’il traite des données personnelles de salariés, notamment pour gérer les activités sociales et culturelles, il agit en tant que responsable de traitement et doit respecter l’ensemble des principes du règlement, comme tout autre organisme.
Le CSE est-il un responsable de traitement ?
Oui. Le CSE détermine les finalités et les moyens des traitements qu’il met en œuvre, ce qui lui confère la qualité de responsable de traitement au sens de l’article 4 du RGPD. Il en assume la responsabilité et doit être en mesure de démontrer sa conformité, indépendamment de l’employeur.
Quels principes le CSE doit-il respecter ?
Cinq principes. La finalité, qui impose un but précis et légitime. La proportionnalité et la pertinence, qui limitent la collecte au strict nécessaire. La durée de conservation limitée. La sécurité et la confidentialité des données, avec notification à la CNIL sous 72 heures en cas de violation. Et la reconnaissance des droits des salariés, qui peuvent accéder à leurs données, les rectifier, les faire supprimer, s’opposer au traitement ou en demander la portabilité.
Le CSE doit-il tenir un registre des traitements ?
Oui, c’est vivement recommandé. Le registre des activités de traitement est obligatoire en priorité pour les organisations de 250 salariés et plus, mais sa tenue est conseillée pour tous les comités. Il recense les traitements, garantit leur sécurité et sert de preuve de conformité en cas de contrôle de la CNIL.
Le CSE doit-il désigner un délégué à la protection des données (DPO) ?
Pas nécessairement. La désignation d’un DPO n’est pas obligatoire pour la plupart des comités, compte tenu de leur taille et du volume de données traitées. Elle reste recommandée. À défaut, il est conseillé de désigner un correspondant RGPD, qui peut être le secrétaire ou le trésorier s’ils ne gèrent pas les données, ou un tiers. Le comité peut aussi s’appuyer sur le délégué à la protection des données de l’entreprise.
Le CSE peut-il utiliser une photo de salarié sans son accord ?
Non, sauf obligation légale. Lorsque la collecte ou la diffusion d’une donnée ne repose pas sur une obligation légale, comme la photographie d’un salarié ou de ses enfants, le consentement préalable de l’intéressé est requis. À défaut, le comité méconnaît le RGPD.
Un salarié peut-il refuser de communiquer ses données au CSE ?
Oui. Un salarié est en droit de refuser de communiquer ses données personnelles au comité. Il s’expose alors à ne pas pouvoir bénéficier de certaines prestations proposées par le CSE, mais son refus est légitime et doit être respecté.
Que faire en cas de violation de données au sein du CSE ?
Notifier la CNIL dans les 72 heures. En cas de violation avérée de données, le comité, en tant que responsable de traitement, doit informer la CNIL dans un délai de 72 heures. Il doit aussi, selon la gravité, informer les personnes concernées. C’est pourquoi une organisation interne et un référent RGPD sont utiles pour réagir vite.
L’employeur peut-il refuser de transmettre des données au CSE en invoquant le RGPD ?
En principe, non. L’employeur ne peut pas se retrancher derrière le RGPD pour refuser de communiquer des données nécessaires aux attributions du comité. Les attributions du CSE constituent une base légale de traitement, les élus et l’expert sont tenus au secret, et le RGPD n’a pas vocation à faire obstacle au droit à l’information du comité. La demande doit toutefois rester utile, pertinente et proportionnée (Cass. soc., 10 juillet 2013, n° 12-14.629).
Le CSE peut-il contrôler le respect du RGPD par l’entreprise ?
Oui. Le comité peut suivre le respect du RGPD par l’entreprise pour le compte des salariés, au même titre que le respect du Code du travail. Il peut inscrire le sujet à l’ordre du jour d’une réunion et vérifier, lors des informations et consultations, que l’entreprise intègre les contraintes du règlement dans ses projets.
Les données de la BDESE sont-elles concernées par le RGPD ?
En principe, la base de données économiques, sociales et environnementales ne contient pas de données à caractère personnel. La CNIL a précisé que les données éventuellement utilisées pour la constituer figurent dans des fichiers, comme la paie ou la gestion du personnel, dont l’employeur doit assurer la conformité au RGPD. Le risque RGPD pour les élus est donc faible sur ce point, sauf demandes complémentaires d’un expert.
Faut-il prévoir un point RGPD dans le règlement intérieur du CSE ?
C’est vivement conseillé. Prévoir un point spécifique sur la protection des données dans le règlement intérieur du comité permet de formaliser les règles internes : qui accède aux données, pour quelles finalités, avec quelles durées de conservation, et comment sont traitées les demandes des salariés. Cette formalisation participe à la démonstration de la conformité du comité.
Le CSE peut-il s’appuyer sur le délégué à la protection des données de l’entreprise ?
Oui. Rien n’interdit au comité de s’appuyer sur les compétences du délégué à la protection des données de l’entreprise. Cette solution est pertinente pour les comités qui n’ont pas les moyens de désigner leur propre délégué. Le comité conserve néanmoins sa qualité de responsable de ses propres traitements et la responsabilité qui en découle.
Quelles sanctions en cas de manquement du CSE au RGPD ?
Des sanctions financières lourdes. Les manquements au RGPD peuvent être sanctionnés par des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Le comité, garant des données qu’il détient, engage sa responsabilité. La mise en conformité, même simple, réduit fortement ce risque.
Votre CSE souhaite se mettre en conformité avec le RGPD ?
La conformité RGPD du comité n’est pas réservée aux grandes structures. Registre des traitements, référent RGPD, information des salariés, encadrement des activités sociales et culturelles, articulation avec le droit à l’information : chaque point mérite d’être sécurisé, dans l’intérêt du comité comme des salariés.
Auron Avocat accompagne les élus et les employeurs sur l’ensemble de ces questions : mise en conformité RGPD du comité, rédaction du registre et du règlement intérieur, gestion des activités sociales et culturelles, et articulation entre protection des données et droit à l’information du CSE, y compris en cas de refus de communication.
N’attendez pas un différend ou un contrôle pour agir : la mise en conformité est d’abord un gage de sérénité pour le comité.
Contactez Auron Avocat pour une consultation personnalisée.



