Un homme en costume avec entre ses mains des pictogrammes représentant le concept de données personnelles

La conformité RGPD pour les CSE

A la UneeWorkshop23/04/2024

Le 16 avril 2024, nous avons animé un webinaire auprès d’un panel de CSE sur la thématique du Règlement Général de la Protection des Données (RGPD).

Applicable depuis 2018, le RGPD s’adresse à l’ensemble des entreprises et organisations qui échangent et stockent des données personnelles de résidents européens - les CSE font donc parties des organisations concernées.

Comment se positionnent les CSE au regard du RGPD ? Découvrez les réponses à nos questions de sondage posées durant le webinaire !

1. Quelles sont vos connaissances du RGPD ?

52
%
plutôt mauvaises
45
%
plutôt bonnes
3
%
très mauvaises

2. Comment situeriez-vous votre CSE dans la mise en application du RGPD ? (Sur une échelle de 1 à 4)

3/4
52%
2/4
36%
4/4
12%

Différentes questions ont été posées par les participants durant notre webinaire !

Les réponses sont à découvrir dans notre Foire Aux Questions disponible ci-dessous :

  • Le DPO de l'entreprise (non élu du CSE) peut-il être le DPO pour le CSE ?

    Les 2 organisations étant différentes, il n’est pas conseillé que DPO de l’entreprise soit le DPO du CSE. Cela n'empêche pas une étroite collaboration entre les 2 DPO afin de sécuriser les échanges de données personnelles entre les deux entités.

  • Les avis d'imposition et actes de naissance sont-ils considérés comme des données sensibles ?

    Les données considérées comme sensibles, sont celles énumérées aux articles 9 et 10 du RGPD :

    • Origine raciale et ethnique

    • Opinions politiques

    • Convictions religieuses ou philosophiques

    • Appartenance syndicale

    • Données biométriques

    • Données génétiques

    • Données sur la vie sexuelle ou l'orientation sexuelle

    • Données relatives aux condamnations pénales et aux infractions.

    Les avis d'imposition ne sont donc pas des données sensibles, ils correspondent à des données d'ordre économique et financier.  Leur divulgation représente peu de risque pour la personne concernée.

    En revanche, les actes de naissance correspondent à des données d'identification. Si ce n’est pas une donnée sensible au sens stricte RGPD elle est considérée comme donnée à caractère hautement personnel, ce qui implique à notre avis un traitement identique que les données sensibles. Si votre organisation n‘en a pas une réelle utilité, nous ne conseillons pas de conserver ce type de document.

    Téléchargez gratuitement notre cartographie les données personnelles

  • Qui paie l’amende de 4% de pénalités du chiffre d’affaires en cas de non conformité : le CSE ou l'entreprise ?

    Si la non-conformité concerne votre CSE, l’amende sera à votre charge et non à celle de votre entreprise. Cependant, à cause du principe de coresponsabilité, il est tout à fait possible que votre entreprise soit également vérifiée par la CNIL.

  • En tant que CSE, doit-on vérifier que notre entreprise a mis en place cette démarche RGPD ?

    Non, il n’est pas de votre ressort de vérifier la mise en conformité RGPD de votre entreprise. Souvent, la situation sera plutôt inversée : en tant que sous-traitant de votre entreprise, elle peut vous demander des éléments de preuve de conformité, puisque vous traitez les données personnelles des collaborateurs qu’elle vous transmet.

  • Comment faire contrôler que l'ensemble de nos outils, pratiques et processus sont en conformité RGPD ?

    Le diagnostic de conformité RGPD proposé par le groupe Apave permet de passer en revue l’ensemble de vos outils, pratiques et processus, afin de déterminer si vous êtes - ou non - en conformité. A l'issue de ce diagnostic, vous bénéficiez d’un plan d’action personnalisé pour identifier les prochaines actions à mettre en œuvre pour poursuivre votre démarche.

  • Ces audits RGPD sont-ils financés sur le budget AEP ou ASC ?

    Ces audits peuvent en effet être financés par le budget AEP. 

    Découvrir notre diagnostic RGPD

  • Comment s’applique le RGPD lors du transfert de données par mail ? (Par exemple, la direction envoie les données du personnel par mail et ces données sont manuellement intégrées sur le logiciel dédié aux activités du CSE.)

    A partir du moment où vous collectez des données personnelles, vous en êtes tenu pour responsable. Il est donc préconisé de toujours envoyer les différentes données via des serveurs sécurisés ou par mail si les PJ sont chiffrées pour éviter tout risque de fuite de données.

  • Peut-on obtenir un "certificat" RGPD ?

    Non, il n’existe pas de “certificat RGPD” pour les entreprises et organisations. Nous proposons un système d’audit et d'évaluation qui vous permettront d'obtenir une note de conformité - et obtenir un plan d’action priorisé.

    En revanche, il existe un certificat de personne appelé “certification DPO” fourni par la CNIL. 

  • Où peut-on trouver un exemple de registre des activités et de politique de sécurité ?

    Le site de la CNIL regorge d’informations. Un exemple de registre de traitement des données (au format Excel) est à retrouver sur leur site internet.

  • La durée de conservation des données doit-elle être indiquée sur le contrat avec nos partenaires ?

    Oui, la durée de conservation des données doit être indiquée sur le contrat avec vos différents prestataires. La durée de conservation varie selon les typologies de données stockées et leur usage. La durée de conservation des données transmises doit ainsi toujours être mentionnée sur le contrat avec vos partenaires, afin de garantir la sécurité des différentes parties.

Vous démarrez de 0 ?

Découvrez notre pack de mise en conformité !
En savoir plus

Vous avez déjà engagé vos démarches ?

Réalisez votre audit diagnostic RGPD !
En savoir plus

Sur le même

thème