Une récente décision de la cour d’appel de Paris en date du 14 mars 2024 précise qu’en effet, un CSE doit être en capacité de prouver sa conformité RGPD auprès d’un syndicat ! Cette affaire illustre l’enjeu et l’importance de la conformité RGPD pour une entreprise, car la menace de plainte et de signalement auprès de la CNIL peut être interne !
Les faits
Le Comité Social Économique (CSE) de l’entreprise conditionnait la remise de chèques vacances aux salariés à l’obtention d’une copie de leurs bulletins de salaire. S’ils refusaient, les salariés ne devaient recevoir que 80 € de chèques vacances. Une pratique que le syndicat de l’entreprise a estimé contraire aux principes de proportionnalité et de pertinence que prévoit le RGPD !
Mais le CSE se défend, en évoquant que les principes de confidentialité et de durées de conservation des données étaient respectés : les bulletins de salaire étaient remis via des enveloppes confidentielles, et les copies des bulletins de salaire étaient immédiatement détruites après leur obtention. Et la demande d’une copie des bulletins des salaires ne saurait être non proportionnelle, tant le montant attribué en chèques vacances dépendait du montant du salaire, pour assurer l’application du barème solidaire, qu’avait préalablement adopté le CSE. Enfin, le CSE rappelle qu’une information de ce dispositif a été réalisée auprès des salariés.
La Cour d’Appel de Paris affirme que, conformément à ce qu’avançait le CSE, cette pratique est bien légale et respecte les principes du RGPD énoncés : proportionnalité, confidentialité, sécurité, durée de conservation et transparence.
Cet article pourrait vous intéresser : Recrutement & RGPD : une société mise en demeure pour collecte abusive !
Ce qu’il faut retenir de cette décision :
Cette affaire permet plusieurs rappels importants :
- La preuve et l’exigence de conformité peut être interne et externe :
L’affaire souligne l’importance cruciale pour un CSE de démontrer sa conformité au RGPD, non seulement vis-à-vis des autorités externes telles que la CNIL, mais également vis-à-vis des acteurs internes tels que les syndicats. En effet, la menace de plaintes et de signalements à la CNIL peut émaner de l’intérieur de l’organisation, mettant en lumière la nécessité d’une vigilance constante en matière de conformité.
- Le RGPD ne fait pas d’exceptions, et s’applique à tout le monde et toutes les instance:
Le CSE a réussi à justifier sa pratique en s’appuyant sur le respect des principes fondamentaux du RGPD, tels que la proportionnalité, la confidentialité, la sécurité, la durée de conservation et la transparence. Cette décision souligne l’importance de comprendre et d’appliquer ces principes dans toutes les pratiques de collecte et de traitement des données au sein de l’entreprise.
En somme, cette affaire constitue un rappel significatif de l’impératif pour les CSE de se conformer rigoureusement aux exigences du RGPD, aussi bien en interne qu’en externe, et de pouvoir démontrer cette conformité lorsque cela est nécessaire.
Cet article pourrait également vous intéresser : Le RGPD dans votre boîte mail : Les règles essentielles à connaître.
Conclusion : organisez votre conformité RGPD !
Saviez-vous que la CNIL traite 100% des plaintes qui lui sont adressées ? Une information qui doit vous intéresser, d’autant que grâce à cette décision, nous savons désormais qu’un syndicat interne à une entreprise peut lui-même saisir la CNIL ! Votre entreprise et vos instances doivent être conformes au RGPD !