Données personnelles des salariés et règlementation : ce que vous devez savoir

Pour mettre en place les activités sociales et culturelles, le Comité Social et Économique (CSE) collecte des données qui concernent la vie privée des salariés comme le livret de famille, l’avis d’imposition, un certificat de naissance ou un certificat de scolarité. Le CSE est garant de la protection de ces données personnelles (règlement RGPD).

Votre CSE est-il certain de respecter les obligations règlementaires et les bonnes pratiques RGPD ? Savez-vous comment sécuriser les données des salariés lors de la mise en place des ASC ? Me Sabine Abecassis, associée de MyDataPartner, intervient auprès des CSE pour garantir leur conformité et transformer cette exigence règlementaire en un véritable gage de confiance pour les salariés. Nous lui avons posé quelques questions.

Comment le CSE peut-il collecter les données du personnel et celles de l’ensemble des ayants droits ?

La collecte s’opère généralement en deux temps. La pratique la plus courante est l’importation d’un fichier transmis par l’employeur (nom, prénom, matricule, mail pro, date d’embauche). Cela permet d’identifier les bénéficiaires. Cependant, ce flux n’est pas systématique ni suffisant. Le CSE doit ensuite procéder à une collecte active auprès du salarié pour tout ce qui relève de la sphère privée (revenus du foyer, enfants, conjoint), car ces informations sont nécessaires pour ouvrir droit aux subventions et elles ne sont pas détenues par l’employeur.

Quelles informations personnelles le CSE a-t-il le droit de demander ?

Le CSE collecte des informations pour inscrire les ouvrants droits et ayants droits aux ASC, justifier le versement d’aide et en moduler le montant. Le CSE agit selon le principe de minimisation ; il ne peut collecter que les informations nécessaires et pertinentes pour sa mission.

Les justificatifs sont demandés pour répondre aux exigences du Guide URSSAF. Par exemple :

• Le livret de famille ou acte de naissance pour justifier la qualité d’ayant-droit des enfants ;
• L’avis d’imposition pour calculer le Quotient Familial (QF) et garantir une politique sociale équitable ;
• Le certificat de PACS ou les factures communes pour les concubins ;
• La notification MDPH pour les aides spécifiques au handicap.

Une fois l’information vérifiée et enregistrée (ex : le montant du QF), le justificatif doit être classé de manière sécurisée ou restitué/détruit selon la politique de confidentialité du CSE.

Un salarié peut-il refuser de fournir ces informations ?

Oui, le salarié a le droit de refuser de communiquer tout ou partie de ses données personnelles. Ce n’est pas un motif d’exclusion des activités sociales, mais cela entraîne une conséquence financière ; en l’absence de justificatif de revenus, le CSE appliquera par défaut la tranche tarifaire la plus élevée. Concernant la famille, le salarié est le garant de la transmission de leurs données. Il doit informer les ayants droits de la politique de confidentialité du CSE.

Quelles sont les obligations de confidentialité des élus sur ces documents ?

Les élus sont tenus à une obligation de confidentialité sur les données personnelles qui doit être prévue dans le règlement intérieur du CSE. Les informations personnelles des bénéficiaires doivent être accessibles uniquement aux élus désignés (exemple : trésorerie, commission ASC…). Le CSE est légalement responsable de la sécurité de ces données. Tout détournement ou accès non autorisé par un membre du CSE ou par tiers constitue une faute, susceptible d’une action en justice. L’employeur ou le service RH n’ont absolument aucun droit d’accès aux documents collectés par le CSE.

Quelles sont les ‘lignes rouges’ que le CSE ne doit jamais franchir ?

Quelques exemples de ce que le CSE ne doit jamais faire :

• Conserver des documents originaux (uniquement des copies) ;
• Diffuser des listes nominatives révélant les revenus ou les montants de subventions perçus par chacun ;
• Demander des détails inutiles : le salarié peut d’ailleurs masquer sur son avis d’imposition ses sources de revenus ou placements, tant que le Revenu Fiscal de Référence et le nombre de parts sont lisibles ;
• Utiliser les fichiers pour toute autre raison que la gestion des ASC sans information et, si besoin, accord explicite du salarié.

Où et comment entreposer ces données confidentielles pour une sécurité optimale ?

Pour garantir une sécurité optimale, les élus ne peuvent plus se contenter de classeurs ou de fichiers Excel partagés. La protection repose désormais sur des règles techniques et contractuelles strictes. Le stockage s’effectue idéalement sur un logiciel de gestion dédié, dont les accès sont protégés par une authentification forte (double facteur). Le CSE engage sa responsabilité sur le choix du prestataire. Ce dernier, en tant que sous-traitant, doit se soumettre aux obligations prévues par le RGPD et apporter la preuve de la sécurité des données.

L’accès physique aux documents papier doit, quant à lui, être restreint aux seuls élus habilités (exemple : secrétaire, trésorier) via des locaux et armoires verrouillés.

Les données ne doivent jamais transiter par des outils personnels (clés USB, disques durs d’élus) ou des services Cloud grand public non sécurisés.

Collecte et utilisation de l’adresse mail professionnelle ou privée ?

Le choix de l’adresse de contact est un sujet sensible qui illustre parfaitement la dualité du CSE : un organisme lié à l’entreprise, mais indépendant de l’employeur. L’adresse professionnelle est le canal le plus couramment utilisé, car il est souvent fourni d’office dans le fichier RH. Son avantage est la simplicité. Toutefois, elle pose deux limites majeures : la confidentialité (l’employeur reste le propriétaire de la boîte mail) et la rupture de lien (en cas d’absence prolongée – congé maternité, arrêt maladie – ou de départ, le CSE perd le contact avec le bénéficiaire).

L’adresse personnelle : la collecte de l’adresse mail privée est fortement recommandée pour la gestion des Activités Sociales et Culturelles (ASC). Elle permet au CSE de maintenir le lien en toutes circonstances et garantit une étanchéité totale avec l’employeur. Le CSE doit la solliciter directement auprès du salarié.

Quelle que soit l’adresse choisie, le CSE doit respecter des règles d’utilisation suivantes :

• Le CSE doit distinguer la communication ‘institutionnelle’ (comptes-rendus, PV) de la communication ‘loisirs’ (offres de vacances, billetterie). Le salarié doit pouvoir s’abonner ou se désabonner spécifiquement aux offres commerciales (droit d’opposition).
• Il est interdit d’utiliser les adresses collectées pour les ASC à des fins de propagande électorale ou syndicale sans un accord distinct du salarié.
• Le CSE ne doit jamais envoyer de mails collectifs en affichant toutes les adresses en clair. L’usage de la ‘copie cachée’ (BCC/CCI) ou d’un outil d’emailing professionnel est une obligation de sécurité pour éviter la divulgation des listes de contacts.