Le RGPD s'applique pleinement au CSE, qui traite quotidiennement des données personnelles des salariés dans le cadre de ses missions légales et de la gestion des activités sociales et culturelles (ASC). Ce dossier a pour objet d'aider les élus à comprendre leurs obligations, à identifier les risques et à mettre en place une conformité concrète et durable.
Ce dossier complet, mis à jour en avril 2025, constitue un guide indispensable pour permettre aux élus du Comité Social et Économique (CSE) de naviguer sereinement dans l'univers complexe de la protection des données.
En parcourant ce document, vous découvrirez :
Le cadre juridique précis et les sept principes fondamentaux que votre instance doit impérativement respecter au quotidien.
Vos obligations concrètes, de la tenue obligatoire du registre des activités de traitement (RAT) à la sécurisation technique de vos outils informatiques.
Un guide de gestion des durées de conservation pour chaque type de donnée (ASC, BDESE, enquêtes SSCT) afin d'éviter tout stockage excessif.
Les règles d'affichage et de communication pour informer les salariés sans porter atteinte à leur vie privée, conformément à la jurisprudence actuelle.
Une méthodologie pratique en 6 étapes et une checklist d'auto-évaluation pour structurer votre démarche de mise en conformité et prévenir les sanctions de la CNIL.
Ne laissez pas votre CSE exposé à des risques juridiques ou administratifs ; consultez ce dossier pour transformer vos obligations RGPD en un gage de confiance et de professionnalisme vis-à-vis des salariés que vous représentez.
Sommaire
1. Le cadre juridique : RGPD et données personnelles
1.1 Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD — Regulation (EU) 2016/679) a été adopté par le Parlement européen le 27 avril 2016 et est directement applicable dans l'ensemble des 27 États membres de l'Union européenne depuis le 25 mai 2018.
Il constitue le principal texte de référence en matière de protection des données personnelles en Europe. En France, il s'articule avec la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978, modifiée en 2018) et est supervisé par la Commission nationale de l'informatique et des libertés (CNIL).
Définition clé : donnée à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »). Une personne peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (nom, numéro, localisation) ou à un ou plusieurs facteurs propres à son identité physique, économique, sociale ou culturelle.
Exemples : nom, prénom, adresse, numéro de sécurité sociale, données de santé, situation familiale, bulletins de salaire, photos, adresse e-mail professionnelle…
1.2 Les sept principes fondamentaux du RGPD
Le RGPD repose sur sept principes directeurs que tout organisme traitant des données personnelles — y compris le CSE — doit respecter :
| Principe RGPD | Ce que cela implique pour le CSE |
|---|---|
| Licéité, loyauté, transparence | Le traitement doit avoir une base légale, être honnête et les salariés doivent en être informés. |
| Limitation des finalités | Les données ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été collectées. |
| Minimisation des données | Seules les données strictement nécessaires peuvent être collectées. |
| Exactitude | Les données doivent être exactes et, si nécessaire, tenues à jour. |
| Limitation de la conservation | Les données ne peuvent être conservées que le temps nécessaire à leur finalité. |
| Intégrité et confidentialité | Des mesures de sécurité appropriées doivent protéger les données. |
| Responsabilité (Accountability) | Le CSE doit être en mesure de démontrer sa conformité au RGPD. |
1.3 Quelles données le CSE est-il amené à traiter ?
Dans l'exercice de ses missions légales et de la gestion des ASC, le CSE traite une grande variété de données personnelles :
Données transmises par l'employeur
Informations contenues dans la Base de Données Économiques, Sociales et Environnementales (BDESE) : rémunérations, effectifs, conditions de travail, égalité professionnelle, etc.
Données nécessaires à l'attribution de prestations indexées sur des critères personnels (quotient familial, nombre d'enfants à charge, tranche de rémunération, situation de handicap).
Données collectées directement par le CSE
Inscriptions aux ASC (voyages, chèques-vacances, billetterie, loisirs, arbres de Noël, etc.) : nom, prénom, date de naissance, adresse, composition du foyer.
Enquêtes et sondages sur les conditions de travail ou la satisfaction des salariés.
Témoignages recueillis dans le cadre des attributions en matière de santé, sécurité et conditions de travail (SSCT).
Données de connexion au site ou à l'application CSE (identifiants, historiques de navigation).
Données bancaires pour le remboursement de frais ou le versement de prestations.
Point de vigilance — Données sensibles
Certaines données traitées par le CSE relèvent de catégories « particulières » (art. 9 RGPD), soumises à des règles renforcées :
Données de santé (salarié reconnu travailleur handicapé, affection de longue durée pour le calcul des droits ASC)
Données syndicales (indirectement, via la composition du CSE)
Situation familiale détaillée (divorce, garde d'enfants, etc.)
Ces données ne peuvent être collectées qu'avec un consentement explicite ou dans le cadre d'une obligation légale.
2. Les obligations concrètes du CSE en matière de RGPD
2.1 La qualité de responsable de traitement
Le CSE, lorsqu'il dispose d'une personnalité juridique propre (entreprises de 50 salariés et plus), est un responsable de traitement autonome au sens de l'article 4 du RGPD. À ce titre, il est pleinement responsable de la licéité, de la sécurité et de la conformité des traitements de données qu'il met en œuvre, indépendamment de l'employeur.
Dans les entreprises de moins de 50 salariés, le CSE n'ayant pas de personnalité morale distincte, la responsabilité est partagée avec l'employeur, ce qui nécessite une coordination accrue.
2.2 Le registre des activités de traitement (RAT)
La tenue d'un registre des activités de traitement est une obligation fondamentale (art. 30 RGPD). Ce document interne recense l'ensemble des traitements de données effectués par le CSE.
Que doit contenir le registre ?
Le nom et les coordonnées du CSE (responsable de traitement) et, le cas échéant, du DPO
La finalité de chaque traitement (ex. : gestion des ASC, suivi des enquêtes SSCT)
Les catégories de personnes concernées (salariés, familles, retraités)
Les catégories de données traitées
Les éventuels destinataires des données (prestataires ASC, organismes partenaires)
Les transferts de données hors UE, le cas échéant
Les durées de conservation prévues
Une description des mesures de sécurité mises en place
Bonne pratique
La CNIL met à disposition un modèle de registre au format tableur, librement téléchargeable sur son site (cnil.fr). Il est fortement recommandé de l'utiliser comme base et de l'adapter aux spécificités de votre CSE. Ce registre doit être tenu à jour à chaque nouveau traitement ou modification d'un traitement existant.
2.3 L'information et les droits des personnes concernées
Le CSE a l'obligation d'informer clairement les salariés sur leurs droits et sur les traitements effectués (art. 13 et 14 RGPD). Cette information doit être :
Rédigée en termes clairs et compréhensibles, accessibles à tous
Fournie au moment de la collecte des données (formulaire d'inscription, enquête, etc.)
Accessible à tout moment (affichage dans les locaux du CSE, mention sur le site internet ou l'application)
Les droits que le CSE doit garantir
Droit d'accès : tout salarié peut demander à consulter les données le concernant
Droit de rectification : toute donnée inexacte doit être corrigée sans délai
Droit à l'effacement (« droit à l'oubli ») : un salarié peut demander la suppression de ses données, y compris au détriment de ses droits aux prestations CSE
Droit à la portabilité : les données doivent pouvoir être transmises dans un format structuré
Droit d'opposition et droit à la limitation du traitement
Important : délai de réponse
Le CSE dispose d'un délai d'un mois pour répondre à toute demande d'exercice de droits. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes, à condition d'en informer le demandeur dans le délai initial.
2.4 Le principe de minimisation et les durées de conservation
Le CSE ne doit collecter et conserver que les données strictement nécessaires à la finalité poursuivie. À l'issue de la durée de conservation, les données doivent être supprimées ou anonymisées.
| Type de données | Durée recommandée | Fondement |
|---|---|---|
| Données d'inscription aux ASC | Durée d'adhésion + 1 an | Gestion courante |
| Dossiers de prestations versées | 5 ans après la prestation | Prescription civile |
| Données BDESE transmises par l'employeur | Durée du mandat + 1 an | Obligations légales |
| Résultats d'enquêtes SSCT | 5 ans (risque professionnel) | Prescription légale |
| Données de connexion (site CSE) | 13 mois maximum | Recommandation CNIL |
| Témoignages de salariés | Durée de la procédure + 2 ans | Prudence juridique |
2.5 La sécurité des données
Le CSE doit mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données contre toute violation (art. 32 RGPD). Concrètement, cela implique :
Mesures techniques
Mots de passe complexes et renouvelés régulièrement pour accéder aux fichiers de données
Chiffrement des fichiers contenant des données sensibles
Contrôle des accès : seuls les élus ayant besoin d'accéder à certaines données y ont accès
Sauvegardes régulières et stockage sécurisé (éviter les clés USB non chiffrées)
Antivirus et mises à jour régulières des équipements informatiques du CSE
HTTPS et sécurisation du site internet du CSE
Mesures organisationnelles
Engagement de confidentialité pour tous les élus et permanents du CSE
Procédure interne en cas de violation de données (qui alerter, dans quel délai)
Formation et sensibilisation régulière des membres du bureau
Clauses RGPD dans les contrats avec les prestataires et sous-traitants
Violation de données : obligation de notification
En cas de fuite, piratage ou perte de données personnelles, le CSE doit notifier la CNIL dans un délai de 72 heures après en avoir eu connaissance (art. 33 RGPD). Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci doivent également être informées sans délai (art. 34 RGPD).
La notification se fait via le portail de la CNIL : https://notifications.cnil.fr/notifications/index
3. Le CSE et les sous-traitants : des obligations renforcées
3.1 Identifier les sous-traitants
Le CSE fait fréquemment appel à des prestataires extérieurs pour gérer tout ou partie de ses activités : plateformes de billetterie en ligne, organisateurs de voyages, gestionnaires de chèques-vacances ou chèques-cadeaux, prestataires informatiques, etc. Ces acteurs sont des sous-traitants au sens du RGPD dès lors qu'ils traitent des données personnelles pour le compte du CSE.
3.2 Les obligations contractuelles
Le CSE doit s'assurer que chaque sous-traitant présente des garanties suffisantes en matière de protection des données (art. 28 RGPD). Un contrat ou avenant spécifique doit être conclu, précisant notamment :
La nature et les finalités du traitement confié
Les catégories de données traitées et de personnes concernées
La durée du traitement
Les obligations et droits du CSE (responsable de traitement)
L'interdiction pour le sous-traitant d'utiliser les données à d'autres fins
L'obligation de sécurité et de confidentialité du sous-traitant
La procédure en cas de violation de données
Les modalités de suppression ou restitution des données en fin de contrat
Attention aux plateformes ASC en ligne
Beaucoup de CSE utilisent des plateformes clés en main pour gérer leurs ASC. Avant de souscrire ou de renouveler un contrat, vérifiez que la plateforme :
Héberge ses données en Europe (ou justifie des garanties adéquates pour les transferts hors UE)
Dispose d'une politique de confidentialité conforme au RGPD
S'engage contractuellement à respecter vos obligations en tant que responsable de traitement
Vous permet d'exercer facilement les droits des personnes concernées (suppression, portabilité)
4. Affichages, communications et vie privée des salariés
4.1 La liberté d'affichage du CSE et ses limites
L'article L. 2315-15 du Code du travail confère aux membres de la délégation du CSE une liberté d'affichage sur les panneaux réservés à cet effet. L'employeur n'a pas à viser ou approuver le contenu de ces communications. Cependant, cette liberté n'est pas absolue et s'exerce dans le respect du droit à la vie privée des salariés et de l'employeur.
4.2 Ce que le CSE peut ou ne peut pas afficher
| ✔ Autorisé | ✘ Interdit / Risqué |
|---|---|
| Fourchettes de rémunérations par catégorie | Noms et salaires nominatifs d'un salarié |
| Règles d'attribution des budgets par département | Informations sur la situation personnelle d'un salarié sans son accord |
| Communications syndicales et informations collectives | Données médicales ou situation de handicap identifiable |
| Informations sur les prestations ASC disponibles | Témoignages permettant d'identifier un salarié sans anonymisation |
| Résultats anonymisés d'une enquête SSCT | Documents confidentiels obtenus dans le cadre du mandat, divulgués sans nécessité |
| Informations indispensables à la défense de la santé/sécurité (avec proportionnalité) | Données personnelles de l'employeur non liées à l'exercice du mandat |
4.3 La jurisprudence de référence
La Cour de cassation a reconnu la légitimité de la divulgation d'informations à caractère personnel dans les communications du CSE (et de son prédécesseur le CHSCT) lorsque celles-ci sont indispensables à la défense des salariés en matière de santé, de sécurité et de conditions de travail, et sous réserve d'être proportionnées au but poursuivi.
Le principe fondateur est celui de la proportionnalité : l'atteinte à la vie privée doit être strictement nécessaire et proportionnée à l'objectif légitime poursuivi par le CSE dans l'exercice de ses prérogatives légales.
5. Le Délégué à la Protection des Données (DPO)
5.1 Désignation d'un DPO : obligatoire ou recommandée ?
La désignation d'un Délégué à la Protection des Données (DPO ou Data Protection Officer) n'est pas obligatoire pour un CSE. Cependant, elle est fortement recommandée lorsque le CSE traite un volume important de données personnelles ou des données sensibles.
| Entreprise < 50 salariés | Entreprise ≥ 50 salariés |
|---|---|
| Le CSE n'a pas de personnalité juridique distincte. Il partage le DPO de l'entreprise, ce qui impose une vigilance accrue sur la séparation des informations traitées. Risque : confusion entre données employeur / CSE. |
Le CSE dispose d'une personnalité juridique propre. Il peut désigner son propre DPO, distinct de celui de l'entreprise. Cette désignation est fortement recommandée pour garantir l'indépendance du traitement des données. Le DPO peut être un élu formé ou un prestataire externe. |
5.2 Les missions du DPO
Informer et conseiller le CSE sur ses obligations en matière de protection des données
Contrôler le respect du RGPD et des politiques internes
Gérer et mettre à jour le registre des activités de traitement
Être le point de contact pour les salariés souhaitant exercer leurs droits
Coopérer avec la CNIL en cas de contrôle ou d'incident
Conseiller sur la réalisation d'analyses d'impact (AIPD) si nécessaire
6. Les sanctions encourues en cas de non-conformité
La non-conformité d'un CSE au RGPD peut exposer ses élus à des sanctions prononcées par la CNIL, voire à des actions en responsabilité civile ou pénale. La CNIL dispose depuis 2018 d'un pouvoir de sanction renforcé.
| Type de sanction | Autorité | Contexte / Exemple |
|---|---|---|
| Avertissement | CNIL | Manquement mineur, première infraction |
| Mise en demeure | CNIL | Infraction persistante, absence de registre |
| Injonction de mise en conformité | CNIL | Traitement non conforme signalé |
| Amende administrative | CNIL / Tribunal | Jusqu'à 20 M€ ou 4 % du CA mondial |
| Responsabilité civile des élus | Tribunal civil | Dommages causés aux salariés |
| Sanctions pénales | Tribunal correctionnel | En cas d'atteinte délibérée (art. 226-16 CP) |
Rappel : la CNIL peut contrôler le CSE
La CNIL peut effectuer des contrôles, sur place ou en ligne, auprès de tout organisme traitant des données personnelles, y compris les CSE. Ces contrôles peuvent être déclenchés suite à une plainte d'un salarié ou de manière aléatoire dans le cadre de thématiques prioritaires définies annuellement par la CNIL.
En 2023-2024, la CNIL a notamment concentré ses contrôles sur les organismes traitant des données de santé et sur les cookies/traceurs sur les sites internet — deux thématiques pouvant concerner les CSE disposant de sites ou d'applications.
7. Mise en conformité : guide pratique en 6 étapes
La CNIL recommande une démarche structurée en 6 étapes pour réussir sa mise en conformité RGPD. Adaptée aux spécificités du CSE, voici comment la mettre en œuvre :
Étape 1 — Désigner un pilote
Identifiez au sein du bureau du CSE un référent RGPD ou désignez un DPO (interne ou externe). Ce pilote sera le garant de la conformité et l'interlocuteur privilégié en cas de demande d'un salarié ou de contrôle de la CNIL.
Étape 2 — Cartographier les traitements
Recensez exhaustivement tous les traitements de données effectués par le CSE et alimentez votre registre des activités de traitement. Incluez les traitements en cours et les données collectées avant 2018 (le RGPD est rétroactif).
Étape 3 — Trier et minimiser les données
Auditez les données existantes : supprimez celles qui ne sont plus nécessaires, anonymisez celles dont vous conservez les résultats, et ne collectez plus que le strict nécessaire pour chaque nouvelle action.
Étape 4 — Informer les salariés et respecter leurs droits
Rédigez une politique de confidentialité accessible à tous les salariés (affichage dans les locaux du CSE, mention sur le site, formulaires d'inscription). Mettez en place un canal dédié pour les demandes d'exercice de droits.
Étape 5 — Sécuriser les données
Mettez en œuvre les mesures techniques et organisationnelles décrites à la section 2.5. Vérifiez les contrats avec vos prestataires et imposez des clauses RGPD à chacun d'eux.
Étape 6 — Documenter et maintenir la conformité
La conformité RGPD n'est pas un projet ponctuel mais un processus continu. Organisez une revue annuelle de votre registre, formez les nouveaux élus, et restez attentifs aux évolutions de la réglementation et des recommandations de la CNIL.
8. Checklist de conformité RGPD — À compléter par le CSE
Utilisez ce tableau comme outil d'auto-évaluation. Cochez chaque point une fois que vous avez la certitude qu'il est respecté au sein de votre CSE.
| ✓ | Point de contrôle | Question à se poser |
|---|---|---|
| ☐ | Registre des traitements | Avez-vous établi et tenu à jour un registre recensant tous les traitements de données effectués par le CSE ? |
| ☐ | Information des salariés | Les salariés ont-ils été informés de leurs droits (accès, rectification, effacement, portabilité) ? |
| ☐ | Consentement tracé | Le consentement des salariés pour chaque collecte est-il recueilli et archivé de façon traçable ? |
| ☐ | Minimisation des données | Ne collectez-vous que les données strictement nécessaires à vos activités ? |
| ☐ | Durées de conservation | Avez-vous défini et appliqué des durées de conservation pour chaque catégorie de données ? |
| ☐ | Sécurisation informatique | Les accès aux fichiers sont-ils protégés (mots de passe, droits d'accès différenciés) ? |
| ☐ | Sous-traitants conformes | Vos prestataires (billetterie, ASC, etc.) ont-ils signé un contrat intégrant des clauses RGPD ? |
| ☐ | Gestion des violations | Avez-vous une procédure pour détecter et notifier une violation de données à la CNIL sous 72h ? |
| ☐ | DPO / Référent | Un délégué ou référent à la protection des données a-t-il été désigné ou identifié ? |
| ☐ | Données héritées pré-2018 | Les données collectées avant le 25 mai 2018 ont-elles été auditées et mises en conformité ? |
| ☐ | Affichages et communications | Vos panneaux et communications respectent-ils la vie privée des salariés ? |
| ☐ | Formation des élus | Les membres du CSE ont-ils été sensibilisés aux obligations RGPD ? |
9. Ressources et contacts utiles
| Ressource | Accès / Détail |
|---|---|
| Site de la CNIL | cnil.fr — Guides, modèles de registre, notifications de violations |
| Portail de notification des violations | notifications.cnil.fr — Pour notifier une violation sous 72h |
| Texte intégral du RGPD | eur-lex.europa.eu — Règlement (UE) 2016/679 du 27 avril 2016 |
| Guide RGPD pour les DPO (CNIL) | cnil.fr — Guide pratique DPO (PDF, 1,5 Mo) |
| Modèle de registre de traitement | cnil.fr — Modèle tableur librement téléchargeable |
| Loi Informatique et Libertés | Légifrance — Loi n° 78-17 du 6 janvier 1978 modifiée |
Note de mise à jour — Avril 2025
Ce dossier a été actualisé pour tenir compte des dernières recommandations de la CNIL et de l'évolution de la jurisprudence en matière de protection des données. Il est recommandé de le réviser annuellement ou en cas de modification législative significative.
En cas de doute sur une situation particulière, les élus peuvent consulter directement le service de renseignement de la CNIL (cnil.fr/fr/vous-souhaitez-contacter-la-cnil) ou solliciter l'avis d'un juriste spécialisé en droit du travail et protection des données.
La mise en conformité au RGPD est un processus continu qui engage la responsabilité du CSE en tant que responsable autonome de traitement. En suivant une démarche structurée en six étapes et en s'appuyant sur des outils concrets comme le registre des activités de traitement, les élus assurent non seulement la sécurité juridique de leur instance face aux contrôles de la CNIL, mais renforcent également le lien de confiance avec les salariés en garantissant le respect de leur vie privée.
Publié le 12 janvier 2023 — Mis à jour le 13 avril 2026
Rédigé par Officiel CSE
Références et ressources utiles
Outils et modèles de la CNIL
Site officiel de la CNIL : cnil.fr — Pour les guides, modèles de registre et notifications de violations.
CNIL - Règlement européen sur la protection des données personnelles se préparer en 6 étapes [PDF-637.35 Ko]
CNIL - Guide pratique RGPD - Délégués à la protection des données [PDF-1.51 Mo]
Textes de loi et règlements
Texte intégral du RGPD : Règlement (UE) 2016/679 du 27 avril 2016 : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Loi Informatique et Libertés : Loi n° 78-17 du 6 janvier 1978 modifiée sur Légifrance.
Signalements et assistance
Portail de notification des violations : Pour notifier une violation sous 72h : https://www.cnil.fr/fr/services-en-ligne/notifier-une-violation-de-donnees-personnelles
Contact direct CNIL : Pour toute question spécifique, utilisez le formulaire dédié sur cnil.fr/fr/vous-souhaitez-contacter-la-cnil.
Partagez et diffusez ce dossier
Laissez un commentaire
Votre adresse de messagerie ne sera pas publiée.
Ces dossiers pourraient vous intéresser
Identification CSE
Créer mon compteMon devis CSE
Nouveau service gratuit
réservé aux élus CSE
Recevez les devis de nos partenaires pour la réalisation de tous vos projets CSE
Nos rubriques
- Actualités CSE
- 80 ans des CSE
- Livres Blancs CSE
- Nouveaux élus CSE
- Enquête Nationale des CSE
- Dossiers du CSE
- Guides CSE interactifs
- Formation des élus
- Les experts au service du CSE
- CSE et intelligence artificielle (IA)
- Logiciels et applications CSE
- Assistance juridique des élus
- Jurisprudence
- Comptes rendus de réunions
- Hygiène, sécurité et conditions de travail
- Solutions Internet Intranet
- Syndicats
- Outils pratiques du CSE
- Ministères & institutions du travail
- Salons, manuels et revues
- Assistance et aide aux salariés
- Débats, séminaires et conférences
- Communication du CSE
