Avec la multiplication des outils numériques en entreprise, les élus du personnel sont de plus en plus amenés à manipuler des données personnelles. Mais attention : la fonction de représentant du personnel ne dispense pas du respect du Règlement général sur la protection des données (RGPD). Voici les points essentiels pour exercer son mandat en toute conformité.
Sommaire
1 - Le CSE peut-il accéder aux données personnelles des salariés ?
2 - Ce que dit la jurisprudence : l’employeur ne peut se substituer aux salariés
3 - Le CSE est-il responsable du traitement des données ?
4 - Comment se mettre en conformité ?
5 - RGPD, IA Act… vers une responsabilisation accrue des représentants
Le CSE peut-il accéder aux données personnelles des salariés ?
Oui, mais sous conditions strictes. Le CSE peut être destinataire d’informations contenant des données personnelles (ex : dossiers du plan de sauvegarde de l’emploi, registres du personnel, répartition de la rémunération variable, etc.). Mais il ne peut y accéder qu’à la condition expresse que ces informations soient nécessaires à l’exercice de ses missions (consultation économique et sociale, information récurrente…).
Aussi, l’accès aux données sensibles
(santé, religion, opinions syndicales, etc.) est strictement encadré, sauf
consentement explicite ou intérêt public prépondérant.
Dans un arrêt du 10 avril 2025 (CA Paris n° RG 23/03199), la Cour d’appel a rappelé que le fait de transmettre au syndicat des documents RH contenant des données personnelles sans anonymisation ni information préalable viole le RGPD.
Ce que dit la jurisprudence : l’employeur ne peut se substituer aux salariés
Dans une affaire récente, la Cour d’appel a rappelé les limites de l’invocation du RGPD par l’employeur, notamment dans le cadre des relations avec les représentants du personnel.
Dans cette affaire, une direction contestait la diffusion, par une organisation syndicale, de données relatives aux parcours professionnels et aux niveaux de rémunération dans l’entreprise. L’argument avancé ? Une violation présumée du RGPD, les documents en question contenant des données personnelles.
Mais pour la Cour, l’employeur n’est pas recevable à agir au nom des salariés sur ce terrain : il n’est ni le responsable du traitement incriminé, ni mandaté par les salariés pour agir en leur nom. Aucun salarié n’ayant engagé de recours à ce sujet, la juridiction a rejeté l’action comme irrecevable.
Cet arrêt illustre une tendance :
l’invocation du RGPD ne peut être utilisée pour restreindre abusivement la
communication syndicale ou l’accès à certaines informations par les élus. Le
respect de la protection des données personnelles demeure essentiel, mais il ne
doit pas devenir un prétexte à l’opacité ou à l’entrave au dialogue social.
En résumé :
- Le RGPD ne peut pas être instrumentalisé pour freiner l’exercice des missions du CSE, notamment en matière d’information-consultation ou d’accès aux données sur les rémunérations, l’égalité professionnelle ou la gestion des carrières.
- En revanche, les élus doivent eux-mêmes veiller à respecter les principes du RGPD lorsqu’ils collectent ou diffusent des données dans le cadre de leur mandat : minimisation des données, justification de la finalité, anonymisation, information préalable…
Le CSE est-il responsable du traitement des données ?
Oui, dès lors qu’il détient, conserve ou traite des données personnelles dans le cadre de ses activités propres (gestion des ASC, enquêtes internes, dossiers d’assistance à un salarié, etc.).
En tant que responsable de traitement, il doit :
- définir la finalité du traitement
- s'assurer de la base légale de traitement
- informer les salariés concernés
- garantir la confidentialité des données
- répondre aux demandes d’accès, de rectification ou d’effacement
- tenir un registre des traitements
Bon à savoir :
Lorsque le CSE agit pour son propre compte (et non pour l’employeur), il engage sa propre responsabilité devant la CNIL* en cas de manquement.
*CNIL : Commission nationale de l'informatique et des libertés
Comment se mettre en conformité ?
- Cartographier les traitements effectués par le CSE : données traitées dans les ASC, dans le cadre d’enquêtes…
- Limiter l’accès aux données à ce qui est strictement nécessaire : pas d'accès intégral aux dossiers RH ou médicaux sans base légale.
- Sensibiliser les élus aux obligations du RGPD : formations, guides pratiques, appui du DPO si nécessaire.
- Proposer une clause de confidentialité à la signature des nouveaux membres
- Mettre en place des mesures de sécurité : accès restreint, mot de passe, archivage sécurisé…
RGPD, IA Act… vers une responsabilisation accrue des représentants
Le RGPD n’est pas le seul texte à
structurer la gestion des données : l’IA Act européen impose désormais un
encadrement très strict des systèmes d’IA en entreprise. Et les CSE auront un
rôle de contrôle à jouer, notamment lors de l’introduction d’outils d’IA dite «
à haut risque » (recrutement, évaluation, sanction…).
À retenir
- Le CSE peut être destinataire de données personnelles, mais sous conditions strictes.
- Il devient responsable de traitement lorsqu’il agit pour son propre compte (ASC…)
- Les élus doivent être sensibilisés aux obligations du RGPD.
- Une mauvaise gestion peut entraîner la responsabilité du CSE ou de ses membres.
Sources
pertinentes à mobiliser :
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
- CNIL, Fiches pratiques RGPD & IRP
- Cour d'appel de Paris, 10 avril 2025, n° RG 23/03199
- Légifrance, code du travail (articles L.2312-8, L.2315-81, etc.)
CES ARTICLES PEUVENT VOUS INTÉRESSER






