1. Les mesures à prendre par les employeurs ou les chefs d’établissement

1.1. Le registre des activités de traitement

Conformément aux obligations générales en matière de protection de données, le responsable de traitement –  à savoir l’employeur ou le chef d’établissement en charge de l’organisation des élections sociales – doit pouvoir démontrer sa conformité au RGPD. La première étape consiste à faire figurer l’ensemble des traitements de données effectués par le responsable de traitement dans le registre des activités de traitement prévu à l’article 30 du RGPD, et donc aussi les traitements de données dans le cadre des élections sociales. La fiche correspondant à un traitement de données doit préciser principalement :

Le nom et les coordonnées du responsable de traitement ;

  • l’objectif poursuivi (la finalité) ;
  • les catégories de personnes concernées ;
  • les catégories de données utilisées ;
  • les destinataires des données ;
  • la durée de conservation de ces données ;
  • une description générale des mesures de sécurité techniques et organisationnelles déployées.

1.2. Le respect des droits des personnes concernées

Le responsable de traitement doit veiller à ce que les différentes personnes concernées puissent exercer effectivement leurs droits conformément aux articles 12 à 21 du RGPD :

  • le droit à l’information : la notice d’information destinée aux personnes concernées, donc principalement aux salariés, doit comporter notamment les éléments suivants :
    • l’identité et les coordonnées du responsable de traitement ;
    • la finalité et le fondement juridique du traitement ;
    • les destinataires des données ;
    • la durée de conservation ;
    • la description des droits des personnes concernées ;
    • l’information sur le droit d’introduire une réclamation auprès de la CNPD ;
  • le droit d’accès ;
  • le droit de rectification ;
  • le droit à l’effacement (Ce droit n’est pas un droit absolu. Par exemple, si la conservation des données est nécessaire pour respecter un délai en vertu d’une obligation légale, le droit à l’effacement n’est pas applicable pendant le délai légal en question) ;
  • le droit d’opposition: le droit de demander qu’il soit mis un terme au traitement de ses données personnelles pour des raisons tenant à sa situation particulière, sauf si le responsable démontre l’existence de motifs légitimes et impérieux prévalant ou si le traitement est prévu par la loi.
Dernière mise à jour