Dès lors que l’effectif d’un établissement ou de l’entreprise atteint 50 salariés, l’employeur doit mettre en place une base de données économiques et sociales (BDES), à destination des instances représentatives du personnel, plus généralement du CSE (comité social économique) avec la mise en place de cette nouvelle instance unique.
La BDES a été créée par l’accord national interprofessionnel pour la sécurisation de l’emploi du 11 janvier 2013 et la loi de sécurisation de l’emploi du 14 juin 2013, puis enrichie par la loi Macron du 6 août 2015 et la loi Rebsamen du 17 août 2015.
Accessible à tout moment et mise à jour régulièrement, elle regroupe l’ensemble des informations destinées aux représentants du personnel.
Elle permet de remplacer les multiples versions papier des informations transmises aux IRP préalablement à chaque consultation périodique ou des rapports périodiques récurrents.
Suppression des déclarations préalables à la CNIL et mise en place du registre des traitements
Le RGPD (Règlement Européen sur la Protection des Données personnelles) du 27 avril 2016 a supprimé toutes les déclarations préalables à la CNIL relatives à la BDES.
Il oblige néanmoins l’entreprise à établir un registre de traitement des données à chaque collecte de données personnelles.
En principe la BDES ne contient pas d’informations nominatives permettant d’identifier une personne de manière directe ou indirecte. Cependant, si l’employeur choisit d’intégrer des données nominatives, il devra établir un registre de traitement des données personnelles collectées.
Il en sera de même si l’accès à la BDES des représentants du personnel nécessite, par exemple, un code d’accès avec des informations nominatives des utilisateurs, ou que l’employeur trace leur navigation etc…
Sanctions en cas de non-conformité
A compter du 25 mai 2018, la CNIL pourra effectuer des contrôles. En cas d’infraction ou de non-conformité, vous encourrez une amende d’un montant variant entre 2 et 4 % de votre chiffre d’affaire annuel, ce qui peut très vite chiffrer… En effet par exemple, une petite entreprise réalisant un chiffre d’affaire annuel de 400 000 € encourt une amende de 16 000 € !
Référence
RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).