RGPD et syndicats. Quelles bonnes pratiques pour gérer le fichier des adhérents ?

Le règlement général sur la protection des données, dit RGPD, est applicable depuis mai 2018. Malgré une prise de conscience des syndicats sur ce sujet, des marges de progression existent toujours, affirme la Cnil dans un document paru le 13 octobre 2020. RGPD et syndicats : voilà ce qu’il faut retenir.

La Cnil alerte les syndicats sur la gestion des données collectées auprès de leurs adhérents et leur conseille de bonnes pratiques. Photo : Unsplash

« Bien mais peut mieux faire ». Voilà comme l’on pourrait résumer la note attribuée par la commission nationale de l’informatique et des libertés (Cnil) aux organisations syndicales en matière de gestion des données personnelles de leurs adhérents. Tout en pointant les différents points de vigilance, la Cnil a publié un ensemble de bonnes pratiques* à l’usage des syndicats pour les aider dans leurs démarches de mise en conformité.

___________________

Consulter les offres de formation sur le Fonctionnement du CSE

____________________

RGPD et syndicats. Formaliser les responsabilités de chacun des acteurs

Le RGPD impose que la responsabilité de chaque organisme impliqué dans le traitement de données personnelles soit clairement définie dans un accord, un contrat, ou tout autre acte juridique (RGPD, articles 26 et 28). Cependant au sein des syndicats, souvent éclatés en une multitude de structures, la responsabilité n’est pas toujours très claire.

En conclusion, la Cnil propose aux organisations syndicales de « mettre en place une analyse approfondie de la responsabilité du traitement des données des adhérents avant de formaliser dans des supports juridiques (statuts, conventions, chartes, contrats…) les responsabilités de chacune des entités (syndicats, unions locales, fédérations professionnelles, confédérations, etc.) » intervenant dans le traitement de ces données, depuis la collecte jusqu’à leur suppression.

Assurer l’information des adhérents du syndicat

Selon le constat de la Cnil, dans les syndicats, les adhérents sont, certes, informés du traitement qui est fait de leurs données, mais pas de manière assez claire. Sur les sites des organisations syndicales par exemple, les politiques de confidentialité sont ainsi diffusées, mais incomplètes ou bien leur contenu est un mélange d’informations légales peu accessible au lecteur.

En conséquence, la commission propose de « prévoir un double niveau d’information des personnes : collective et personnalisée ». Par exemple : le site web d’une confédération peut intégrer une page dédiée qui informe de façon collective les adhérents sur le traitement de données qu’elle met en œuvre. Un rappel des traitements déployés doit être par ailleurs opéré individuellement par le responsable de traitement à chaque fois qu’il collecte les données auprès des adhérents.

_________________

Consulter les offres de formation Gestion des budgets du CSE

_________________

Définir une durée de conservation des données personnelles adaptée à chaque finalité

Une des clés de la protection des données est la durée de leur conservation. Or les vérifications opérées par la Cnil ont montré que les syndicats ne maîtrisaient pas suffisamment les durées de conservation des données traitées. Par exemple, certaines organisations n’ont toujours pas défini de durée de conservation ou, lorsqu’elles l’ont fait, n’ont pas mis en place de mécanisme de purge permettant d’en assurer le respect.

Le conseil de la Cnil est le suivant : toujours définir des durées de conservation strictes, le cas échéant avec des mécanismes de purge automatique. La commission rappelle par ailleurs que « lorsque la personne n’est plus adhérente du syndicat, la conservation de ses données doit être justifiée par d’autres finalités que la gestion de son adhésion. Ces finalités peuvent par exemple être de nature probatoire (contentieux, obligations fiscales, etc.) statistique ou présentant un intérêt administratif, en particulier si l’ancien adhérent a exercé des fonctions au sein du syndicat ou en qualité de représentant syndical ».

Sécuriser l’accès aux données des syndicalistes

Si les données des adhérents sont particulièrement sensibles, la Cnil relève néanmoins que leur protection n’est pas suffisamment sécurisée chez les syndicats. La bonne pratique consiste donc à définir des politiques de sécurité pour en garantir la confidentialité. Parmi les points à retenir :

• Les données personnelles des adhérents ne doivent être accessibles qu’aux personnes ayant à en connaître.

• L’échange des informations entre les différentes entités intervenant dans le traitement des données doit également être sécurisé, en chiffrant les transferts de données ou en protégeant par mot de passe les éventuels fichiers échangés.

• La mise en œuvre de protection adéquates physiques (par exemple des armoires sécurisées) et logiques (restrictions d’accès informatiques, mots de passe sécurisés, etc.) est nécessaire.

Lou-Eve Popper

*https://www.cnil.fr/fr/fichiers-dadherents-un-syndicat-quelles-sont-les-bonnes-pratiques