Blog Données personnelles
Syndicats, la mise en conformité des fichiers adhérents accompagnée par la CNIL
A la suite de contrôles effectués par la CNIL auprès d’organisations syndicales, l’autorité a relevé des problématiques communes et récurrentes qu’elle a décidé de présenter dans un article publié sur son site. L’objectif est d’accompagner l’ensemble des organisations syndicales dans leurs démarches de mise en conformité en tirant les enseignements des contrôles et des erreurs relevées.
La CNIL soulève ainsi quatre points importants auxquels les syndicats doivent porter une attention particulière dans le cadre de la gestion de leurs fichiers d’adhérents.
En premier lieu, les syndicats doivent formaliser les responsabilités de chacun des acteurs dans le traitement des données des adhérents. La CNIL relève que les confédérations contrôlées ont souvent une structure similaire et un rôle de coordination au niveau national des syndicats implantés dans différentes zones géographiques. Les rôles de ces entités (responsable de traitement, sous-traitant) et les relations qu’elles entretiennent doivent ainsi être clairement définis et traduits dans des contrats respectueux des exigences du RGPD.
En deuxième lieu, les syndicats doivent assurer l’information des personnes concernées par le traitement de leurs données. Si la CNIL constate que cette obligation est déjà respectée au travers de politiques de confidentialité ou de mentions d’information intégrés aux bulletins d’adhésion, elle estime que cette information est souvent difficilement accessible. La CNIL conseille de prévoir un double niveau d’information des personnes : informer de manière collective sur le site internet, puis de manière individualisée au moment de la collecte.
En troisième lieu, il convient de définir une durée de conservation des données adaptée à chaque finalité du traitement. Mais définir ces durées est inefficace si aucun mécanisme de purge automatique n’est mis en œuvre. En outre, la CNIL rappelle que l’archivage intermédiaire permet de conserver les données des personnes ayant été adhérentes pendant une période déterminée, pour une finalité différente. C’est notamment le cas lorsqu’il s’agit d’une obligation fiscale ou du respect de la prescription légale en cas de litige pour que le syndicat puisse se défendre. Dans le cadre de cet archivage intermédiaire, l’accès aux données doit cependant être limité.
Enfin, la CNIL rappelle l’obligation qui incombe à tout responsable de traitement de sécuriser l’accès aux données, obligation renforcée lorsqu’il s’agit de données dites « sensibles » telles que celles traduisant l’adhésion à un syndicat. Or, les mesures de sécurité ne sont souvent pas satisfaisantes. Il convient dès lors de définir une politique de sécurité destinée à garantir la confidentialité de ces données, en restreignant l’accès et la modification de celles-ci par les seules personnes habilitées et en vérifiant le respect de cette mesure par la mise en place d’une traçabilité. Elle insiste également sur la question qui peut s’avérer délicate de l’échange d’informations entre différentes entités. Ces échanges doivent être sécurisés en chiffrant les données ou en restreignant l’accès aux fichiers par un mot de passe.