Fichiers d’adhérents à un syndicat : quelles sont les bonnes pratiques ?

Malgré une prise de conscience des enjeux Informatique et Libertés par les organisations syndicales contrôlées, les contrôles sur pièces et les auditions menés par les services de la CNIL ont permis de mettre en évidence la récurrence de questions communes.

Afin d’accompagner l’ensemble des organisations syndicales dans leurs démarches de mise en conformité, la CNIL souhaite partager les principaux enseignements issus de cette thématique de contrôle.

1. Formaliser les responsabilités de chacun des acteurs dans le traitement des données des adhérents

Les confédérations contrôlées sont structurées selon un schéma similaire faisant intervenir des syndicats implantés géographiquement en unions départementales ou régionales et des fédérations regroupées selon le secteur d’activité et les professions. La confédération assure la coordination au niveau national.

La CNIL a constaté que les responsabilités de traitement au sein de ces structures ne sont pas toujours clairement définies ni documentées.

Or, qu’il s’agisse de situations de responsabilité conjointe de traitement ou de relations de sous-traitance, les articles 26 et 28 du RGPD imposent que les obligations et responsabilités de chaque organisme intervenant dans le traitement de données personnelles soient clairement définies dans un accord, un contrat ou un autre acte juridique.

La bonne pratique

Effectuer une analyse approfondie de la responsabilité du traitement des données des adhérents avant de formaliser dans des supports juridiques (statuts, conventions, chartes, contrats…) les responsabilités de chacune des entités (syndicats, unions locales, fédérations professionnelles, confédération, etc.) intervenant dans le traitement de ces données, depuis la collecte des données jusqu’à leur suppression.

2. Assurer l’information des personnes

La CNIL relève qu’une information des adhérents existe quant aux traitements de données les concernant, que ce soit via les politiques de confidentialité diffusées sur les sites des organisations syndicales ou la diffusion aux syndicats adhérents de modèles de mentions d’information à intégrer sur les bulletins d’adhésion.

Pour autant, des insuffisances ont été constatées dans les supports d’information mis à la disposition des adhérents : politiques de confidentialité incomplètes ou mêlées à d’autres informations légales contribuant à rendre le contenu peu accessible, absence de mentions sur certains supports de collecte au format papier, etc.

La bonne pratique

Prévoir un double niveau d’information des personnes : collective et individualisée. Le site web de la confédération peut ainsi intégrer une page dédiée qui informe de façon collective les adhérents sur les traitements de données mis en œuvre par la confédération. Par ailleurs, le responsable de traitement doit informer de manière individuelle, au moment de la collecte, les adhérents des traitements mis en œuvre.

Si les données sont collectées via un support papier, dont le format peut être parfois difficilement compatible avec une information exhaustive des personnes, il est recommandé d’y faire figurer les informations essentielles (en particulier l’identité du responsable de traitement, la finalité des traitements, les droits des personnes et les coordonnées du délégué à la protection des données) et d’y ajouter l’adresse de la politique de confidentialité publiée sur le site web de la confédération.

Les articles 12 à 14 du RGPD précisent les informations que les responsables de traitement doivent porter à la connaissance des personnes. Afin d’accompagner les organismes dans leur démarche de conformité, la CNIL publie sur son site web des exemples de mentions d’information.

3. Définir une durée de conservation adaptée à chaque finalité

De manière générale, les vérifications opérées ont démontré que les organisations syndicales contrôlées ne maîtrisent pas suffisamment les durées de conservation des données traitées. Certaines de ces organisations n’avaient, au moment des contrôles, pas défini de durée de conservation des données des anciens adhérents tandis que d’autres, qui avaient défini des durées de conservation, n’avaient pas mis en œuvre de mécanismes de purge, automatique ou non, permettant d’en assurer le respect.

Enfin, la plupart de ces organisations n’avaient pas défini de procédure d’archivage intermédiaire s’agissant des données d’anciens adhérents dont la conservation peut être justifiée par d’autres finalités.

La bonne pratique         

Définir des durées de conservation strictes, le cas échéant avec des mécanismes de purge automatique.

Lorsque la personne n’est plus adhérente du syndicat, la conservation de ses données doit être justifiée par d’autres finalités que la gestion de son adhésion. Ces finalités peuvent par exemple être de nature probatoire (contentieux, obligations fiscales, etc.), statistique ou présentant un intérêt administratif, en particulier si l’ancien adhérent a exercé des fonctions au sein du syndicat ou en qualité de représentant syndical. Ces données doivent faire l’objet d’une procédure d’archivage intermédiaire avec restriction d’accès.

4. Sécuriser l’accès aux données

Les données des adhérents à un syndicat sont particulièrement sensibles et doivent faire l’objet d’une vigilance particulière en matière de sécurité.

Or, il ressort des contrôles réalisés que la protection de ces données n’est pas suffisante en raison de défauts de sécurisation des accès aux postes informatiques des employés des syndicats locaux ou des confédérations nationales (mots de passe insuffisamment robustes) ou aux messageries de ces employés, mais également en raison de l’absence de politique de mots de passe contraignante pour assurer l’authentification des adhérents à leur espace personnel sur le site web de la confédération.

La bonne pratique

Définir des politiques de sécurité destinées à garantir la confidentialité des données. Les données personnelles des adhérents ne doivent être accessibles qu’aux personnes ayant à en connaître. Il est recommandé de définir une politique d’habilitation qui définisse les droits d’accès et de modification pour chaque type de données en fonction du profil de l’utilisateur.

L’échange des informations entre les différentes entités intervenant dans le traitement des données doit également être sécurisé, en chiffrant les transferts de données ou en protégeant par mot de passe les éventuels fichiers échangés. Par ailleurs, les syndicats doivent mettre en œuvre des mesures de traçabilité des accès aux données, afin de détecter les accès illégitimes.

Enfin, la mise en œuvre de protections adéquates physiques (par exemple des armoires sécurisées) et logiques (restrictions d’accès informatique, mots de passe sécurisés, etc.) est nécessaire.