Syndicats et protection des données : les 6 enseignements du guide RGPD par la CNIL
Par Agnès Redon | Le | Syndicats
En collaboration avec les organisations syndicales de salariés, la CNIL a publié un guide de sensibilisation au règlement général sur la protection des données (RGPD) pour mise en conformité.
Sur la finalité des données personnelles
Concernant la finalité des données personnelles, pour se mettre en conformité, il faut :
- S’assurer que tous vos traitements disposent d’une finalité déterminée, explicite et légitime ;
- Vérifier que les données collectées pour répondre à cette finalité ne sont pas réutilisées pour répondre à un autre objectif, sauf à ce que cette réutilisation soit compatible avec la finalité initiale et à la condition d’en avoir informé la personne concernée ;
- Dans le cadre de l’analyse de compatibilité entre deux finalités, documenter votre démarche afin d’être en mesure de la justifier.
- Ainsi, en cas de réutilisation des données personnelles pour une finalité ultérieure qui serait compatible avec la finalité initiale, votre structure syndicale devra s’assurer d’informer la personne concernée avant la mise en place du traitement ultérieur et celle-ci devra être en mesure de s’y opposer.
Sur la responsabilité de chacune des structures de l’organisation syndicale
Concernant les différentes responsabilités en matière de protection de données personnelles, il faut :
- Effectuer une analyse approfondie de la responsabilité de chacune des structures de l’organisation syndicale (syndicats, union territoriales, fédérations professionnelles, confédération, etc.) intervenant dans le traitement des données personnelles, depuis leur collecte jusqu’à leur suppression ;
- Tracer, dans les supports de documentation interne, la réflexion menée et la justification retenue pour déterminer le statut des acteurs ;
- Établir des supports juridiques (statuts, conventions, chartes, contrats, etc.) afin de clarifier et de déterminer les rôles et les obligations de chacun ;
- Informer les personnes concernées de l’identité du ou des responsable de traitement afin qu’elles puissent exercer leurs droits ;
- Pour être accompagné dans l’analyse du statut de l’acteur concerné, échanger avec le délégué à la protection des données de votre structure syndicale.
Sur le traitement licite des données personnelles
Pour se mettre en conformité sur le traitement licite des données personnelles, il faut :
- Choisir la base légale fondant la mise en place du traitement et la justifier (à travers de la documentation, la référence aux articles de loi dans le registre des traitements c’est-à-dire la liste des traitements mis en place par votre organisme, etc.).
- Indiquer cette base légale dans le registre des traitements mis en place dans votre structure syndicale ;
- Porter cette base légale à la connaissance des personnes concernées dans une mention d’information.
Sur la communication des données
Pour se mettre en conformité sur la transmission des données, il faut :
- Vérifier la légitimité de la demande de communication de données ;
- Obtenir le consentement de la personne concernée si la demande de communication vise des données révélant l’appartenance syndicale des personnes concernées ;
- Analyser la pertinence des données demandées ainsi que le niveau de détail approprié ;
- Préciser les destinataires des données personnelles dans la fiche figurant dans la liste des traitements mis en place par votre structure syndicale ;
- Informer les personnes concernées des destinataires ou des catégories de destinataires des données via la mention d’information.
Sur la durée de conservation des données
Pour se mettre en conformité sur la durée de conservation des données, il faut :
- Apprécier la durée de conservation envisagée au regard de la finalité du traitement ;
- Documenter sa démarche afin d’être en mesure de justifier la durée de conservation définie ;
- Mettre en place des mesures techniques et organisationnelles pour supprimer régulièrement les données à l’expiration des durées de conservation concernées.
- Assurer la destruction ou anonymiser les données une fois que les durées de conservation fixées ont été atteintes.
Sur la sécurisation des données
Pour se mettre en conformité sur la sécurisation des données personnelles, il faut :
- Établir une charte informatique rappelant les obligations de chacun ;
- Prendre connaissance du guide sur la sécurité des données de la CNIL qui permettra de vous accompagner dans la définition des mesures de sécurité nécessaires ainsi que des recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI), par exemple celles relatives à la sécurisation des sites Web ;
- Lorsque votre traitement est susceptible de présenter des risques élevés pour les droits et libertés des personnes concernées, vous devez réaliser une analyse d’impact relative à la protection des données (AIPD) pour gérer ces risques et mettre en place les mesures adaptées permettant de les limiter à un niveau acceptable.