La CNIL a publié le 13 octobre 2020 des bonnes pratiques à l’attention des syndicats concernant leurs fichiers d’adhérents
Les syndicats, unions locales, fédérations professionnelles, confédération, etc.
Au regard des structures parfois complexes de ces organismes dotés de multiples échelons géographiques ou professionnels, la CNIL constate que les responsabilités de traitement ne sont pas toujours clairement définies ni documentées.
La CNIL rappelle que les articles 26 et 28 du RGPD imposent que les obligations et responsabilités de chaque organisme intervenant dans le traitement de données personnelles soient clairement définies dans un accord, un contrat ou un autre acte juridique, que l’organisme intervienne en tant que responsable conjoint (articles 26) ou sous-traitant (articles 28).
Elle recommande à titre de bonne pratique d’effectuer une analyse approfondie de la responsabilité du traitement des données des adhérents avant de formaliser dans des supports juridiques les responsabilités de chacune des entités intervenant dans le traitement de ces données, depuis la collecte des données jusqu’à leur suppression.
La CNIL constate des insuffisances dans les supports d’information mis à la disposition des adhérents.
La CNIL rappelle que les articles 12 à 14 du RGPD précisent les informations que les responsables de traitement doivent porter à la connaissance des personnes.
Elle recommande à titre de bonne pratique de prévoir un double niveau d’information des personnes : collective et individualisée.
Constatant que les durées de conservations de ce type de données ne sont pas maîtrisées voire pas définies et qu’il n’existe bien souvent pas de politique d’archivage intermédiaire, la CNIL rappelle qu’il convient de définir des durées de conservation strictes, le cas échéant avec des mécanismes de purge automatique.
Ainsi, lorsque la personne n’est plus adhérente du syndicat, la conservation de ses données doit être justifiée par d’autres finalités que la gestion de son adhésion et faire l’objet d’une procédure d’archivage intermédiaire avec restriction d’accès. A défaut, elles doivent être effacées.
La CNIL rappel que les données des adhérents à un syndicat, par exemple, sont particulièrement sensibles et doivent faire l’objet d’une vigilance particulière en matière de sécurité.
Constatant que la protection de ces données n’est pas suffisante, la CNIL rappelle qu’il convient de définir des politiques de sécurité destinées à garantir la confidentialité des données (politique d’accès aux personnes ayant à en connaître, politique d’habilitation des d’accès et modifications, politique d’échange des informations entre les différentes entités intervenant dans le traitement des données, mesures de traçabilité des accès aux données, sécurités physiques et logiques.
