Gestion par un syndicat des données personnelles : les conseils de la Cnil

Toute structure syndicale de salariés (sections locales, fédérations, confédérations) peut répondre à la consultation de la Cnil (commission nationale informatique et libertés) de même que les individus dont les informations personnelles peuvent être traitées par cette structure, comme les adhérents par exemple. Cette consultation, qui se déroule jusqu'au 18 mars 2022, porte sur un projet de "guide de sensibilisation au RGPD" (règlement général des données personnelles) élaboré par la commission pour aider les syndicats à gérer leurs données personnelles. 

Ce projet de guide, qui comprend un glossaire des termes techniques utilisés, explique les missions de la Cnil et propose 12 fiches thématiques résumant les principes "informatique et libertés". Ce document de 46 pages (à lire en pièce jointe) est accompagné d'un rappel des bonnes pratiques de gestion d'un fichier d'adhérents à un syndical et des multiples conseils de la Cnil sur le travail et les données personnelles. 

Rappelons que le RGPD est un règlement européen qui définit les règles s'imposant à tout organisme utilisant des informations personnelles. En France, il appartient à la Cnil (commission nationale informatique et libertés) de conseiller les personnes et organismes qui mettent en oeuvre des traitements automatisés de données. Il nous a semblé intéressant de résumer ici quelques conseils délivrés dans ce guide autour de 10 points.

Toute utilisation d’informations personnelles constitue un « traitement », quel que soit le procédé (collecte, enregistrement, conservation, consultation, utilisation, communication, etc). La Cnil cite comme exemples de traitements d’informations personnelles l’installation d’un système de vidéosurveillance au sein d'une organisation syndicale, un tableau Excel recensant les actions auprès des adhérents, la diffusion d’un formulaire de collecte d’informations personnelles sur votre site web. Il ne s'agit pas forcément d'outils numériques, un fichier papier est aussi concerné. 

Pour être conforme au RGPD, le syndicat doit fixer en amont l'objectif du traitement de données.Cet objectif doit être "déterminé, explicite et légitime". Que signifient ces termes ? 

Déterminé : il s'agit de fixer la nature et l’étendue des informations pouvant être collectées, le moment de la collecte et la durée de conservation des informations traitées. 

Explicite : il s'agit de dire en termes "clairs, simples et compréhensibles" que est l'objectif pousuivi par le traitement, et de l'annoncer expressément, même quand cela paraît évident."La personne concernée doit ainsi être en mesure de savoir quelles sont les utilisations possibles de ses informations personnelles par votre organisation syndicale dans le cadre des traitements déployés", avertit la Cnil.

Légitime : la notion n'est pas évidente, elle vise le respect de la loi. Par exemple, un syndicat ne peut pas transmettre son fichier d’adhérents à un organisme complémentaire de santé dès lors que ces informations répondaient à un objectif d’enregistrement des adhésions. "Les personnes concernées avaient communiqué leurs informations dans l’objectif d’adhérer à un mouvement et cela ne préjuge pas de leur souhait de recevoir des informations relatives à des organismes complémentaires de santé", dit la Cnil. Autre exemple donné par la commission : un traitement de données ne peut pas avoir pour objectif une discrimination illégale.

Pour aider les syndicats à choisir la bonne base légale pour leur traitement de données, la Cnil donne le projet de tableau suivant : 

3. Qui est responsable des données lorsqu’un traitement est mis en place ? 

Selon le RGPD, trois statuts sont possibles pour définir les responsabilités dans le traitement des données :

• responsable des données (également appelé « responsable de traitement ») : c'est lui qui décide de créer le traitement, en donne l'objectif et les moyens. Il doit disposer d'un réel pouvoir de décision.
• responsable conjoint des données : il s'agit d'entités participant au traitement et participant aussi aux décisions des objectifs et moyens de ce traitement. Par exemple, "si deux sections locales décident ensemble de mettre en œuvre une plateforme de gestion des adhésions, alors ces entités agissent en tant que responsables conjoints". 
• sous-traitant : un prestataire agissant sur instruction du responsable des données. C'est le cas du prestataire qui se voit confier par un syndicat "la conception et l’hébergement" du site web au sein duquel les adhérents disposent d’un espace personnel dédié. 

Entre ces trois fonctions, un contrat ou un autre acte juridique devra être établi "afin de préciser les obligations de chacun en ce qui concerne l’objet, la durée, la nature et l’objectif du traitement, les catégories d’informations collectées sur les travailleurs, etc.".

Ce cadre étant un peu théorique par rapport aux réalités syndicales, la Cnil indique que l’entité qui définit l’objectif et les caractéristiques du traitement relatif à la gestion des adhésions est celle qui est considérée comme étant le responsable des données, qu’il s’agisse de la confédération, de l’union locale, régionale ou de la section nationale. "Par exemple, énonce le projet de guide, si une union locale gère un service d’enregistrement des demandes d’adhésion à l’union locale (c’est-à-dire qu’elle s’occupe de l’envoi et de la réception des bulletins d’adhésion et procède à l’enregistrement des informations personnelles des adhérents dans une base de données dont elle détermine les personnes habilitées à y accéder et les mesures de sécurité afférentes), alors elle agit en tant que responsable des données pour la gestion des adhésions. À l’inverse, si c’est la confédération qui se charge de ce traitement alors elle sera considérée comme responsable des données pour la gestion des adhésions".

Les informations pouvant être traitées doivent être "adéquates, pertinentes et strictement nécessaires à l’objectif poursuivi". La Cnil donne cet exemple : lorsqu’un adhérent bénéficie d’un accompagnement juridique du syndicat pour un contentieux prud’homal, la personne en charge de cet accompagnement n’a pas à collecter des informations relatives aux collègues de l’adhérent accompagné, dès lors que cette information ne présente aucun lien avec le litige en cause.

Le conseil général est de limiter les infos au "strict nécessaire". Par exemple, il est possible de collecter des informations relatives à la composition familiale de l’adhérent pour déterminer le montant de la cotisation syndicale, mais "la collecte des noms, prénoms et dates de naissance des enfants de l’adhérent n’apparaît en revanche pas nécessaire".

Pour une adhésion syndicale, la Cnil mentionne : 

• les informations d’identification (par exemple : nom, prénom) ;
• les coordonnées de contact ;
• la catégorie socio-professionnelle et le poste occupé ;
• l’entreprise ou l’organisme dans lequel le futur adhérent travaille.

En revanche, "il est interdit de demander à un futur adhérent : son numéro de sécurité sociale ; des informations relatives aux appartenances syndicales des membres de sa famille ; sa nationalité".

• les bonnes pratiques pour les fichiers d'adhérents syndicaux;
• tous les contenus autour du travail et des données personnelles;

• le droit d’accès des salariés à leurs données et aux courriels professionnels.

Représentants du personnel

Les représentants du personnel sont des salariés élus ou désignés chargés de représenter les salariés de l’entreprise avec des missions spécifiques selon l’instance représentative du personnel (IRP) à laquelle ils appartiennent. Il y a quatre grandes IRP : les DP, le CE, CHSCT et les délégués syndicaux.  Au 1er janvier 2020, l’ensemble des IRP (hormis les délégués syndicaux) devront fusionner au sein du CSE.

Découvrir tous les contenus liés

L’enquête du CSE en cas de RPS

Je télécharge gratuitement