Noms, prénoms, parfois nombre de membres de la famille pour le calcul du montant des cotisations, appartenance syndicale… Autant de données personnelles de personnes physiques (adhérents, futurs adhérents, journalistes, élus, partenaires…) que les organisations syndicales peuvent être amenées à collecter. À tous les niveaux, de la section à la fédération, en passant par l’union départementale. Depuis cinq ans déjà, dans ce cadre, elles doivent appliquer le règlement général de la protection des données (RGPD). L’obligation de conformité à cette règle européenne date en effet du 25 mai 2018.
Il demeure parfois encore complexe de déterminer ce qui est conforme ou ce qui ne l’est pas. Pourtant, quelques grands principes s’énoncent clairement.
RGPD au niveau syndical : les fondamentaux à savoir
La CNIL a publié un guide de sensibilisation au règlement général sur la protection des données à destination des syndicats. De quoi en appréhender les principes et les règles à appliquer dans leur fonctionnement interne.
TRAITEMENT DE DONNÉES PERSONNELLES : DE QUOI PARLE-T-ON ?
Les données personnelles rassemblent les informations qui permettent d’identifier, directement (le nom par exemple) ou non (un numéro d’adhérent), une personne physique. Leur collecte, leur conservation ou même leur simple consultation constituent un traitement, et cela vaut tant pour les fichiers informatiques que pour des fiches papier. Ce traitement est autorisé de façon réglementée, si et seulement s’il s’exerce dans le cadre d’une finalité précise, à l’image de la gestion administrative des adhérents ou de l’établissement de listes de diffusion de documents de communication.
Chaque finalité doit donc être déterminée en amont, être exprimée auprès de ceux dont on collecte les données de façon explicite, et elle se doit d’être légitime. Si chaque finalité représente un traitement en soi, quelques règles communes s’appliquent à toutes.
COLLECTE, CONSERVATION, UTILISATION : LES RÈGLES D’OR
- Un recueil minimaliste. Seules les données pertinentes avec l’objectif poursuivi peuvent être collectées et donner lieu à un traitement. Elles doivent donc être le moins détaillées possible. Inutile, par exemple, de connaître le nom ou l’âge des enfants d’une famille pour calculer le montant d’une adhésion. En savoir le nombre suffit. Dès lors, il convient de veiller, dans la collecte de justificatifs, à ce que ceux-ci ne comprennent pas plus d’informations que celles qui sont nécessaires à l’organisation. De même, en cas de changements de logiciels, privilégier ceux qui tracent le moins les utilisateurs s’avère indispensable. Certains collectent des informations personnelles inutiles, comme la géolocalisation : mieux vaut les écarter.
- Le traitement doit être licite. Sa finalité est conforme au droit et il repose sur l’une des 6 bases légales instituées par le RGPD comme l’exécution d’un contrat ou encore le consentement. La base légale est portée à la connaissance de la personne concernée car elle conditionne ses droits.
- Une réutilisation interdite. À de très rares exceptions près, les données collectées avec un objectif ne sauraient être utilisées dans le but d’atteindre autre chose que la finalité initiale qui a conduit à les rassembler. Elles ne peuvent davantage être transmises à un organisme tiers. Sauf à quelques destinataires internes et externes comme les experts comptables et les organismes de formation. Mais s’il s’agit de l’appartenance syndicale, un des motifs de discrimination reconnus, et donc une donnée sensible, la personne concernée doit avoir donné son consentement.
- Une durée resserrée. La conservation dans le temps, elle aussi, doit se réduire au strict minimum. Elle doit avoir été définie en amont, en corrélation avec la finalité du recueil et de la conservation.
- La désignation d’un délégué à la protection des données. Point de contact pour la Commission nationale de l'informatique et des libertés (CNIL), ce délégué informe et conseille le responsable de traitement afin de s’assurer de l’utilisation conforme des données personnelles. Sa désignation est obligatoire dès lors que l’organisation traite à grande échelle des données sensibles comme l’appartenance syndicale. Pour certains traitements, la responsabilité peut être conjointe, par exemple exercée à la fois par une section syndicale et une fédération.
LA SÉCURISATION, UN ENJEU CAPITAL
Mots de passe exigeants et régulièrement modifiés, mais aussi armoires bouclées. Sur les plans informatique aussi bien que physique, la confidentialité des données doit demeurer un objet d’attention permanente.
REGISTRE DES TRAITEMENTS : UN DOCUMENT DE RÉFÉRENCE
L’organisation doit formaliser dans un document unique l’ensemble des procédures établies. Et ainsi documenter son respect des règles.
GUIDE DE LA CNIL : UN OUTIL ADAPTÉ À VOS BESOINS
Élaboré en collaboration avec les organisations syndicales (voir encadré ci-contre), le document rédigé par la CNIL illustre les règles d’exemples concrets tirés des activités des structures syndicales : sections, fédérations…
Ce guide traite du fonctionnement interne des organisations syndicales. Pour les questions liées aux ressources humaines, il conviendra de se reporter aux guides à destination des employeurs. De même, il n’aborde pas ce qui relève de l’action syndicale au sein d’une entreprise.
« UN TRAVAIL PERMANENT ET ITÉRATIF »
« Pour que le guide de la CNIL corresponde aux besoins et activités réels de nos organisations, nous avons apporté des exemples concrets d’actions, analyse Jean Siro, délégué à la protection des données (DPO) de la confédération CFE-CGC. Nous avons pour cela répondu au questionnaire que nous a adressé la CNIL sur les données que nous utilisions, conservions, etc. »
« Pour le déploiement en interne, nous avons abordé avec l’ensemble des fédérations 10 thématiques (registre, sous-traitance…) pour décrypter chaque grande obligation, souligne Jean Siro. Cette année, nous proposerons un nouveau cycle d’échanges. C’est un travail permanent et itératif. Avant, les organisations syndicales partageaient une culture de la confidentialité, notamment en raison de la discrimination en lien avec l’appartenance syndicale. Nous étions exemptés de déclarer nos fichiers en raison de leur contenu, riche en données sensibles. Désormais, précisément du fait de la sensibilité des information détenues, nous avons d’autant plus d’obligations. La marche a été haute. Cette réglementation européenne est certes pointilleuse, mais elle sert la protection des individus. Et elle s’applique à tous. »
Sophie Massieu