Actualité
12.11.2020

La CNIL, les organisations professionnelles et syndicales et leurs fichiers d’adhérents

La CNIL a publié le 13 octobre 2020 des bonnes pratiques à l’attention des syndicats concernant leurs fichiers d’adhérents

Quelles sont les organismes concernés par ces bonnes pratiques ?

Les syndicats, unions locales, fédérations professionnelles, confédération, etc.

Comment ces organismes doivent formaliser les responsabilités en matière de traitement de données d’adhérents ?

Au regard des structures parfois complexes de ces organismes dotés de multiples échelons géographiques ou professionnels, la CNIL constate que les responsabilités de traitement ne sont pas toujours clairement définies ni documentées.

La CNIL rappelle que les articles 26 et 28 du RGPD imposent que les obligations et responsabilités de chaque organisme intervenant dans le traitement de données personnelles soient clairement définies dans un accord, un contrat ou un autre acte juridique, que l’organisme intervienne en tant que responsable conjoint (articles 26) ou sous-traitant (articles 28).

Elle recommande à titre de bonne pratique d’effectuer une analyse approfondie de la responsabilité du traitement des données des adhérents avant de formaliser dans des supports juridiques les responsabilités de chacune des entités intervenant dans le traitement de ces données, depuis la collecte des données jusqu’à leur suppression.

Comme assurer l’information des personnes concernées ?

La CNIL constate des insuffisances dans les supports d’information mis à la disposition des adhérents.

La CNIL rappelle que les articles 12 à 14 du RGPD précisent les informations que les responsables de traitement doivent porter à la connaissance des personnes.

Elle recommande à titre de bonne pratique de prévoir un double niveau d’information des personnes : collective et individualisée.

  • Information collective : le site web de l’organisme peut ainsi intégrer une page dédiée qui informe de façon collective les adhérents sur les traitements de données mis en œuvre
  • Information individualisée: le responsable de traitement doit informer de manière individuelle, au moment de la collecte, les adhérents des traitements mis en œuvre.

Quelles durées de conservations des données ?

Constatant que les durées de conservations de ce type de données ne sont pas maîtrisées voire pas définies et qu’il n’existe bien souvent pas de politique d’archivage intermédiaire, la CNIL rappelle qu’il convient de définir des durées de conservation strictes, le cas échéant avec des mécanismes de purge automatique.

Ainsi, lorsque la personne n’est plus adhérente du syndicat, la conservation de ses données doit être justifiée par d’autres finalités que la gestion de son adhésion et faire l’objet d’une procédure d’archivage intermédiaire avec restriction d’accès. A défaut, elles doivent être effacées.

Comment sécuriser l’accès aux données ?

La CNIL rappel que les données des adhérents à un syndicat, par exemple, sont particulièrement sensibles et doivent faire l’objet d’une vigilance particulière en matière de sécurité.

Constatant que la protection de ces données n’est pas suffisante, la CNIL rappelle qu’il convient de définir des politiques de sécurité destinées à garantir la confidentialité des données (politique d’accès aux personnes ayant à en connaître, politique d’habilitation des d’accès et modifications, politique d’échange des informations entre les différentes entités intervenant dans le traitement des données, mesures de traçabilité des accès aux données, sécurités physiques et logiques.

Laurent CARRIÉ
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
FOCUS DDG
Métavers & IP :
Quelle stratégie juridique pour votre entreprise ?
DÉcouvrir
DDG utilise des cookies dans le but de vous proposer des services fonctionnels, dans le respect de notre politique de confidentialité et notre gestion des cookies (en savoir plus). Si vous acceptez les cookies, cliquer ici.