Les données relatives à l’appartenance syndicale sont « sensibles », autrement dit, en principe interdites de traitement, sauf exception. La CNIL a élaboré un guide à l’usage des organisations syndicales pour leur permettre de respecter le Règlement général sur la protection des données et bien protéger les données de leurs adhérents.
Les organisations syndicales doivent également respecter le Règlement général sur la protection des données (RGPD) entré en vigueur depuis 2018. La CNIL a donc publié un guide de 68 pages à leur intention. Il leur sera d’autant plus utile que les données collectées qui relèvent de l’appartenance syndicale font l’objet d’une protection toute particulière, au même titre que les données relatives à la santé, la prétendue origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, ou encore à la vie sexuelle ou l’orientation sexuelle. Le RGPD stipule que ces données dites « sensibles » sont en principe interdites de traitement, sauf exception. La fiche n°5 du guide est particulièrement éclairante sur ce point.
Les responsables syndicaux trouveront dans ce guide un rappel clair des principales notions juridiques (définitions de la donnée personnelle, d’un traitement de données ou d’une finalité) ainsi que des explications précises sur les trois statuts possibles pour les acteurs qui utilisent des données personnelles (responsable de traitement, responsable conjoint de traitement et sous-traitant). Un tableau (page 14) liste avec précision la nature des obligations des différents statuts afin d’éviter toute confusion. Les syndicats pourront aussi s’assurer de la légalité des traitements de données qu’ils envisagent. Le guide aborde également la situation des échanges de données entre structures syndicales (voir la fiche n°8).
Le type de données personnelles pouvant être récoltées fait l’objet d’un avertissement très clair : elles ne doivent pas être collectées « au cas où », autrement dit, pour un éventuel besoin ultérieur. Il est ainsi interdit, lors de l’adhésion, de demander des données « en anticipation d’un accompagnement juridique futur ». Une structure syndicale peut certes traiter des données relatives aux infractions et aux condamnations pénales, mais uniquement pour la préparation, l’exercice et le suivi d’une action en justice en tant que victime ou mise en cause, ou pour le compte de ceux-ci. Ces données ne peuvent pas être traitées pour d’autres motifs.
Le guide expose enfin toute une série d’exemples inspirés de situations réelles. Il explique notamment dans quelles conditions les données recueillies auprès des adhérents peuvent être transmises à un organisme complémentaire de santé. Les annexes seront d’autant plus utiles qu’elles passent en revue les bons réflexes à avoir, fournissent un exemple de fiche de registre vierge pour chaque activité de traitement qui sera mise en place, l’ensemble des fiches devant être regroupées dans un registre des activités de traitements.
Retrouvez le guide de la CNIL en cliquant sur ce lien.
Visualisez la pièce jointe