Rappels de bonnes pratiques indispensables pour assurer une bonne gestion des données
La Commission nationale de l'informatique et des libertés (CNIL), l'autorité de contrôle française au sens du RGPD, a annoncé avoir effectué des contrôles auprès de confédérations syndicales. Bien que celles-ci aient mis en place des moyens pour se mettre en conformité, la CNIL a tenu a rappelé certains principes a priori non respectés pleinement.
La gestion des responsabilités
La CNIL souligne le fait que les responsabilités ne sont pas clarifiées au sein des organisations syndicales. Ce phénomène n'est pas nouveau et il est fondamental de commencer par répondre à cette question avant d'entamer des actions de conformité. En effet, la responsabilité de la conformité appartient en premier lieu au responsable du traitement. En tant que sous-traitant, les responsabilités sont principalement cantonnées aux actions réalisées pour le compte du responsable du traitement. En tant que responsable du traitement conjoint, la responsabilité peut être cantonnée dans la convention qui lie les parties.
Formaliser les responsabilités permet de savoir quoi faire et par où commencer.
Pour le savoir, il est nécessaire de reprendre les définitions du RGPD.
Le responsable du traitement est défini par la personne (morale ou non), l'entité qui détermine les finalités et les moyens du traitement de données à caractère personnel. Si la définition est partagée, alors les responsabilités peuvent être conjointes. Souvent, la responsabilité sera portée par l'organisation incarnée par sa tête.
Le sous-traitant est la personne (morale ou non) ou l'entité qui agit pour le compte du responsable du traitement.
Selon la qualification, les formalités diffèrent. Un contrat devra être établi dans les conditions de l'article 28 du RGPD lors d'une relation entre un responsable du traitement et un sous-traitant. Un accord (généralement sous la forme d'un contrat) devra être formalisé et communiqué entre deux ou plusieurs responsables conjoints conformément à l'article 26 du RGPD.
Sans être obligatoire, les transferts de données entre responsables du traitement pourront également faire l'objet d'un contrat afin de garantir le respect des principes de protection des données.
Le rappel de la CNIL concerne des organisations syndicales mais cela concerne également toute organisation mêlant plusieurs entités. Nous pouvons par exemple penser aux groupes d'entreprise où le schéma des responsabilités devra être clarifié pour déterminer les actions de conformité. En particulier, chacune des entités devra tenir un registre des traitements dont elle a la responsabilité. Agissant en tant que sous-traitant, l'entité devra également tenir un registre des catégories de traitement qu'elle effectue pour le compte des responsables du traitement (souvent ses clients).
La qualification de la responsabilité peut avoir des conséquences fortes notamment en cas de contrôle, de sanctions, d'actions de groupe et de réparation du préjudice subi. Au-delà des sanctions administratives, les actions en responsabilité civile peuvent engendrer des coûts faramineux.
Le plus important est que la protection des droits des personnes soit assurée. La Cour de justice de l’Union européenne (CJUE) n’hésite pas à qualifier les responsabilités dans la poursuite de cet objectif.
Que dit la CNIL ?
Effectuer une analyse approfondie de la responsabilité du traitement des données des adhérents avant de formaliser dans des supports juridiques (statuts, conventions, chartes, contrats…) les responsabilités de chacune des entités (syndicats, unions locales, fédérations professionnelles, confédération, etc.) intervenant dans le traitement de ces données, depuis la collecte des données jusqu’à leur suppression.
Cette qualification doit s'effectuer par une analyse approfondie. Nous y reviendrons dans un prochain article dans ce blog. Mais nous pensons tout de suite à une grille d'analyse des responsabilités en fonction de critères déterminants tels que la raison d'être du traitement, le choix des outils, le bénéfice du traitement etc.
Information des personnes
La CNIL souligne une incohérence dans les documents remis aux personnes concernées par les traitements de données. Les politiques de confidentialité ne sont pas complètes ou noyées dans d’autres documents légaux difficilement lisibles. Parfois, les formulaires papier ne comprennent aucune information.
Il est ici question de transparence ! Principe cardinal de la protection des données. La transparence est gage de loyauté dans le traitement des données. La transparence est également le seul moyen pour les personnes d’exercer leurs droits.
N’oublions pas que les droits des personnes constituent le leitmotiv du RGPD dont l’objet est de donner le contrôle aux individus des données qui les concernent. La cour constitutionnelle allemande a formalisé ce concept il y a plusieurs dizaines d’années dans la formule suivante : l’autodétermination informationnelle.
Ainsi, il est fondamental d’assurer une bonne information. L’information doit être claire et accessible. Elle doit comprendre a minima l’identité du responsable du traitement, la finalité des traitements, les droits des personnes, les coordonnées du délégué à la protection des données et un lien vers la politique de confidentialité publiée sur le site web.
Que dit la CNIL ?
Prévoir un double niveau d’information des personnes : collective et individualisée. Le site web de la confédération peut ainsi intégrer une page dédiée qui informe de façon collective les adhérents sur les traitements de données mis en œuvre par la confédération. Par ailleurs, le responsable de traitement doit informer de manière individuelle, au moment de la collecte, les adhérents des traitements mis en œuvre.
Si les données sont collectées via un support papier, dont le format peut être parfois difficilement compatible avec une information exhaustive des personnes, il est recommandé d’y faire figurer les informations essentielles (en particulier l’identité du responsable de traitement, la finalité des traitements, les droits des personnes et les coordonnées du délégué à la protection des données) et d’y ajouter l’adresse de la politique de confidentialité publiée sur le site web de la confédération.
Les articles 12 à 14 du RGPD précisent les informations que les responsables de traitement doivent porter à la connaissance des personnes. Afin d’accompagner les organismes dans leur démarche de conformité, la CNIL publie sur son site web des exemples de mentions d’information.
L’approche retenue est le double niveau comme préconisé depuis des années par toutes les institutions traitant le sujet. On donne d’abord une information courte, essentielle et lisible, dans laquelle on renvoie avec une formule de type « en savoir plus » vers un document plus complet comme la politique ou la notice de confidentialité.
Durées de conservation
La CNIL relève que les organisations syndicales ne maîtrisent pas les durées de conservation des données traitées. Soit des durées n’avaient pas été fixées (pour la gestion d’adhérents par exemple), soit des durées fixées n’avaient pas été mises en œuvre de manière effective ou encore aucun mécanisme d’archivage intermédiaire n’est mis en place.
Que dit la CNIL ?
Définir des durées de conservation strictes, le cas échéant avec des mécanismes de purge automatique.
Lorsque la personne n’est plus adhérente du syndicat, la conservation de ses données doit être justifiée par d’autres finalités que la gestion de son adhésion. Ces finalités peuvent par exemple être de nature probatoire (contentieux, obligations fiscales, etc.), statistique ou présentant un intérêt administratif, en particulier si l’ancien adhérent a exercé des fonctions au sein du syndicat ou en qualité de représentant syndical. Ces données doivent faire l’objet d’une procédure d’archivage intermédiaire avec restriction d’accès.
La gestion des durées de conservation est un véritable casse-tête pour beaucoup d’organisations. La première étape est de définir ces durées. Celles-ci peuvent être numéraires (3 mois par exemple à compter de la collecte) ou conditionnées à une action (fin du contrat par exemple).
Il est indispensable de déterminer une durée de conservation pour chacune des finalités du traitement. Dans le cas où une activité de traitement va impliquer plusieurs finalités, une durée devra correspondre à chaque finalité. C’est le seul moyen de s’assurer que les données sont conservées pour une durée qui n’excède pas celle nécessaire à l’accomplissement de la finalité et, in fine, de respecter l’article 5 du RGPD.
Des référentiels de durées de conservation sont publiés par la CNIL. Cependant, ce choix doit se faire en responsabilité et être justifié. La loi impose parfois des durées (comme celle du bulletin de salaire par exemple).
Il est nécessaire de distinguer les durées en base active, c’est-à-dire en utilisation courante, et en base intermédiaire (l’archivage intermédiaire), c’est-à-dire, la conservation pour une autre finalité généralement, répondre à une obligation légale ou prévenir le contentieux. Cet archivage intermédiaire intervient une fois l’objectif de traitement des données atteint.
Cette gestion implique donc de documenter ces durées. Elle implique également une mise en œuvre effective et donc de mettre en place des processus techniques tels que des moyens de purge automatique de base de données ou une procédure de gestion des dossiers papier.
Un audit régulier pourra être réalisé pour s’assurer de cette bonne pratique.
Sécurité des données
Enfin, la CNIL remonte l’un des problèmes les plus courants : une sécurité insuffisante appliquée aux données personnelles. Les données syndicales font partie des données sensibles au sens de la loi « informatique et libertés » et du RGPD. Elles doivent ainsi être particulier protégées. En effet, le préjudice en cas d’atteinte à la sécurité (par exemple, en cas de divulgation à un tiers) est certainement plus important pour la personne concernée que d’autres données plus courantes.
La CNIL pointe l’absence de politique de mots de passe dans les organisations, que ce soit au niveau des postes de travail que sur le site internet de la confédération.
Que dit la CNIL ?
Définir des politiques de sécurité destinées à garantir la confidentialité des données. Les données personnelles des adhérents ne doivent être accessibles qu’aux personnes ayant à en connaître. Il est recommandé de définir une politique d’habilitation qui définisse les droits d’accès et de modification pour chaque type de données en fonction du profil de l’utilisateur.
L’échange des informations entre les différentes entités intervenant dans le traitement des données doit également être sécurisé, en chiffrant les transferts de données ou en protégeant par mot de passe les éventuels fichiers échangés. Par ailleurs, les syndicats doivent mettre en œuvre des mesures de traçabilité des accès aux données, afin de détecter les accès illégitimes.
Enfin, la mise en œuvre de protections adéquates physiques (par exemple des armoires sécurisées) et logiques (restrictions d’accès informatique, mots de passe sécurisés, etc.) est nécessaire.
En matière de sécurité, le mot de passe reste à l’heure actuelle le moyen le plus sûr pour assurer l’authentification des personnes et donc le respect de la confidentialité des données.
Un mot de passe doit répondre à des exigences de complexité et de longueur minimum (8 caractères dont 3 des 4 types de caractère) et être associé à des mesures complémentaires (comme un blocage après plusieurs tentatives infructueuses) pour réduire ces exigences.
Le mot de passe doit surtout être personnel et non partagé (non écrit sur des post-it sur les postes de travail). Un bon gestionnaire de mot de passe peut être une solution.
Il appartient aux organisations d’organiser la sécurité, de définir des objectifs et des moyens de sécurité à travers une politique de sécurité. Celle permettra de mettre en œuvre ce chantier spécifique à travers des mesures techniques (comme imposer un mot de passe ou mettre en place du chiffrement) et organisationnelles (assurer une gouvernance, piloter les rôles de chacun, organiser la réponse aux incidents de sécurité) mais avant tout par une sensibilisation accrue du personnel et des utilisateurs aux enjeux de sécurité et aux moyens mis en place.
Gestion de chantier
La CNIL le dit elle-même : la conformité n’est pas gravée dans le marbre et figée.
Le chantier de la protection des données demande une implication continue des métiers et d’avoir une personne dédiée à son suivi. Cela peut être le DPO, le RSSI pour la sécurité mais également d’autres opérationnels qui traitent les données. L’objectif est que cette démarche soit documentée et efficace.
Un outil peut s’avérer très utile pour gérer ce chantier. Vous pouvez partir d’une feuille blanche à partir d’une suite bureautique et trouver le bon rythme. Cependant, nous croyons que travailler sur Excel et Word n’est pas suffisant. Ces outils de travail s’adaptent à des personnes travaillant seul or le chantier doit impliquer un grand nombre de fonctions (dirigeants, DPO, RSSI, métiers, RH etc.). Dastra tente d’apporter une solution complète et efficace pour répondre à ces problématiques.
Nous ne pouvons que vous inviter à l’essayer.👨🚀🚀
A bientôt sur Dastra !
Source : CNIL