Mise à jour de la politique RGPD du CAD

 Rappel des principes de la RGPD

 1 - NE COLLECTEZ QUE LES DONNÉES VRAIMENT NÉCESSAIRES POUR ATTEINDRE VOTRE OBJECTIF

 1.1 Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial.

 1.2 Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».

 1.3 Le principe de minimisation limite la collecte aux seules données strictement nécessaires à la réalisation de votre objectif.

 2 - SOYEZ TRANSPARENT

 2.1 Les individus doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’ils soient clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte. Les données ne peuvent en aucun cas être collectées à leur insu. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.

 3 - ORGANISEZ ET FACILITEZ L’EXERCICE DES DROITS DES PERSONNES

 3.1 Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil). Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.

 4 - FIXEZ DES DURÉES DE CONSERVATION

 4.1 Vous ne pouvez pas conserver les données indéfiniment.

 4.2 Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.

 5 - SÉCURISEZ LES DONNÉES ET IDENTIFIEZ LES RISQUES

 5.1 Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques. Cela consiste aussi à s’assurer que seuls les tiers autorisés par des textes ont accès aux données. Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.

 6 - INSCRIVEZ LA MISE EN CONFORMITÉ DANS UNE DÉMARCHE CONTINUE

 6.1 La conformité n’est pas gravée dans le marbre et figée.
Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en oeuvre.
Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.

 Application des principes de la RGPD au CAD

 Mesures générales mises en place par le CAD

4 périmètres ont été définis :

• A. les adhérents et les élus du CAD (ainsi que certains "invités")
• B. les personnes inscrites à nos newsletters
• C. les salariés en relation avec des membres du CAD dans le cadres de mandat électif ou désignatif au sein de l’entreprise
• D. les salariés officiellement interfaces des membres du CAD (Direction, autres syndicats et membres de l’administration)
• E. les listes mises en place dans le cadre du développement syndicale.

Lors de la première AG annuelle du syndicat ou lors d’une AG dédiée sur le sujet, tous les critères de la RGPD sont annuellement revus.

Update 2020 : dans le cadre de leurs mandats, les membres du CAD peuvent être amené à collecter de manière assez extensive des informations très personnelles (notamment pour les problèmes de vérification de non discrimination ou de vérification de ce qui est réellement mis en place par la Direction). Ces données sont anonymisées dès que la collecte et l’exploitation de ces informations est terminée. Nouveau : les salariés doivent être informés de quand cette anonymisation à lieu.

 Application de la notice CNIL sur les 6 bon réflexes.

 1.1 L’adéquation du but de l’adéquation de la collecte des données, des buts de ces listes et des buts de notre organisation est exposée et débattue lors de l’AG annuelle portant sur le sujet. toutes notes utiles à l’information des personnes est notifiée dans le CR publique de l’AG (à partir de 2021, il est trop tard pour cette année).

 1.2 Le principe au CAD à toujours été de ne faire aucun traitement particulier ultérieur outre l’usage courant et dynamique de ces listes dans la respect de la finalité initiale de ces listes.

 1.3 Le principe au CAD à toujours été de minimiser la collecte des données au stricte nécessaire aussi bien en terme du nombre de données collectées que de la conservation de celle-ci dans le temps.

 2.1 Les informations suivantes sont mises en place :

• publication de la politique RGPD du CAD (c’est cet article !)
• envoi chaque année en janvier de la notice d’information aux personnes (à partir de 2021)
• publication annuelle sur nos tableaux d’information syndicale (le rappelle du lien vers cet article suffit)

 3.1 Mise en place de référents sur chaque périmètre pour que les personnes puissent exercer leurs droits de consultation ou d’accès, de rectification ou de suppression des données, ces référents ne sont pas identifiées de manière ponctuelle mais de manière définitive par rapport aux fonctions exercées au sein du CAD :

• A. tresorier cad-st.org, si pas de réponse : secretaire cad-st.org
• B. webmaster cad-st.org, si pas de réponse : secretaire cad-st.org
• C. l’élu ou le mandaté du CAD, si pas de réponse : le secrétaire local du site concerné, et si toujours pas de réponse : secretaire cad-st.org
• D. seuls les emails sont collectées afin d’être utilisée par les membres du CAD et uniquement le temps où ces personnes sont des interfaces de membres du CAD. Ces listes sont dynamiques, ne sont pas archivées et ne font l’objet d’aucun traitement particulier. Au cas où les référents sont : webmaster cad-st.org, si pas de réponse : secretaire cad-st.org.
• E. le développement syndical est par nature confidentiel. Au cas où, la personne en charge est secretaire cad-st.org.

 4.1 Aucune information n’est gardée sur le long terme par le CAD autres que les données minimales légales historiques.
Les données individuelles collectées par les membres du CAD dans le cadre de leurs mandats ne sont conservés que le temps de ces mandats ou des éventuelles actions en cours, dans le respect de la finalité de ces mandats après le temps de l’épuisement de tous recours légaux (maximum 5 ans après).

 4.2 implicite mais doit être systématiquement rappelé lors de l’AG annuelle.

 5.1 Le webmaster et le secrétaire général ont accès à toutes les données conservées par le CAD qui sont conservées soit sur un serveur de type IONOS ou OVH, soit sur le NAS privé du CAD.
Le trésorier a un accès partiel à ces données.
Les secrétaire locaux ainsi que d’éventuels personnes en charge de la gestion locale de la liste de diffusion ont accès (sans possibilité de modification) aux listes de diffusion.
Chaque élu ou mandaté du CAD s’engage à conserver les données individuelles dont il a accès de la manière la plus hautement confidentielle.

 6.1 L’évolution de la politique RGPD du CAD et l’aspect sécurité des données est revue chaque année lors de l’AG annuelle dédié au sujet.

 Notice d’information des personnes

Le CAD traite les données recueillies dans 5 différents périmètres dont la finalité est implicite à la définition de ces périmètres (mettre un lien vers cet article).

Les deux périmètres suivant font l’objet de l’envoi annuel de cette notice d’information (en janvier à partir de 2021) :

• A. les adhérents et les élus du CAD (ainsi que certains "invités")
• B. les personnes inscrites à nos newsletters

Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, reportez-vous à la notice ci-dessous.

Les informations recueillies sont enregistrées dans des fichiers informatisés par le CAD. La base légale du traitement est strictement celles des droits et devoirs des organisations syndicales de salariés.

Les données collectées ne seront communiquées à personne en dehors des responsables du CAD tels que définis par la politique RGPD (mettre un lien vers cet article), sauf des donnes statistiques strictement collectives (exemple : le nombre de personnes inscrites sur un site peu être diffusé).

Elles ne sont conservés que le temps où elles sont pertinentes (par exemple, uniquement pendant le temps où vous vous êtes inscrits sur nos newsletter ou de votre adhésion au CAD), et après le temps de l’épuisement de tous recours légaux (maximum 5 ans après) mais dans ce cas uniquement de façon minimale (c’est à dire principalement les données historiques).

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données.
A noter que concernant nos listes de diffusion, chaque personne inscrite peut directement gérer à la fois son inscription (ou pas) à ces listes et toutes les données (autres que historiques) le concernant grâce à un lien qui est envoyé dans tous les messages de nos newsletters (en pied de page).

Consultez le site cnil.fr pour plus d’informations sur vos droits.

Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter (le cas échéant, notre délégué à la protection des données ou le service chargé de l’exercice de ces droits) : webmaster cad-st.org (ou donc si pas de réponse à secretaire cad-st.org).

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.