L'Explication Prémisse
Cet article précise quelles catégories de données personnelles d’un mandataire départemental d’une organisation syndicale ou professionnelle peuvent être conservées dans un fichier automatisé : son nom, prénoms et civilité ; ses adresses postale et électronique (perso ou pro) ; son numéro de mobile (perso ou pro) ; la dénomination sociale de l’organisation qu’il représente ; et sa qualité de mandataire pour la désignation des conseillers prud’hommes. Autrement dit, seules ces informations nécessaires à la gestion de la désignation des conseillers prud’hommes peuvent être enregistrées, et leur traitement doit rester conforme aux règles de protection des données (finalité limitée, sécurité, information des personnes, etc.).
Exemple en entreprise : le service des relations sociales reçoit d’une organisation syndicale la liste des mandataires départementaux pour la désignation des conseillers prud’hommes. Le fichier contient pour chaque mandataire : nom, civilité, adresse e‑mail professionnelle, numéro de portable professionnel, la dénomination de l’organisation et la mention « mandataire dûment mandaté ». Le service l’utilise pour organiser les réunions de désignation et pour échanger avec le mandataire. Le fichier est stocké dans l’outil RH avec accès restreint, conservé uniquement le temps nécessaire à la procédure de désignation, et chaque mandataire reçoit une information sur le traitement et sur ses droits d’accès et de rectification.
- Catégories autorisées : nom, prénoms, civilité ; adresses postale et électronique (perso ou pro) ; numéro de mobile (perso ou pro) ; dénomination sociale de l’organisation ; qualité de mandataire.
- Finalité limitée : ces données ne doivent être traitées que pour les besoins liés à la désignation/gestion des conseillers prud’hommes et tâches connexes.
- Principe de minimisation : on ne collecte ni n’enregistre d’autres catégories de données (notamment données sensibles) sans base légale supplémentaire.
- Base légale/texte spécifique : l’article du Code du travail fixe le cadre législatif permettant ce traitement ; le responsable du traitement doit néanmoins respecter le RGPD et la loi Informatique et Libertés.
- Information et droits : les mandataires doivent être informés du traitement et peuvent exercer leurs droits (accès, rectification, opposition dans les limites légales, effacement selon les règles applicables).
- Durée de conservation : conservation limitée au strict nécessaire à la finalité (par ex. durée de la procédure de désignation), avec règles de suppression ou d’archivage sécurisé ensuite.
- Sécurité et accès : accès restreint aux personnes habilitées, mesures techniques et organisationnelles pour protéger les données.
- Interdiction d’usage détourné : les données ne doivent pas être réutilisées pour du recrutement, de la prospection commerciale ou d’autres finalités non prévues sans nouveau fondement juridique.
- Preuve du mandat : la mention de « mandataire dûment mandaté » doit pouvoir être justifiée par l’organisation en cas de contrôle.
- Contrôle et sanctions : la CNIL peut contrôler les traitements et sanctionner les manquements au RGPD et au Code du travail.