Cogitiel = logiciel monolithique de gestion des adhésions, cotisations, etc. de la CGT.
Comme les autres syndicats, la CGT est constituée de syndicats d'établissement (CGT entreprise machin, par exemple), qui adhérent à une union nationale (ex. : CGT Éduc'action) et/ou à une fédération nationale (ex. : FERC SUP) qui, elles-mêmes, adhèrent à la Confédération Générale du Travail, la fameuse CGT. Il y a également un maillage territorial, constitué par les unions départementales et locales, qui permettent de rassembler et de coordonner en fonction de la géographie plutôt que des métiers (interprofessionnel).
Le secrétaire général (président) d'une union locale m'a divulgué (à un tiers, donc) des données persos sur des adhérents d'un syndicat d'établissement, alors que ce syndicat n'est même pas dans sa zone de chalandise. Pourquoi y a-t-il accès ? Le Cogitiel n'octroie-t-il pas trop de droits ? Le RGPD impose la sécurité des données persos et leur traitement minimal et proportionné.
Du coup, hop, signalement à la CNIL il y a plusieurs mois.
Bonjour,
Fin février, je voulais entrer en contact avec le syndicat CGT d'une entité de ma ville.
De passage dans les locaux de l'Union Locale <CENSURE> (UL) de la CGT, j'ai demandé à son secrétaire général (SG) s'il connaissait personnellement des membres de ce syndicat, s'il en avait déjà croisé lors de rencontres organisées par l'UL, etc. afin de faciliter ma prise de contact.
Le SG de l'UL a alors fait une recherche dans le Cogitiel, le logiciel web de gestion des adhésions, cotisations, etc. À ma connaissance, il est maintenu par la Confédération (c'est-à-dire la CGT), que je considère donc comme étant la responsable du traitement, d'où la présente réclamation vise la Confédération et non pas l'UL <CENSURE>.
Une recherche dans le Cogitiel dépasse le cadre de ma question, c'est une sur-réaction, je demandais à un individu s'il en connaissait d'autres, rien de plus. J'ai prévenu le SG sur l'instant, mais il a continué sa recherche dans le Cogitiel.
Ensuite, le SG a tourné l'écran de son ordinateur vers moi, me divulguant les noms, prénoms, date de naissance, adresse postale, numéros de téléphone, adresse emails, statut (à jour de cotisation, etc.), etc. de tous les syndiqués du syndicat que je cherchais. Il m'a noté, sur un post-it, l'adresse emails de deux syndiqués jeunes et à jour de cotisation. Cf. PJ 1.
Cela constitue une divulgation illicite de données personnelles à un tiers en cela que je ne suis pas syndiqué à l'UL, et que son secrétaire général, qui me "connaissait" depuis peu via le mouvement social autour de la réforme 2023 des retraites, n'avait pas de preuve d'une éventuelle syndicalisation CGT de ma part, etc. De plus, l'association entre ces adresses emails et l'appartenance syndicale de leur détenteur, donnée personnelle sensible, ne semble pas être publique.
J'ai également été étonné que le secrétaire général de l'UL <CENSURE> ait accès aux données personnelles des membres d'un syndicat d'établissement qui n'est pas dans la zone géographique de chalandise de ladite UL. En effet, le syndicat recherché est national et basé à Paris, donc il n'est pas affilié / adhérent à l'UL <CENSURE>.De ce que j'en sais, le Cogitiel a une structure arborescente (les syndiqués sont rattachés à un syndicat, lui-même rattaché à plusieurs structures que sont les unions, les fédérations, etc.). Une gestion fine des droits apparaît donc comme possible (en sus d'être désirable et une obligation RGPD).
L'UL <CENSURE> me semble détenir trop de droits (de lecture, etc.) sur trop d'items (structures, fiche de syndiqués, etc.) du Cogitiel. Il s'agit d'une atteinte à la confidentialité des données personnelles des syndiqués de la CGT et au principe de minimisation : l'UL devrait avoir accès uniquement à ce qui la concerne, aux syndicats de sa zone géographique de chalandise, dans le cas présent. Le fait que ce ne soit manifestement pas le cas constitue une entorse aux articles 32, 5.1.c, et 5.1.f du RGPD.
D'une manière générale, de ce qui m'a été donné à voir, le Cogitiel est une usine à gaz monolithique développée il y a des années et dont l'utilisation (pour y saisir les membres d'un syndicat, par exemple) nécessite une formation. Le contexte humain n'aide pas : peu de personnes actives pour beaucoup de choses à faire (comme dans beaucoup d’associations), un certain jemenfoutisme de la législation, etc. Ce double contexte technique et humain laisse à penser que le Cogitiel ne garantit aujourd'hui pas la confidentialité des données personnelles des syndiqués, alors qu'il devrait justement insister sur cela afin de palier aux contextes décrits.
La présente a pour objectif d'informer la CNIL de la divulgation de données personnelles sus-relatée et de la solliciter afin qu’elle mette un terme à l'infraction au RGPD référencée dans la présente, et qu’elle sanctionne la CGT.Je vais communiquer les mêmes éléments au DPO de la CGT.
Je vous rappelle l’arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a confirmé que l'exercice des droits (accès, opposition, etc.) n'est pas un pré-requis au dépôt d’une plainte auprès d'une APD en cas de violation du RGPD et qu'une APD peut donc agir même si la personne physique concernée par un traitement de données personnelles n'a pas (encore) fait valoir ses droits auprès du responsable du traitement en question.
Bonne journée.