060 60
RGPD
PAROLES D’EXPERT
LE RGPD c’est quoi ?
Le RGPD - Règlement général sur la protection des données du 27 avril 2016 est le cadre juridique de l’Union européenne qui gouverne la collecte, le traitement et la circulation des données à caractère personnel. Il est entré en vigueur le 25 mai 2018. Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : - qu’elle est établie sur le territoire de l’Union européenne, - ou que son activité cible directement des résidents européens. Le Comité Économique et Social doit donc se conformer à cette obligation, pusique traite des données personnelles notamment dans la gestion des ASC.
DPO Manager accompagne/forme les organismes dans leur mise en conformité RGPD. Hélène GANDON, fondatrice de DPO Manager propose un rappel sur le RGPD pour SELECTION CSE.
www.dpo-manager.fr contact@dpo-manager.fr 07 83 90 55 00
061 61
Licéité loyauté Transparence
Intégrité et confidentialité
Limitation des finalités
LE RGPD les 6 principes Limitation de la conservation
Minimisation des données
Exactitude
Qu’est-ce qu’une donnée à caractère personnel ? Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. Une personne physique peut être identifiée : • directement • indirectement L’identification d’une personne physique peut être réalisée : • à partir d’une seule donnée • à partir du croisement d’un ensemble de données :
- Un nom - Une photo - Une empreinte - Une adresse postale - Une adresse mail même professionnelle dès lors qu’elle identifie le salarié (ex : p.nom@entreprise.fr) - Un numéro de téléphone - Un numéro de sécurité sociale - Un matricule interne, - Une adresse IP - Un identifiant de connexion informatique - Un enregistrement vocal, vidéo - etc...
S’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.
62
Qu’est-ce qu’un traitement de données ?
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement. Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle. Exemples de traitements devant être conforme au RGPD :
En Interne
Relation clients/Partenaires
Digital
Gestion des élus
Envoi/Réception de courriers
Photos/vidéos des élus/salariés
Gestion des fiches de frais
Facturation/Règlements
Site web
Plan de formation
Gestion des fichiers clients/prospects
Formulaire de contact
Gestions du fichier Fournisseurs/Partenaires
Newsletter
Gestion des accès
063 63
LES 6 ACTIONS CLES D’UNE MISE EN CONFORMITE - Cartographier les données, recenser précisément les données, leurs traitements, leurs flux, les composantes par lesquelles elles circulent et les acteurs qui les traitent. - Mettre en place un registre des traitements Le registre mentionne notamment le nom et les coordonnées de l’entreprise responsable du traitement et du DPD/DPO, les finalités du traitement, la description des catégories des personnes concernées, les délais prévus pour l’effacement des données, la description des mesures de sécurité pour les protéger. Il décrit les traitements et documents de leur conformité au règlement et à la loi nationale afin de pouvoir en justifier, à tout moment, en cas de contrôle de la Cnil. - Gérer Mener des analyses d’impact pour les traitements considérés comme présentant « un risque élevé » pour les personnes. - Veiller à encadrer l’information des personnes concernées (patients, fournisseurs, étudiants, usagers, etc.) et s’assurer de l’effectivité de leurs droits (droit d’accès, de rectification, d’opposition, etc.). - Désigner un délégué à la protection des données – DPO - lorsque cela est obligatoire dans certains cas. Le DPO peut être commun à l’entreprise cependant son rôle risque de porter atteinte à son indépendance, conflits d’interêts… selon les situations. - Renseigner les actions menées pour garantir la sécurité des données.
- Intégrer dans votre règlement intérieur les notions de collecte, durées de conservation, renseigner les salariés sur un contact pour exercer leur droit (accès, modification, suppression de données). Les sous-traitants : Lorsqu’un traitement est effectué par un sous-traitant tel qu’un prestataire de service informatique ou un prestataire proposant un service impliquant de traiter les données pour le compte du responsable de traitement, celuici doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Comment gérer votre relation avec un soustraitant ? 1 - Demander au sous-traitant quelle est sa politique de protection des données à caractère personnel 2 - Documenter les instructions données en matière de sécurité et de confidentialité. 3 - Élaborer un contrat entre les acteurs mentionnant leurs obligations respectives 4 - Effectuer une revue des contrats existants pour vérifier les mentions obligatoires
LE DOSSIER PAPIER EST ÉGALEMENT CONCERNÉ ? Le RGPD s’applique à tout support qui traite de données personnelles, numérique mais également les documents papier.
AU SEIN DE VOTRE COMITÉ, SAVEZ-VOUS ?
• • • •
Qui est le responsable du traitement des données ? Quelle est la durée de conservation des données (élus/salariés) ? Quelles sont les données que vous collectez ? Quelles données sont archivées ou supprimées ?