Le RGPD pour une association d’alumni

Petit lexique :

• RGPD = Règlement Général sur la Protection des Données
• DPO = Data Protection Officer
• RT = Responsable de Traitement
• ST = Sous-Traitant
• Traitement : toute opération, manuelle ou automatisée, faite sur des données personnelles (collecte, modification, consultation, export…)

Le RGPD (Réglement Général sur la Protection des Données), ou GDPR en anglais, est le texte de référence européen en matière de protection des données personnelles pour les résidents de l’UE qui est entré en vigueur le 25 mai 2018.

Les objectifs du RGPD sont de renforcer les droits des personnes concernant leurs données personnelles (et les devoirs de ceux qui sont en charge de les traiter). Par exemple :

Le RGPD s’applique à tous les organismes quelle que soit leur taille, leur secteur ou leur caractère public ou privé, votre association est donc concernée.

Pour respecter le RGPD, trois grand principes sont à garder en tête :

1. Logique de conformité (Accountability) :

Votre association doit mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il convient donc d’anticiper les risques potentiels plutôt que d’attendre une sanction éventuelle en se posant la question : qui voudrait récupérer/utiliser votre base de données et dans quelle optique ?

Par exemple :

2. Logique de coresponsabilité :

Le RGPD instaure aussi un régime de coresponsabilité des sous-traitants. Contractuellement, ces derniers s’engagent, entre autres, à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.

Par exemple :

3. Confidentialité par le design et par défaut (Privacy by design/by default) :

De façon proactive, le RT intègre la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie des données, de leur collecte à leur suppression. De plus, le plus haut niveau de protection sera activé par défaut.

Par exemple :

Cette partie adapte les 6 étapes préconisées par la CNIL dont nous vous conseillons la lecture : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

1. DÉSIGNER UN DPO (DATA PROTECTION OFFICER)

Doté idéalement de compétences juridiques et techniques, le DPO est le délégué à la protection des données. Il est en charge d’informer et de conseiller son équipe sur les obligations du RGPD et de vérifier la conformité des traitements réalisés par l’association et ses sous-traitants (NetAnswer, imprimeur, responsable du publipostage…).

Nous vous suggérons de créer un alias pour votre propre nom de domaine, afin que votre DPO puisse être contacté à dpo@VOTRE_DOMAINE. Cela vous permettra de communiquer simplement vis à vis de vos membres, tout en pouvant mettre plusieurs destinataires derrière cet alias (votre DPO mais également votre président ou tout autre personne qui pourrait être amenée à répondre à une demande d’un de vos membres).

POUR NOS CLIENTS

Le DPO de NetAnswer est Loïc Février, il sera l’interlocuteur chez NetAnswer de votre DPO, Si vous n’avez pas encore désigné un DPO (Data Protection Officer), nous vous invitons à nous communiquer les coordonnées de la personne qui occupera ce rôle dans votre structure afin de faciliter nos échanges en envoyant un mail à dpo(at)netanswer(point).fr

2. CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement quel impact a le RGPD sur la protection de vos données, recensez de façon précise vos traitements de données personnelles en les qualifiant dans un registre établi par votre DPO. Il doit contenir :

• Nom et coordonnées du RT (l’association) et du DPO,
• Finalités des traitements (automatisés ou non) réalisés sur les données,
• Catégories des données et des personnes concernées,
• Les catégories des destinataires de ces données,
• Les acteurs (internes ou externes) qui traitent ces données (notamment les sous-traitants),
• Les délais prévus pour l’effacement des données si la demande vous en est faite;
• Une description des mesures de sécurités techniques et organisationnelles.

3. PRIORISER LES ACTIONS À MENER

Une fois le registre renseigné, vous aurez une vue globale sur tous les traitements réalisés et pourrez identifier ceux qui posent problème dans le cadre du RGPD. Vous pourrez alors mener les actions pour vous y conformer par ordre de priorité en étant notamment vigilant sur les points suivants :

• Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées
• Identifiez la base juridique sur laquelle se fonde votre traitement (consentement de la personne, contrat, obligation légale…)
• Révisez vos mentions d’information afin qu’elles soient conformes au règlement
• Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées
• Prévoyez les modalités d’exercice des droits des personnes concernées
• Vérifiez vos mesures de sécurité mises en place en interne.

4. GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

Pour chaque traitement (interne ou par un ST) susceptible d’engendrer des risques élevés, une analyse d’impact doit être menée par le DPO :

• Quel événement peut présenter un risque pour les personnes ?
• Quelles situations rendent possible un tel événement ?
• Quelle est la probabilité et l’impact de ce risque ?
• Quelles mesures peuvent être prises pour traiter/mitiger ses risques et se conformer au RGPD ?

Cette analyse d’impact est réalisée de manière conjointe par le RT et le ST. Ainsi, NetAnswer accompagne ses clients dans cette démarche pour définir les traitements que nous réalisons pour eux.

Exemple :

• Événement envisagé : un ordinateur portable est perdu/volé.
• Situation : un administrateur possède une copie (d’une partie) de la base de données sur cet ordinateur portable (export excel par exemple).Événement envisagé : le portable est perdu/volé.
• Impact du risque : les coordonnées postales et les emails des membres peuvent être utilisés pour faire du démarchage, de l’usurpation d’identité, du phishing….
• Mesures à prendre : Y a-t-il nécessité d’avoir cette copie sur ce portable ? Est-il possible de crypter ces données et de les décrypter si besoin ? Déterminer qui peut effectuer des exports ou conserver ce type de données. Limiter les données exportées. Sensibiliser les personnes aux risques pris. Supprimer les exports de données une fois qu’ils ont été utilisés (après un événement par exemple).

5. ORGANISER LES PROCESSUS INTERNES

Pour inscrire ce plan d’actions dans la durée, il convient de mettre en place des proces visant à garantir l’intégrité des données tout au long de la vie, de la collecte à sa suppression et de former les équipes en interne.

Exemple :

En cas d’une violation des données, le responsable de traitement doit informer la CNIL au plus tard dans les 72 heures de la connaissance de la violation en communiquant :

• Nature de la violation,
• Nombre de personnes concernées,
• Type de données concernées,
• Nom et coordonnées du DPO,
• Conséquences probables,
• Mesures prises ou à prendre.

Les personnes concernées doivent être informées dans les meilleurs délais en communiquant :

• Nature de la violation,
• Nom et coordonnées du DPO,
• Conséquences probables,
• Mesures prises ou à prendre.

Concernant les autres personnes, il n’est pas précisé d’obligation de joindre 100% des membres aussi une communication par email (et/ou sur le site) pourrait suffire.

6. DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Vous êtes prêts à documenter votre conformité vis à vis du RGPD en réunissant :

• Le registre des traitements,
• Les éventuelles analyses d’impacts,
• Une description des procédures mises en place pour informer les personnes, recueillir leur consentement et pour leur permettre d’exercer leurs droits,
• Les contrats revus avec vos sous-traitants,
• Les procédures internes prévues en cas de demande ou violation de données.

Il s’agit donc simplement de réunir les différents documents montrant que vous respectez bien le RGPD et que vous avez planifié les actions à mener dans les différents cas pouvant se présenter.

SOURCES

RGPD, publication au journal officiel : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FRA&toc=OJ:L:2016:119:TOC

https://www.cnil.fr/fr/se-preparer-au-reglement-europeen

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants

https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions

UNE QUESTION ?