1 of 23

LE RGPD�APPLIQUÉ DANS UN EAJE�A GESTION ASSOCIATIVE

ANNECY – JUIN 2024

2 of 23

Programme - jour 1

  • Présentation du RGPD
      • Le RGPD : qu’est-ce que c’est ?
      • Qui est concerné ?
      • Définitions
      • Les données sensibles
      • Se mettre en conformité
  • La durée de conservation des documents
  • Les activités de traitement de données dans un EAJE
  • Le dossier enfant
      • Les informations indispensables / utiles / non pertinentes / interdites
      • L’accès aux informations
      • Un dossier type

Le RGPD appliqué dans un EAJE à gestion associative

3 of 23

Programme - jour 2

  • Le registre des activités de traitement
    • Le document
    • Les fiches des activités de traitement
  • L’information des personnes concernées
  • Les outils informatiques
    • Le logiciel EAJE
    • Les mails
    • Les outils de partage de documents
  • Les photos
    • Le droit à l’image
    • La diffusion des photos

Le RGPD appliqué dans un EAJE à gestion associative

4 of 23

Le site de la formation

ferme.yeswiki.net/RGPD24ANNECY

  • Prise de notes partagées

  • Ressources

  • Evaluations

Le RGPD appliqué dans un EAJE à gestion associative

5 of 23

Le RGPD : qu’est-ce que c’est ?

Une directive européenne transposée en droit français applicable depuis le 25 mai 2018

Le RGPD appliqué dans un EAJE à gestion associative

6 of 23

Qui est concerné ?

  • Le RGPD s’applique à tout traitement de données à caractère personnel réalisé par une personne morale, qu’il s’agisse d’un traitement automatisé ou non.

  • Les organisations comptant moins de 250 salariés bénéficient d’une application simplifiée.

  • Le RGPD ne s’applique pas aux données relatives aux personnes morales.

Le RGPD appliqué dans un EAJE à gestion associative

7 of 23

Définitions

Source : RGPD – Article 4�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

  • donnée à caractère personnel :�toute information se rapportant à une personne physique identifiée ou identifiable
  • personne physique identifiable :�une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
  • traitement de données :�toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction

Le RGPD appliqué dans un EAJE à gestion associative

8 of 23

Les données sensibles

Source : RGPD – Article 9�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9

  • Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
  • Des exceptions, notamment lorsque « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ».

Le RGPD appliqué dans un EAJE à gestion associative

9 of 23

Se mettre en conformité

  1. Identifier les activités qui font l’objet d’une collecte et d’un traitement de données personnelles relatives :
  2. aux bénéficiaires du service
  3. aux salariés de l’association
  4. aux adhérents de l’association
  5. aux personnes extérieures à l’association

Le RGPD appliqué dans un EAJE à gestion associative

10 of 23

Se mettre en conformité

  1. Pour chaque activité identifiée, se poser les questions :
  2. Par qui et comment sont collectées les données ?
  3. Quelles sont les données collectées ?
  4. Pourquoi sont-elles collectées ?
  5. Où sont-elles stockées ?
  6. Qui y a accès ?
  7. Comment sont-elles sécurisées ?
  8. Jusqu’à quand sont-elles conservées ?

Le RGPD appliqué dans un EAJE à gestion associative

11 of 23

Se mettre en conformité

  1. Etablir le Registre des activités de traitement de données

  • S’assurer que les pratiques correspondent à ce qui a été écrit

  • Faire évoluer le registre si des activités de traitement ont été créées ou modifiées

Le RGPD appliqué dans un EAJE à gestion associative

12 of 23

Se mettre en conformité

  1. Appliquer la démarche RGPD

  • Ranger les classeurs dans des armoires fermées à clé
  • Garder les données personnelles ailleurs que sur les murs
  • Protéger son ordinateur avec un (vrai) mot de passe
  • Détruire les documents qui ne sont plus nécessaires

Le RGPD appliqué dans un EAJE à gestion associative

13 of 23

La durée de conservation des documents

  • Dossiers des enfants (fiches de renseignements, contrats, justificatifs d’absences…) : 5 ans
  • Dossiers du personnel : 5 ans
  • Fonctionnement de l’association : 5 ans
  • Documents fiscaux : 6 ans
  • Comptabilité : 5 ou 10 ans
  • Transmissions : 1 mois
  • Feuilles de présence : 1 mois avec tablette ou badgeuse / 5 ans sans tablette ou badgeuse

Pour aller plus loin :

Le document A11 dans « la boite à docs ACEPP »

Le site service-public.fr

Le RGPD appliqué dans un EAJE à gestion associative

14 of 23

Le registre�des activités�de traitement

Source : RGPD – Article 30�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

  • le nom et les coordonnées du responsable du traitement
  • les finalités du traitement
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers
  • les délais prévus pour l'effacement des différentes catégories de données
  • une description générale des mesures de sécurité techniques et organisationnelles

Le RGPD appliqué dans un EAJE à gestion associative

15 of 23

La base légale du traitement

Source : RGPD – Articles 12 et suivants�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel.

Les bases légales prévues par le RGPD :

  • le consentement : la personne a consenti au traitement de ses données
  • le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée
  • l’obligation légale : le traitement est imposé par des textes légaux
  • la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public
  • l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées
  • la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Le RGPD appliqué dans un EAJE à gestion associative

16 of 23

L’information des personnes concernées

Source : RGPD – Articles 12 et suivants�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12

  • Le responsable du traitement prend des mesures appropriées pour fournir toute information […] qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
  • Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique.
  • L’information doit être réalisée au moment du recueil des données.

Le RGPD appliqué dans un EAJE à gestion associative

17 of 23

L’information des personnes concernées

Les informations obligatoires

  • Identité et coordonnées de l’organisme et du responsable du traitement de données
  • Finalités
  • Base légale du traitement de données
  • Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
  • Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
  • Durée de conservation des données (ou critères permettant de la déterminer) ;
  • Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements)
  • Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
  • Droit d’introduire une réclamation auprès de la CNIL.

Le RGPD appliqué dans un EAJE à gestion associative

18 of 23

L’information des personnes concernées

Les informations complémentaires selon les cas :

  • le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
  • l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;
  • l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
  • le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
  • les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité.

Le RGPD appliqué dans un EAJE à gestion associative

19 of 23

Les outils informatiques

Le logiciel EAJE

  • Créer des accès individuels
  • Ouvrir les droits selon les besoins liés aux missions de chaque intervenant
  • Purger les anciens dossiers

Le RGPD appliqué dans un EAJE à gestion associative

20 of 23

Les outils informatiques

Les mails

  • Utiliser la copie cachée / CCI pour les mails collectifs
  • Créer des boîtes mail de fonction
  • Supprimer les accès en cas de départ

Le RGPD appliqué dans un EAJE à gestion associative

21 of 23

Les outils informatiques

Les outils de partage de documents

  • Créer des dossiers partagés par fonction
  • Supprimer les accès en cas de départ
  • Purger les documents qui ne sont plus nécessaires

Le RGPD appliqué dans un EAJE à gestion associative

22 of 23

Les photos et vidéos

Le droit à l’image

  • Indiquer l’usage qui sera fait
  • Demander le consentement

Le RGPD appliqué dans un EAJE à gestion associative

23 of 23

Les photos et vidéos

La diffusion des photos et vidéos

  • Définir le niveau de diffusion
  • Sécuriser les modalités d’accès
  • Envisager une charte de bonne conduite

Le RGPD appliqué dans un EAJE à gestion associative