Comment mettre en place�le RGPD ?�Une question d’éthique��ACEPP 69

Programme

• Le RGPD : qu’est-ce que c’est ?
• Qui est concerné ?
• Définitions
• La démarche
• Identifier les activités de traitement
• Faire le tri : la conservation des documents
• Le registre des activités de traitement
• L’information des personnes concernées
• Les bons réflexes au quotidien : RGPD

Le RGPD appliqué dans un EAJE

Le RGPD : qu’est-ce que c’est ?

Une directive européenne

transposée en droit français

applicable depuis le 25 mai 2018

Le RGPD appliqué dans un EAJE

Qui est concerné ?

• Le RGPD s’applique à tout traitement de données à caractère personnel réalisé par une personne morale, qu’il s’agisse d’un traitement automatisé ou non.

​

• Les organisations comptant moins de 250 salariés bénéficient d’une application simplifiée.

​

• Le RGPD ne s’applique pas aux données relatives aux personnes morales.

​

Le RGPD appliqué dans un EAJE

Définitions

Source : RGPD – Article 4�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

• donnée à caractère personnel :�toute information se rapportant à une personne physique identifiée ou identifiable
• personne physique identifiable :�une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
• traitement de données :�toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction

Le RGPD appliqué dans un EAJE

Les données sensibles

Source : RGPD – Article 9�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9

​

• Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

​

• Des exceptions sont possibles, notamment lorsque « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ».

Le RGPD appliqué dans un EAJE

La démarche

• 1) Identifier les traitements de données

​

• 2) Faire le tri dans les procédures de collecte de données

​

• 3) Créer un registre des activités de traitement

​

• 4) Informer les personnes concernées

​

• 5) Protéger les données collectées

Le RGPD appliqué dans un EAJE

Identifier les traitements de données

Identifier les activités qui font l’objet d’une collecte et d’un traitement de données personnelles relatives :

• aux bénéficiaires du service
• aux salariés de l’association
• aux adhérents de l’association
• aux personnes extérieures à l’association

Le RGPD appliqué dans un EAJE

Identifier les traitements de données

​

Pour chaque activité identifiée, se poser les questions :

• Par qui et comment sont collectées les données ?
• Quelles sont les données collectées ?
• Pourquoi sont-elles collectées ?
• Où sont-elles stockées ?
• Qui y a accès ?
• Comment sont-elles sécurisées ?
• Jusqu’à quand sont-elles conservées ?
• Que deviennent-elles ensuite ?

Le RGPD appliqué dans un EAJE

Faire le tri : la conservation des documents

• Dossiers des enfants (fiches de renseignements, contrats, justificatifs d’absences…) : 5 ans (changement depuis septembre 2022)
• Dossiers du personnel : 5 ans
• Fonctionnement de l’association : 5 ans
• Documents fiscaux : 6 ans
• Comptabilité : 5 ou 10 ans

​

Pour aller plus loin : �Le document A11 dans « la boite à docs ACEPP »

Le RGPD appliqué dans un EAJE

Le registre des activités de traitement

Source : RGPD – Article 30�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

• le nom et les coordonnées du responsable du traitement et […] du représentant du responsable du traitement […] ;
• les finalités du traitement ;
• une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
• les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées […] ;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers […] ;
• dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles […].

Le RGPD appliqué dans un EAJE

L’information des personnes concernées

Source : RGPD – Articles 12 et suivants�https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12

​

• Le responsable du traitement prend des mesures appropriées pour fournir toute information […] qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […].
• Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique.
• L’information doit être réalisée au moment du recueil des données.

Le RGPD appliqué dans un EAJE

L’information des personnes concernées

Les informations obligatoires

• Identité et coordonnées de l’organisme (responsable du traitement de données) ;
• Finalités (à quoi vont servir les données collectées) ;
• Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
• Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
• Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
• Durée de conservation des données (ou critères permettant de la déterminer) ;
• Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements)
• Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
• Droit d’introduire une réclamation auprès de la CNIL.

Le RGPD appliqué dans un EAJE

L’information des personnes concernées

Les informations complémentaires selon les cas :

• le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
• l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;
• l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
• le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
• les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité.

Le RGPD appliqué dans un EAJE

Les bons réflexes au quotidien

• Ranger les classeurs dans des armoires fermées à clé

​

• Garder les données personnelles ailleurs que sur les murs

​

• Protéger son ordinateur avec un (vrai) mot de passe

​

• Détruire les documents qui ne sont plus nécessaires

Le RGPD appliqué dans un EAJE

Avez-vous des questions?

C’est maintenant ou jamais…

Le RGPD appliqué dans un EAJE

Merci de votre attention et de votre participation

A bientôt

pour une nouvelle formation

avec le réseau ACEPP !

Le RGPD appliqué dans un EAJE