Nous voici donc d\u00e9j\u00e0 bien avanc\u00e9s. Les notions et acteurs centraux du RGPD sont identifi\u00e9s, il faut d\u00e9sormais entrer dans le c\u0153ur du sujet, \u00e0 savoir tout mettre en \u0153uvre au sein de votre organisme pour respecter au mieux le RGPD. <\/p>\n\n\n\n
Pour atteindre cet objectif, prenons comme r\u00e9f\u00e9rence la \u201cbible\u201d que constitue le site de la CNIL et suivons les six principes qu\u2019il \u00e9nonce pour d\u00e9rouler les actions concr\u00e8tes \u00e0 mettre en \u0153uvre. <\/p>\n\n\n 1. Ne collectez que les donn\u00e9es vraiment n\u00e9cessaires pour atteindre votre objectif<\/strong><\/p>\n 2. Soyez transparent <\/strong><\/p>\n 3. Organisez et facilitez l\u2019exercice des droits des personnes<\/span><\/span>\u00a0<\/span><\/strong><\/p>\n 4. Fixez des dur\u00e9es de conservation<\/span><\/span>\u00a0<\/span><\/strong><\/p>\n 5. S\u00e9curisez les donn\u00e9es et identifiez les risques<\/span><\/span>\u00a0<\/span><\/strong><\/p>\n 6. Une d\u00e9marche continue \u00e0 approfondir en conclusion<\/strong><\/p>\n<\/div><\/div><\/section>\n\n\n Commen\u00e7ons par ce qui doit devenir le centre de pilotage de votre politique RGPD : le registre des activit\u00e9s de traitement. Ce document obligatoire vous permet de recenser et d\u2019analyser les traitements de donn\u00e9es personnelles qui vous sont confi\u00e9es et d\u2019identifier les parties prenantes qui interviennent, les cat\u00e9gories de donn\u00e9es trait\u00e9es, leurs finalit\u00e9s, leurs dur\u00e9es de conservation et les mesures de s\u00e9curit\u00e9 mises en place pour les prot\u00e9ger. <\/p>\n\n\n\n \ud83d\udd09Le principe de minimisation <\/strong><\/p>\n\n\n\n Cette pratique se nomme \u201cle principe de minimisation\u201d <\/strong>dans le RGPD. Comme le d\u00e9finit la CNIL, il \u201cpr\u00e9voit que les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre ad\u00e9quates, pertinentes et limit\u00e9es \u00e0 ce qui est n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es.\u201d <\/em>Pour donner un cas d\u2019application, il n\u2019est pas n\u00e9cessaire de fournir le statut marital d\u2019un salari\u00e9 dans un fichier RH. <\/p>\n\n\n\n Pourtant, si ce document de gestion des donn\u00e9es collect\u00e9es est absolument indispensable, la protection des donn\u00e9es, elle, commence au moment o\u00f9 vous d\u00e9cidez quelles donn\u00e9es collecter, pour quel usage et sur quel fondement juridique. <\/p>\n\n\n\n Pour cela, nous pouvons nous appuyer sur les acquis de la premi\u00e8re partie. Avant de cr\u00e9er un fichier ou un formulaire, posez-vous d\u2019abord la question du \u201cpourquoi\u201d. <\/p>\n\n\n\n La finalit\u00e9 donc, doit \u00eatre d\u00e9termin\u00e9e, explicite (formul\u00e9e noir sur blanc) et l\u00e9gitime (coh\u00e9rente avec votre mission et le droit applicable). Vous ne pouvez pas collecter des informations \u201cau cas o\u00f9\u201d elles serviraient plus tard. <\/p>\n\n\n\n Ainsi, pour chaque traitement, prenez l\u2019habitude de r\u00e9diger une phrase de finalit\u00e9, courte et compr\u00e9hensible, que vous pourrez r\u00e9utiliser dans votre registre et vos mentions d\u2019information. <\/p>\n\n\n\n \ud83d\udcd1Les bases l\u00e9gales pour votre association<\/strong><\/p>\n\n\n\n Pensez \u00e9galement \u00e0 mentionner l\u2019une des bases l\u00e9gales pr\u00e9vues par le RGPD. Votre choix de base l\u00e9gale doit \u00eatre fait une fois pour toutes, document\u00e9 dans le registre des traitements, et rendu visible dans vos mentions d\u2019information. <\/p>\n\n\n\n Des questions suppl\u00e9mentaires doivent \u00e9galement se poser pour r\u00e9pondre au principe de minimisation. Il exige de ne collecter que les donn\u00e9es strictement n\u00e9cessaires \u00e0 la finalit\u00e9 poursuivie. Concr\u00e8tement, cela signifie qu\u2019avant de cr\u00e9er un formulaire ou un fichier, vous devez passer chaque champ au \u201ccrible\u201d suivant : <\/p>\n\n\n\n Si la r\u00e9ponse n\u2019est pas un \u201coui\u201d clair, supprimez le champ. \ud83c\udf1eL’appliquer au quotidien ! <\/strong><\/p>\n\n\n\n Pour appliquer ce principe au quotidien, vous pouvez cr\u00e9er les outils et documents suivants : <\/p>\n\n\n\n Au moment de vous confier des informations les concernant, les personnes dont vous traitez les donn\u00e9es doivent comprendre ce que vous faites, pourquoi vous le faites, et quels sont leurs droits. <\/p>\n\n\n\n \ud83e\udd14Comment appliquer la transparence dans votre organisation ? <\/strong><\/p>\n\n\n\n La transparence est un pilier du RGPD : on ne collecte pas de donn\u00e9es \u00e0 l\u2019insu des personnes, ni pour des usages cach\u00e9s. <\/p>\n\n\n\n Au moment o\u00f9 vous collectez les donn\u00e9es, la personne doit ainsi savoir : <\/p>\n\n\n\n Cette information doit \u00eatre r\u00e9dig\u00e9e dans un langage clair et compr\u00e9hensible par le public concern\u00e9, en \u00e9vitant le jargon juridique. <\/p>\n\n\n\n Pour plus de lisibilit\u00e9 dans vos documents, vous pouvez distinguer deux niveaux d\u2019information. <\/p>\n\n\n\n La mention \u201ccourte\u201d, directement attach\u00e9e au formulaire (papier ou en ligne), qui r\u00e9sume les points essentiels : finalit\u00e9, base l\u00e9gale, principaux destinataires, dur\u00e9e de conservation, droits et contact. <\/p>\n\n\n\n Une politique de confidentialit\u00e9 plus d\u00e9taill\u00e9e (par exemple sur votre site web ou dans un livret remis aux personnes), qui reprend l\u2019ensemble des traitements et des droits de mani\u00e8re structur\u00e9e. <\/p>\n\n\n\n L\u2019important est que la personne puisse facilement retrouver l\u2019information qui la concerne, sans avoir \u00e0 fouiller dans d\u2019innombrables documents.<\/p>\n\n\n\n \ud83d\udee0\ufe0fQuid des outils externes ? <\/strong><\/p>\n\n\n\n Le m\u00eame principe de transparence<\/strong> s\u2019applique lorsque vous utilisez des outils externes. Vous devez informer les personnes que leurs donn\u00e9es sont h\u00e9berg\u00e9es ou trait\u00e9es par ces prestataires. Pr\u00e9ciser si les donn\u00e9es peuvent \u00eatre transf\u00e9r\u00e9es hors de l\u2019Union europ\u00e9enne, et sous quelles garanties. Encadrer la relation par un contrat ou des conditions \u00e9crites, pr\u00e9voyant les obligations de confidentialit\u00e9, de s\u00e9curit\u00e9 et d\u2019assistance. <\/p>\n\n\n\n Informer sur les droits ne suffit pas : vous devez aussi organiser votre structure pour \u00eatre r\u00e9ellement capable d\u2019y r\u00e9pondre dans de bonnes conditions.\u00a0<\/p>\n\n\n\n \ud83d\udee1\ufe0fLes droits prot\u00e9g\u00e9s par le RGPD<\/strong><\/p>\n\n\n\n Avant d\u2019entrer dans le levier qui vous permettront d\u2019assurer que les personnes puissent facilement disposer de leurs droits, faisons un \u00e9tat g\u00e9n\u00e9ral de leurs droits : <\/p>\n\n\n\n Le droit \u00e0 l’information : <\/strong>toute personne a le droit d’\u00eatre inform\u00e9e de mani\u00e8re claire, transparente et compr\u00e9hensible sur le traitement de ses donn\u00e9es personnelles. Cette information doit \u00eatre fournie au moment de la collecte des donn\u00e9es, que ce soit directement aupr\u00e8s de la personne ou via un tiers. <\/p>\n\n\n\n Le droit d’acc\u00e8s :<\/strong> toute personne peut demander au responsable de traitement si des donn\u00e9es la concernant sont trait\u00e9es et, le cas \u00e9ch\u00e9ant, obtenir une copie de ces donn\u00e9es ainsi que des informations sur les modalit\u00e9s du traitement. Vous disposez d’un d\u00e9lai d’un mois pour r\u00e9pondre. <\/p>\n\n\n\n Le droit de rectification :<\/strong> toute personne peut demander la rectification de donn\u00e9es inexactes ou incompl\u00e8tes la concernant. Si vous constatez qu’une donn\u00e9e est erron\u00e9e suite \u00e0 une demande, vous devez la corriger sans d\u00e9lai. Ce droit s’exerce simplement : la personne vous signale l’erreur et vous apporte, si n\u00e9cessaire, les \u00e9l\u00e9ments justifiant la rectification. Vous devez r\u00e9pondre dans le d\u00e9lai d’un mois. <\/p>\n\n\n\n Le droit \u00e0 l’effacement (\u00abdroit \u00e0 l’oubli\u00bb) :<\/strong> dans certaines situations, une personne peut demander l’effacement de ses donn\u00e9es personnelles. Ce droit n’est pas absolu et s’exerce notamment lorsque : <\/p>\n\n\n\n Le droit \u00e0 la limitation du traitement <\/strong>: ce droit permet \u00e0 une personne de demander le \u00abgel\u00bb de ses donn\u00e9es dans certaines situations comme En cas de contestation de l’exactitude des donn\u00e9es (le temps de v\u00e9rifier) Lorsque le traitement est illicite mais que la personne pr\u00e9f\u00e8re la limitation \u00e0 l’effacement Lorsque les donn\u00e9es ne sont plus n\u00e9cessaires au responsable mais que la personne en a besoin pour ses droits En cas d’opposition au traitement (le temps de v\u00e9rifier si les motifs l\u00e9gitimes du responsable pr\u00e9valent) <\/p>\n\n\n\n Le droit \u00e0 la portabilit\u00e9 : <\/strong>ce droit permet \u00e0 une personne de r\u00e9cup\u00e9rer les donn\u00e9es qu’elle a fournies dans un format structur\u00e9, couramment utilis\u00e9 et lisible par machine, et de les transmettre \u00e0 un autre responsable de traitement. \u00c0 noter que ce droit ne s’applique que lorsque le traitement est fond\u00e9 sur le consentement ou sur un contrat et qu\u2019il est effectu\u00e9 \u00e0 l’aide de proc\u00e9d\u00e9s automatis\u00e9s. <\/p>\n\n\n\n Le droit d’opposition :<\/strong> toute personne peut s’opposer \u00e0 tout moment, pour des raisons tenant \u00e0 sa situation particuli\u00e8re, \u00e0 un traitement fond\u00e9 sur l’int\u00e9r\u00eat l\u00e9gitime du responsable ou sur l’ex\u00e9cution d’une mission d’int\u00e9r\u00eat public. En mati\u00e8re de prospection commerciale, le droit d’opposition est absolu, la personne peut s’opposer sans avoir \u00e0 justifier sa demande. Lorsqu’une personne s’oppose \u00e0 un traitement, vous devez cesser le traitement, sauf si vous d\u00e9montrez qu’il existe des motifs l\u00e9gitimes et imp\u00e9rieux qui pr\u00e9valent sur les int\u00e9r\u00eats, droits et libert\u00e9s de la personne, ou si le traitement est n\u00e9cessaire \u00e0 la constatation, l’exercice ou la d\u00e9fense de droits en justice. <\/p>\n\n\n\n \ud83d\udcccComment vous prot\u00e9gez ? <\/strong><\/p>\n\n\n\n Pour faciliter l’exercice de ces droits, vous pouvez d\u2019ores et d\u00e9j\u00e0 pr\u00e9voir : <\/p>\n\n\n\n Veillez \u00e0 ce que ces informations soient coh\u00e9rentes avec vos mentions d\u2019information et votre politique de confidentialit\u00e9. <\/p>\n\n\n\n Ensuite, d\u00e9finissez un processus interne clair : <\/p>\n\n\n\n En cas de demande complexe, vous pouvez prolonger le d\u00e9lai de deux mois suppl\u00e9mentaires, \u00e0 condition d\u2019en informer la personne dans le premier mois. <\/p>\n\n\n\n Pour gagner en efficacit\u00e9 et en coh\u00e9rence, vous pouvez \u00e9galement pr\u00e9voir une proc\u00e9dure \u00e9crite \u201cTraitement des demandes de droits\u201d, accessible \u00e0 toutes les personnes concern\u00e9es en interne accompagn\u00e9e de mod\u00e8les de r\u00e9ponses (confirmation d\u2019acc\u00e8s, rectification effectu\u00e9e, effacement r\u00e9alis\u00e9, refus motiv\u00e9, demande d\u2019informations compl\u00e9mentaires etc.). <\/p>\n\n\n\n Enfon\u00e7ons une porte ouverte : on ne peut pas conserver des donn\u00e9es personnelles ind\u00e9finiment. La dur\u00e9e de conservation doit \u00eatre en coh\u00e9rence avec la finalit\u00e9 du traitement et, le cas \u00e9ch\u00e9ant, avec les obligations l\u00e9gales applicables. <\/p>\n\n\n\n \u23f3\ufe0fD\u00e9terminer la dur\u00e9e de conservation des donn\u00e9es<\/strong><\/p>\n\n\n\n Il vous revient alors de d\u00e9terminer une dur\u00e9e de conservation en \u201cbase active\u201d, pendant laquelle les donn\u00e9es sont utilis\u00e9es pour la gestion courante. Le cas \u00e9ch\u00e9ant, une dur\u00e9e d\u2019archivage (acc\u00e8s restreint, pour r\u00e9pondre \u00e0 des obligations l\u00e9gales, des contr\u00f4les ou des contentieux potentiels). Un mode de suppression ou d\u2019anonymisation \u00e0 l\u2019issue de ces dur\u00e9es. <\/p>\n\n\n\n L\u2019objectif est double : limiter les risques en ne conservant pas inutilement des donn\u00e9es, et respecter les textes qui imposent certaines dur\u00e9es minimales (par exemple, en mati\u00e8re comptable ou sociale). Ces dur\u00e9es doivent \u00eatre document\u00e9es dans votre registre et coh\u00e9rentes avec vos mentions d\u2019information. <\/p>\n\n\n\n \u23f1\ufe0fComment mettre en oeuvre ces dur\u00e9es de conservation ? <\/strong><\/p>\n\n\n\n Pour mettre en \u0153uvre ces dur\u00e9es de conservation, vous pouvez param\u00e9trer des r\u00e8gles automatiques de suppression ou d\u2019anonymisation ou planifier des campagnes r\u00e9guli\u00e8res de \u201cnettoyage\u201d des fichiers. Pensez \u00e9galement \u00e0 adapter vos contrats avec vos sous-traitants pour qu\u2019ils respectent aussi ces dur\u00e9es. <\/p>\n\n\n\n Et oui, la cybers\u00e9curit\u00e9 est l\u2019un des piliers majeurs du RGPD, et l\u2019on peut imaginer que si vous \u00eates parvenus \u00e0 ce module de la formation, les bonnes pratiques \u00e0 adopter au sein de votre organisme n\u2019ont plus beaucoup de secrets pour vous. Vous pouvez reprendre les acquis du module 1 pour structurer la s\u00e9curit\u00e9 informatique de votre association ou entreprise afin de lutter contre un fl\u00e9au majeur qui touche tout type d\u2019organismes : la violation de donn\u00e9es. <\/p>\n\n\n\n La CNIL d\u00e9finit une violation de donn\u00e9es comme un incident de s\u00e9curit\u00e9 ayant des cons\u00e9quences sur la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 ou la disponibilit\u00e9 des donn\u00e9es personnelles <\/strong>(perte, acc\u00e8s non autoris\u00e9, divulgation, alt\u00e9ration). <\/p>\n\n\n\n \ud83d\udcdeQue faire en cas de violation des donn\u00e9es ? <\/strong><\/p>\n\n\n\n Votre r\u00f4le en tant que responsable de traitement vous contraint \u00e0 plusieurs obligations en cas de violation de donn\u00e9es. <\/p>\n\n\n\n Parmi elles, vous devez vous pr\u00e9parer \u00e0 d\u00e9tecter et qualifier un incident (quelles donn\u00e9es, combien de personnes concern\u00e9es, quelles cons\u00e9quences possibles), mettre en \u0153uvre rapidement des mesures correctives. D\u2019abord, il vous faut informer l\u2019autorit\u00e9 comp\u00e9tente \u00e0 ce sujet – la CNIL – dans un d\u00e9lai de 72h pour d\u00e9poser une d\u00e9claration initiale. Ensuite, s\u2019il y a un risque \u00e9lev\u00e9, il faut pr\u00e9venir les personnes concern\u00e9es. <\/p>\n\n\n\n Encore une fois, votre registre joue un r\u00f4le majeur dans ce cas de figure : il doit int\u00e9grer un historique des incidents, d\u00e9crivant pour chacun la date, la nature de l\u2019incident, les donn\u00e9es et personnes concern\u00e9es, les mesures prises et les le\u00e7ons tir\u00e9es. <\/p>\n\n\n\n Pour d\u00e9couvrir le dernier des 6 principes, rendez-vous au prochain et dernier module 4.4 ! <\/em><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Nous voici donc d\u00e9j\u00e0 bien avanc\u00e9s. Les notions et acteurs centraux du RGPD sont identifi\u00e9s, il faut d\u00e9sormais entrer dans le c\u0153ur du sujet, \u00e0 savoir tout mettre en \u0153uvre…<\/p>\n","protected":false},"featured_media":1231,"menu_order":0,"template":"","index":[18,23],"field":[5],"class_list":["post-1585","module","type-module","status-publish","has-post-thumbnail","hentry","index-ess","index-module-4-ess","field-ess"],"acf":[],"yoast_head":"\nLes 6 principes <\/h2>
1. Ne collectez que les donn\u00e9es vraiment n\u00e9cessaires pour atteindre votre objectif <\/h3>\n\n\n\n
Les plus fr\u00e9quentes dans vos structures sont : <\/p>\n\n\n\n\n
\n
\n
\n
\n
\n
\n
Rappelez-vous qu\u2019une donn\u00e9e collect\u00e9e est une responsabilit\u00e9\u202f: il faudra la prot\u00e9ger, la mettre \u00e0 jour, la supprimer au bon moment, et pouvoir la restituer en cas de demande. En quelques mots : simplifiez-vous la vie et conservez le strict n\u00e9cessaire. <\/p>\n\n\n\n\n
\n
\n
2. Soyez transparent<\/h3>\n\n\n\n
\n
.<\/s> <\/li>\n<\/ul>\n\n\n\n\n
.<\/s> <\/li>\n<\/ul>\n\n\n\n\n
.<\/s> <\/li>\n<\/ul>\n\n\n\n\n
.<\/s> <\/li>\n<\/ul>\n\n\n\n\n
.<\/s> <\/li>\n<\/ul>\n\n\n\n\n
.<\/s> <\/li>\n<\/ul>\n\n\n\n\n
3. Organisez et facilitez l\u2019exercice des droits des personnes\u00a0<\/h3>\n\n\n\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
4. Fixez des dur\u00e9es de conservation <\/h3>\n\n\n\n
5. S\u00e9curisez les donn\u00e9es et identifiez les risques <\/h3>\n\n\n\n