RGPD

RGPD

Réglement Général sur la Protection des données

Mise en conformité

Mise en oeuvre

Histoire du RGPD

Registre

Données personnelles / données sensibles

L'histoire du RGPD

1978

2016

Adoption du RGPD par le Parlement européen et le Conseil de l'Union européenne.

Création de la CNIL

1995

2018

Entrée en vigueur du RGPD le 25 mai 2018.(obligation de mise en conformité sous 2 ans)

Adoption de la première directive européenne sur la protection des données

Lien vers la vidéo

Données perso / données sensibles

Les données personnelles

1) Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

Numéro de téléphone, de plaque d’immatriculation

Identifiants (numéro de sécurité sociale, adresse postale, adresse mail)

Age Sexe

Nom Prénom

Voix Image

Les données sensibles

2) Les données sensibles forment une catégorie particulière des données personnelles. Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf quelques exceptions

Données génétiques /biométriques ou de santé

Opinions politiques / appartenance syndicale

Convictions religieuses ou philosophiques

Origine raciale ou ethnique

Vie sexuelle ou l'orientation sexuelle

LE TRAITEMENT DES DONNées

4 étapes dans le traitement des données

1. La collecte

2. L'utilisation

3. L'archivage

4. La suppression

Base légale

Que nous dit le RGPD ?

De quel droit je traite les données : la Base LégaleLa base légale définit sur quel fondement juridique je m'appuie pour traiter les données présentes au sein de mon centre social. Il existe plusieurs types de bases légales, et selon le type de données, je passerai par différentes bases légales. En dehors de l'obligation légale (les données que l'administration me force à demander/conserver) et le contrat (les données que la mise en place d'un contrat me force à garder, la plus utilisée est la base du consentement)

Le Consentement :

• Libre

• Spécifique

• Eclairé

• Univoque

Les bonnes pratiques

Réfléchir à pourquoi on collecte : la finalitéLa finalité de la collecte : Définie précisément et légitime. Minimiser au maximum la collecte, ne collecter que les données strictement nécessaires. Bannir la collecte “préventive” (exemple : Le numéro de sécurité sociale pour faciliter la prise en charge médicale)

Sécuriser les données Les données ne peuvent être collectées, stockées et traitées que dans certaines conditions de sécurité. Les données doivent être archivées, supprimées, ou anonymisées dès que la finalité pour laquelle elles ont été collectées est atteinte. Informer Les personnes doivent être informées de l’utilisation des données les concernant et de la manière d’exercer leurs droits. Les personnes ont le droit d'accès, de modification, et de suppression de leurs données personnelles.

Focus : le droit à l'image

Que nous dit le RGPD ?

Le RGPD est une réglementation européenne. Toute image identifiable d’une personne est une donnée et à ce titre son traitement doit respecter les principes vus précédemment.

Le droit à l’image :

• Notion de droit français. Pas de réel fondement juridique, autre que les textes sur le respect de la vie privée de la personne.
• Beaucoup de jurisprudence (beaucoup de procès ont eu lieu), car le principe est assez ancien.
• Le consentement :
• Peut être informel/implicite (prend la pose)
• Inutile si la personne n’est pas l’objet principal de la photo/dans une foule
• Peut être "opposé" par la liberté d’expression, le droit à l’information pour les médias.

A retenir pour les photos :

• Essayer de faire le maximum pour obtenir le consentement des personnes ou des parents dans le cas des mineurs. Renouvelez ce consentement autant que possible.
• En cas de doute privilégier les photos de dos ou de 3/4.
• Même avec les autorisations, privilégier les photos de groupe, éviter les gros plans.
• La réglementation évolue en fonction des usages. (usage détourné pour l'IA, utilisation reconnaissance faciale = donnée biométrique)

Mise en conformité

Mise en conformité

Tri des données en fonction de la finalité

Cette démarche consiste à examiner l'ensemble des données personnelles collectées et à les catégoriser en fonction des objectifs pour lesquels elles sont traitées. Il est essentiel de déterminer si ces finalités sont légitimes, nécessaires et proportionnées aux activités du centre. Ce tri permet de supprimer les données qui ne répondent plus à une finalité précise, d'éviter les collectes excessives, et d'assurer que chaque information est utilisée en adéquation avec les droits des individus. En rationalisant ainsi la gestion des données, le centre social réduit les risques liés à la protection des données personnelles, tout en respectant les exigences légales du RGPD.

Recrutement

Adhésion

Gestion RH

Adhérents

Salariés

Surveillance

Inscription activités

Mise en conformité

Le stockage des données

Durée de conservation

Accès des usagers à leurs données

Sécurité des données

Mise en conformité

Rédaction du registre

Un registre de traitements répertorie toutes les activités de traitement de données personnelles effectuées par la structure. C'est un document essentiel pour prouver la conformité avec le RGPD en cas de contrôle par la CNIL. Il faut y inscrire :

Quelles données personnelles sont stockées (ex : noms, adresses, numéros de téléphone). Où elles sont conservées (ex : bases de données, fichiers papier). Comment elles sont obtenues (ex : formulaires d'inscription, cookies sur le site web). La durée de conservation (ex : 2 ans pour les données des anciens membres).

La finalité du traitement (ex : envoi de newsletters, suivi des adhésions). Le fondement juridique (ex : consentement des utilisateurs, obligation légale).Les destinataires des données (ex : employés, prestataires externes). Les mesures de sécurité en place (ex : mots de passe, chiffrement).

MODELE DE REGISTRE PRE REMPLI

VOIR LE REGISTRE

Mise en conformité

À l'externe

En cas de transmission de données à des acteurs tiers, il est demandé de l'inscrire au registre pour lister quelles données sont envoyées à quels partenaires/prestataires. Exemple : J'entre les noms, prénoms et quotiens familiaux des adhérants de ma structure sur la plateforme prestataire iNoé. Il faudra donc l'inscrire dans le registre.

Gestion adhérents

Newletters

Appels à projet /bilans

Réseaux sociaux

Mise en oeuvre

Mise en oeuvre

C'est LA personne qui sera la plus à même de maintenir la dynamique sur le RGPD.

définir un "référent" DP

Garder une culture commune autour de la protection des données. Former les nouveaux salariés.

Formation des salariés

Les usagers (et les salariés) doivent être informés de l'utilisation des données et de leurs droits les concernant.

Informer les adhérents

Il est important de garder à jour les différents éléments du registre.

mise à jour annuelle

Supprimer, archiver, anonymiser les données en fonction des obligations légales.

suppression des données

Par exemple : les post-it sont des supports non sécurisés. Ils peuvent facilement être égarés, volés ou vus par des personnes non autorisées. Le RGPD exige la mise en place de mesures de sécurité appropriées pour protéger les données personnelles, ce qui inclut le stockage sécurisé et le contrôle de l'accès aux données​.

Durée de conservation

Un habitant peut demander l'accès à ses données personnelles que votre centre social détient. Vous devez lui fournir une copie de ces données et lui indiquer les modalités de leur traitement.