Please enable JavaScript.
Coggle requires JavaScript to display documents.
La mise en conformité RGPD - Coggle Diagram
La mise en conformité RGPD
Qu'est ce qu'une donnée ?
Finalité
Limiter la collecte aux besoins réels
1 donnée traitée = 1 objectif
Donnée sensible
Appartenance ethnique
La santé
Orientation sexuelle
Appartenance politique / religion / philosphique / orientation syndicale
:warning: Demander le consentement
limiter l'accès et se poser la question de la pertinence du traitement de la donnée
Rôles et responsabilités
DPO : délégué à la protection des données
:warning: Obligatoire pour toutes associations sociales et médico-sociales
Rôle d'information des droits des personnes
Suivi du droit de rétractation ou d'information des salariés
Se référer aux obligations du DPO (voir diapo)
Indépendance du rôle du DPO (voir profil DPO diapo)
Responsable de la conformité au RGPD et la mise à jour des outils (Registre / Charte)
Rôle de sensibilisation
Sous-traitance
Se poser la question de l'hébergement et du traitement de nos données
Responsable de traitement
Souvent le responsable légal de la structure
Porte la responsabilité légale de l'application de la politique RGPD
Destinataire des données
Rappel sur le cadre de notre politique RGPD
:warning:Bien cadrer la finalité de l'utilisation des données
Tiers Autorisé
Administration / autorité publique
Posture
Principe de bonne volonté
Rester dans un cadre légal souple adapté à la structure (moyens humains)
Ressources
Site de la CNIL
Instance de contrôle mais aussi instance ressource
Instance d'alerter en cas de violation de la sécurité de nos données
Guide pratique pour les ESSMS (Etablissement services sociaux et médico-sociaux)
Guide pratique pour la durée de conservation des données
Outils (à réaliser)
Registre
Recenser par activité les données traitées
Se poser la question de la finalité et de la base légale
Durée d'utilisation et de conservation
Accessibilité par qui et où ?
Analyse du risque de la donnée concernées
Mesure de protection (influence sur le lieu du stockage)
Archivage intermédiaire ?
Destruction
Charte à rédiger et à communiquer à tous (en accès libre)
Possible de le faire aussi signer dans un contrat de travail ou un engagement bénévole)
Lister les 6 grands principes adaptés à votre strucrure
Licéité (respect de la loi selon une base légale à déterminer)
Finalité déterminée et légitime (Pour - quoi ? Et selon quel objectif spécifique ?)
Pertinence et minimisation (Est ce que j'en ai vraiment besoin ? Quelle quantité de donnée ?)
Transparence et respect des droits (Pourquoi nous avons besoin des données ? Et droit de contestation de la part de la personne concernée)
Durée de conservation des données (Combien de temps je garde les données ? Durée de l'archivage et possible anonymisation)
Confidentialité et sécurité (Où et Qui ? Qui a accès à quelle donnée et où elles se situent avec quel niveau de sécurité ?)
En cas de faille de sécurité
Faille mineure (n'impliquant pas de données personnelles)
Faire appel à un prestataire pour renforcer le niveau de sécurité
Faille moyenne (impliquant une partie des données personnelles)
Alerte la CNIL et ils jugent de la marche à suivre...
Faille majeure (faille généralisée)
Alerte la CNIL - Alerte les destinataires des données personnelles mises en cause