RGPD- et dpo externalisé
Sensibilisation

Sensibilisation RGPD – Service de santé au travail – Partie 1

Sensibilisations RGPD, introduction pour les services de santé au travail.

Introduction le RGPD

RGPD est l’acronyme de « Règlement Général sur la Protection des Données » (en anglais : « GDPR » pour « General Data Protection Regulation »). Il s’agit du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Le RGPD impose de nombreuses obligations nouvelles par rapport à la loi n° 78-17 telle qu’elle existait dans sa version antérieure au RGPD, qui imposent par exemple des clauses contractuelles détaillées en matière de sous-traitance dans les contrats informatiques, et qui doivent être prises en compte pour le développement de logiciels (principe de « privacy by design », qui implique de tenir compte de la protection des données personnelles au stade de la conception d’un logiciel : cryptage des données, etc.).

Plus qu’une obligation légale, se conformer à la nouvelle réglementation sur la protection des données est une occasion de se questionner sur son approche de la donnée et de sa transformation numérique.

Qu’est ce que le RGPD concrètement ?

Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés et associations (usages accrus du numérique, développement du commerce en ligne…).

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Qui est concerné par le RGPD

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • qu’elle est établie sur le territoire de l’Union européenne,
  • ou que son activité cible directement des résidents européens.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.

De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Un service de santé au travail, collecte de la donnée personnelle et de la donnée médicale. Cette dernière donnée est encore plus encadrée (Cf qu’est-ce qu’une donnée de santé).Qu’est ce qu’une donnée personnelle ?

La notion de « données personnelles » est à comprendre de façon très large.

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée :

  • directement (exemple : nom, prénom)
  • ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Exemple : une base de données avec l’intitulé du poste des personnes concernées avec leur âge, leur aptitude et le nom de leur société.Qu’est-ce qu’une donnée de santé ?

L’article 4-15 du RGPD définit les données concernant la santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Elles peuvent être passées, présentes ou futures.

Ainsi, on retrouve parmi les données de santé :

  • Les informations relatives à une personne physique, ce que l’on trouve dans le dossier médical,
  • Les informations obtenues lors du test ou de l’examen d’une partie du corps, que l’on retrouve dans le dossier médical et sur certaines factures de laboratoires,
  • Les informations concernant une maladie (handicap, risque de maladie, antécédents médicaux, etc),
  • L’interdiction de traitement des données sensibles…

Les données sensibles font partie d’une catégorie particulière de données personnelles et sont encadrées par l’article 9 du RGPD. 

Elles correspondent à des informations révélant :

  • la prétendue origine raciale ou ethnique
  • les convictions religieuses ou philosophiques
  • l’appartenance syndicale
  • le traitement des données génétiques
  • les opinions politiques
  • les données biométriques aux fins d’identifier une personne physique de manière unique.

Les données de santé en font également partie, ce qui rend leur traitement interdit en principe. 

On entend par traitement des données de santé, toute opération impliquant l’utilisation de données de santé.

Toutefois, certaines prestations médicales requièrent impérativement le traitement de ces données, c’est pourquoi le RGPD pose de nombreuses exceptions à cette interdiction.

Les exceptions à l’interdiction de traitement des données de santé par le RGPD

Le traitement des données de santé est en principe interdit par le RGPD, néanmoins celui-ci est venu poser deux exceptions :

  • L’obtention du consentement de la personne
  • Les exceptions à l’obligation de consentement, c’est le cas pour un service de santé au travail,

L’obtention du consentement de la personne

Le traitement des données de santé est autorisé dans le cas où la personne physique donne son accord au responsable de traitement. Il s’agit d’une des exceptions ayant été introduites dans le RGPD.

Le recueil du consentement est cependant soumis au respect de quatre critères cumulatifs. Il doit en effet être :

Libre : il ne doit pas être contraint ni influencé.

Spécifique : il doit correspondre à un seul traitement, pour une finalité déterminée.

Eclairé : il doit être accompagné d’un certain nombre d’informations communiquées à la personne physique.

Univoque : il doit être donné par une déclaration ou tout autre acte positif clair.

La CNIL s’assure de la nécessité du recueil des données, selon la finalité déclarée (évaluation / analyse des pratiques ou activités de soins / prévention).

Une dérogation à l’obligation de consentement préalable existe, si le traitement poursuit l’une des finalités suivantes :

  • Gestion des systèmes et services de santé ou de la protection sociale ;
  • Préservation de la santé publique ;
  • Appréciation médicale (soins, diagnostics, médecine préventive) ;
  • Préservation des intérêts vitaux d’une personne en incapacité de donner son consentement. Seules l’urgence absolue ou l’impossibilité dispensent les professionnels d’informer ou demander préalablement son consentement au patient.

Concrètement un service de santé au travail a une mission encadrée par des dispositions légales et règlementaires.

D’une part, les missions et responsabilités des Services de Santé au Travail sont définies par plusieurs textes de lois :

  • Loi n° 2011-867 du 20 juillet 2011,
  • La loi n° 2016-1088 du 8 août 2016,
  • le décret n°2016-1908 du 27 décembre 2016

qui définissent les quatre missions essentielles des Services de Santé au Travail, assurées par une équipe pluridisciplinaire, animée et coordonnée par le médecin du travail : action en entreprise, conseil, surveillance de l’état de santé, traçabilité et veille sanitaire.

D’autre part, l’adhésion à un service de santé au travail est une obligation faite à tout employeur dès l’embauche du premier salarié quelles que soient la nature et la durée du contrat de travail. (Article D.4622-22 du Code du travail). 

Dès lors, les droits et obligations du service et de l’employeur sont régis par les statuts et le règlement intérieur du Service de Santé au Travail, qui constituent alors le contrat d’adhésion, conforme à l’article 28 du RGPD.

Pour remplir ces obligations, les entreprises doivent fournir régulièrement à leur Service de Santé au Travail la liste de leurs salariés par l’intermédiaire de la déclaration d’effectifs et/ou les flux de nouveaux embauchés par le biais de documents ad-hoc ou la DUE afin de permettre au Service de Santé au Travail d’assurer le suivi médical de ces salariés.

Par ailleurs, afin de gérer la relation entre le Service de Santé au Travail et l’entreprise adhérente, des données de contact et de gestion sont échangées (Dirigeant, interlocuteurs Comptabilité, Ressources Humaines, etc…).

Ces deux traitements font appel à l’utilisation de données personnelles d’identification (nom, prénom, …) et/ou de gestion (email, téléphone, …).

Les Services de Santé au Travail, ne sont pas qualifiés de sous-traitants, mais uniquement de Responsables de Traitement pour les raisons suivantes :

  • les données des salariés suivis ne sont pas traitées que sur instruction des adhérents, mais dans le cadre de la mission de service de santé au travail ;
  • les données seraient uniquement transférées pour que les SSTI remplissent leurs missions, sans que cela ne confère automatiquement aux SSTI la qualitéì de sous-traitant.

Qu’est-ce qu’un traitement de données personnelles ?

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé :

  • collecte, 
  • enregistrement, 
  • organisation, 
  • conservation, 
  • adaptation, 
  • modification, 
  • extraction, 
  • consultation, 
  • utilisation, communication par transmission diffusion,
  • toute autre forme de mise à disposition, rapprochement.

Exemple, dans le cadre d’un service de santé au travail : La tenue d’un fichier de ses salariés suivis, la mise à jour d’un fichier fournisseur, un formulaire d’inscription à un webinaire …

Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie XY » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

IMPORTANT 

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.

Exemple, dans le cadre d’un service de santé au travail :

Un traitement légal est de remplir le dossier médical du salarié suivi, d’envoyer des convocations nominative à l’employeur….

Ce qui change pour vous

Les trois objectifs de la reforme

Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;

Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;

Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées. 

A retenir
Le RGPD cherche en amont de tout problème à déterminer qui sera responsable de la gestion de la donnée personnelle.

Un cadre juridique unifié pour l’ensemble de l’UE

Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. Le même texte s’applique donc à partir du 25 mai 2018 dans toute l’Union. Dès lors, les traitements déjà mis en œuvre à cette date doivent d’ici là être mis en conformité avec les dispositions du règlement.

Le critère du ciblage

Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor).

En pratique, le droit européen s’applique chaque fois qu’un résident européen est directement visé par un traitement de données, y compris par Internet.

La responsabilité des sous-traitants

Par ailleurs, alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

Un renforcement des droits des personnes

Le règlement européen renforce les droits des personnes et facilite l’exercice de ceux-ci.

Consentement renforcé et transparence

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

L’expression du consentement est définie : les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.

De nouveaux droits

Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Des conditions particulières pour le traitement des données des enfants : Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. 

En France par exemple, l’âge retenu est de 15 ans. En deçà, la loi française prévoit que le consentement conjoint de l’enfant et du titulaire de l’autorité parentale doit être recueilli.

Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.

Introduction du principe des actions collectives : Tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données ont la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.

Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Une conformité basée sur la transparence et la responsabilisation

Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.

Une clé de lecture : la protection des données dès la conception et par défaut (privacy by design)

Les responsables de traitements doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils doivent veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).

Un allègement des formalités administratives et une responsabilisation des acteurs

Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).

La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Quant aux traitements soumis actuellement à autorisation, le régime d’autorisation est maintenu dans certains cas par le droit national (par exemple en matière de santé) ou est remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.

A retenir
Chaque traitement de données doit être identifié et répertorié.

Des outils pour la conformité

  • la tenue d’un registre des traitements mis en œuvre
    • Le registre va répertorié tous les traitements que vous effectuez.
  • la notification de failles de sécurité (aux autorités et personnes concernées)
    • Ce registre permet un suivi des failles que l’on pourrait découvrir afin de le répertorier et de faire un suivi de leur résolution.
  • la certification de traitements
    • La certification permet d’établir qu’un produit, un service, un processus ou un système de données a été évalué conforme aux critères d’un référentiel.
  • l’adhésion à des codes de conduites
    • Les codes de conduite traduisent une application concrète de la réglementation sur la protection des données à un secteur d’activité donné et se composent de bonnes pratiques (durée de conservation, mention d’information, modes opératoires…).
  • le DPO (délégué à la protection des données)
    • Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données, le délégué à la protection des données conseille et accompagne les organismes.
  • les analyses d’impact relatives à la protection des données (AIPD)
    • Pour tous les traitements à risque, le responsable de traitement devra conduire une analyse d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.
  • Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements
    • Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées. Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.
A retenir
Il est important de respecter les préconisation du RGPD sur les points ci-dessus afin de pouvoir prouver que l’on a tout mis en oeuvre pour respecter les droits des personnes concernées.

Désignation d’un Délégué à la Protection des données (Data Protection Officer)

Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :

  • s’ils appartiennent au secteur public,
  • si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,  
  • si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions, c’est ce point qui impose au service de santé au travail de désigner un DPO.

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé : 

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
  • de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact (AIPD) et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Des responsabilités partagées et précisées

Le règlement européen sur la protection des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants.

Le représentant légal

C’est le point de contact de l’autorité. Il a mandat pour « être consulté en complément ou à la place du responsables de traitement sur toutes les questions relatives aux traitements »

A retenir
Pour les SST : le directeur du service.

Le sous-traitant

Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability. Il a notamment une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations du règlement (PIA, failles, sécurité, destruction des données, contribution aux audits)

A retenir
Un sous-traitant au niveau du RGPD sera une société externe qui potentiellement aura accès à de la donnée personnelle. Un éditeur de logiciel dans le cadre de la maintenance et l’assistance, le personnel de ménage pouvant entrer dans les salles archives …

Ce qu’il faut suivre 

Ne collectez que les données vraiment nécessaires pour atteindre votre objectif

Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial.

Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».

Le principe de minimisation limite la collecte aux seules données strictement nécessaires à la réalisation de votre objectif.

Définir la finalité

La finalité indique à quoi votre fichier va servir, nous allons parler ici de tous les fichiers que vous pourriez créé en dehors du dossier médical. Lorsque vous inscrivez un fichier dans le registre des activités de traitement, vous devez indiquer sa finalité : cette finalité devra être respectée tout au long de la construction et de l’utilisation de votre fichier.

La finalité doit être déterminée, légitime et explicite

​Vous devez définir l’objectif poursuivi par la mise en place  de votre fichier.  Cet objectif doit être compatible avec les missions de l’organisme,  il doit être clair et compréhensible. 

Exemples de finalités : gestion du recrutement, gestion de la clientèle, enquête de satisfaction, protection des biens et des personnes, etc.

La finalité doit être respectée

Vous ne pouvez pas utiliser votre fichier pour un autre objectif que celui qui a été défini. 

Par exemple, un fichier de recrutement ne peut pas être utilisé pour proposer des offres commerciales aux candidats à un emploi dans votre société.

La finalité permet de déterminer la pertinence des données personnelles que vous recueillez

​Seules les données adéquates et strictement nécessaires pour atteindre la finalité de votre fichier sont autorisées à y figurer. 

Par exemple, il n’est pas pertinent de demander le numéro de sécurité sociale (ou NIR) d’un client pour alimenter un fichier dont la finalité est la gestion des achats d’un magasin de meubles.

La finalité permet de fixer la durée de conservation des données du fichier 

En fonction du but poursuivi, les informations enregistrées dans le fichier pourront être conservées plus ou moins longtemps. 

Par exemple, lorsqu’un adhérent quitte une association, ses données doivent être supprimées du fichier de gestion des membres de l’association.

Concrètement, comment faire ?

La définition d’une finalité doit intervenir durant la phase de conception du projet. Rapprochez-vous du chef de projet, demandez-lui le problème qu’il veut résoudre à travers la mise en place de ce nouveau fichier.

Les bonnes questions à se poser :

  • Quel est le but de mon fichier ? (à quoi va-t-il servir ?)
  • Est-ce légitime, notamment au regard de mes missions et des droits et libertés des personnes ?
  • Comment présenter cette finalité pour la rendre compréhensible par tous ?

Soyez transparent

Les individus doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’ils soient clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte. Les données ne peuvent en aucun cas être collectées à leur insu. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.

Comment informer les personnes et assurer la transparence ?

Le RGPD impose une information complète et précise. Les modalités de fourniture et de présentation de cette information doivent être adaptées au contexte.

La transparence permet aux personnes concernées :

  • de connaître la raison de la collecte des différentes données les concernant ;
  • de comprendre le traitement qui sera fait de leurs données ;
  • d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.

Pour les responsables de traitement, elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées.

Dans quels cas informer ?

Vous devez informer les personnes concernées :

  • en cas de collecte directe des données : lorsque les données sont recueillies directement auprès des personnes (exemples : formulaire, achat en ligne, souscription d’un contrat, ouverture d’un compte bancaire) ou lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes (exemples : vidéosurveillance, analyse de la navigation sur Internet, géolocalisation et wifi analytics/tracking pour la mesure d’audience, etc.) ;
  • en cas de collecte indirecte des données personnelles : lorsque les données ne sont pas recueillies directement auprès des personnes (exemples : données récupérées auprès de partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes).

A titre d’exemple, pour les salariés suivis, nous avons mis en place un affichage obligatoire. Il se trouve dans TOUS les lieux ou pourrait attendre un salarié suivi, il comporte les ellements suivants :

  • Identité et coordonnées de l’organisme (responsable du traitement de données) ;
  • Finalités (à quoi vont servir les données collectées) ;
  • Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
  • Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
  • Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
  • Durée de conservation des données (ou critères permettant de la déterminer) ;
  • Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements)
  • Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
  • Droit d’introduire une réclamation auprès de la CNIL.

Organisez et facilitez l’exercice des droits des personnes

Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil). Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *