Le Règlement Général sur la Protection des Données (RGPD) peut être divisé en plusieurs piliers fondamentaux.
Le premier pilier est l’information des personnes. C’est tout ce qui est visible sur le site internet : Politique de confidentialité, politique cookies, politique RH, et également le recueil du consentement. Le deuxième pilier est la sécurité. C’est tout ce qui concerne les tests d’intrusion, la sécurité et les systèmes d’informations pour éviter les piratages notamment.
Un autre pilier qui est très important qu’on développera beaucoup dans cet article, c’est le volet sous-traitant. En effet, nous allons aborder les points clés pour un logiciel d’accompagnement dans le secteur de l’ESS. Les structures qui utilisent ce type de logiciel sont considérées comme sous-traitant au sens du RGPD.
La notion de sous-traitance est un pilier essentiel du RGPD. Tous les prestataires ne sont pas sous traitants au sens du RGPD. Par contre, tous les sous traitants au sens du RGPD sont prestataires.
Concrètement, un sous traitant au sens du RGPD, c’est un organisme qui traite vos données pour votre compte. Donc c’est comme prendre une balle de pâte à modeler, la mettre dans une boîte par exemple (hébergement des données) et modifier un peu la forme de cette pâte pour le compte d’une structure.
Il peut y avoir une confusion sur ce qu’est un prestataire qui n’est pas sous-traitant. Dipeeo est prestataire mais pas sous-traitant au sens du RGPD parce que Dipeeo va prendre la pâte à modeler, et va l’utiliser pour son compte afin de fournir un service, une prestation qui lui est propre (service de DPO externalisé et accompagnement RGPD);
Par exemple, les hébergeurs, les prestataires qui s’occupent de la sécurité pour votre compte, les outils métiers, notamment RH, ou gestion de paye, sont considérés comme sous-traitants au sens du RGPD.
La notion de sous-traitance est importante car c’est une question de responsabilité. Par exemple, si vous utilisez un outil comme Siham, qui est un logiciel d’accompagnement social, on va vous qualifier de responsable de traitement. Vous êtes donc responsable de tous les traitements de données personnelles. C’est à vous de décider quels traitements de données vont être mis en œuvre, pour combien de temps, etc.
L’une des choses qui est très importante dans le RGPD, c’est que vous êtes responsable de sélectionner des prestataires techniques conformes aux RGPD. Notamment quand vous êtes une entreprise d’insertion, par exemple, vous avez besoin d’un outil métier de suivi de l’insertion qui va traiter des données avec une forte sensibilité. Et ça, beaucoup de gens l’ignorent.
Si vous ne vérifiez pas la conformité de vos prestataires techniques, vous mettez en danger les données personnelles en votre possession. En effet, c’est pour ça que l’accord de protection des données est un élément lié à la conformité puisque c’est un contrat qui vous lie avec votre prestataire. Cela va l’engager sur des aspects de protection des données. Vous mettez en gage votre responsabilité et donc c’est important d’avoir un outil, d’avoir des prestataires qui sont conformes.
L’habilitation est parfois négligé, mais est fondamentale. Tout le monde ne peut pas avoir accès à toutes les informations. Il faut mettre en place une hiérarchie verticale et horizontale qui permet de bien structurer l’accès aux informations (simple utilisateur, administrateur, super administrateur, …)
C’est également une question de responsabilité. Cela évite les violations de données et les fuites de données. Tout le monde n’a pas le même niveau de sensibilisation ou la même formation. Donc, le fait de pouvoir choisir les habilitations et de pouvoir choisir ce à quoi les utilisateurs ont accès est fondamental et permet de réellement contrôler ce qui se passe. Parce que si vous n’avez pas ça, c’est impossible pour vous de savoir ce que vont faire vos employés qui vont utiliser le logiciel.
Le privacy by design, c’est s’assurer et vérifier lors de la mise en place d’un outil ou d’une application les écarts par rapport au RGPD. Et s’il y a des écarts, il faut corriger et développer tout ce qui était nécessaire par rapport à ce qui a été fait pour être parfaitement conforme.
Et cela inclut notamment l‘aspect de la minimisation des données. La minimisation des données est un point très important du RGPD qui est normalement très compliqué à mettre en place.
Vous n’avez le droit d’utiliser que les données nécessaires. Si vous utilisez plus de données, et notamment des données inutiles, ça pose un problème de sécurité. En effet, ce n’est pas évident et c’est la raison pour laquelle la minimisation des données n’est pas forcément facile.
Le droit d’accès, c’est un droit que possède chaque utilisateur. Ce droit permet de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur vous dans leurs fichiers.
Si vous êtes responsable du traitement et qu’un bénéficiaire du programme d’insertion a besoin de connaître des informations, ou a besoin de se plaindre sur un sujet de données, vous êtes responsable du traitement, donc c’est à vous de traiter ces sujets.
Aujourd’hui, de plus en plus, le RGPD devient quelque chose de natif en France. Les demandes d’accès explosent et ça peut constituer un danger pour une structure qui répond mal à une demande d’accès : Il y a certaines informations qu’il ne faut pas partager.
Lorsque vous mettez une zone de commentaires libre dans votre outil ou votre application, vous ne pouvez pas contrôler ce que disent vos utilisateurs. Et il est très difficile de mettre en place un système qui empêche de mettre des mots spécifiques dans les commentaires libres. Cela peut donc arriver qu’un utilisateur mette des commentaires désobligeants et subjectifs sur une personne.
La seule solution a ce genre de problème est de sensibiliser vos équipes et les utilisateurs. Cela va permettre de réduire ces commentaires. Il est important de noter que vous êtes responsable de votre outil donc il est de votre responsabilité de gérer ces sujets.
En tant que responsable du traitement, vous avez l’obligation de respecter la durée de conservation des données personnelles. Vous ne pouvez pas conserver les données pour une durée illimitée. Il y a toujours une durée limitée de conservation des données notamment parce que si vous avez une violation de données, vous prenez des risques ! Il y aura un volume de données plus important. Donc un risque de sanction plus fort.
Comment faire ? Il faut que l’outil permette de supprimer ou d’archiver les données personnelles. Il y a beaucoup d’outils qui ne permettent que d’archiver. C’est important parce que c’est quelque chose de très dur à respecter.
Il existe plusieurs durée de conservation des données personnelles. Pour vous donner un ordre d’idée, une donnée peut avoir des durées différentes. Par exemple, la prospection commerciale vous permet de garder des données personnelles pendant 3 ans. Si vous obtenez un client, vous pouvez utiliser ces données pendant toute la durée de votre activité.
Vous pouvez consulter notre article sur la durée de conservation des données pour avoir plus d’informations à ce sujet.
Lorsque vous supprimez des données personnelles, vous pouvez éventuellement restaurer les données ou les supprimer définitivement. Tandis que l’archivage des données permettra une restauration des données. Les données ne sont pas supprimées.
Par contre l’anonymisation permet de rendre toutes les données personnelles anonymes et donc non identifiables, mais cette action est définitive. Si vous anonymiser les données, elles ne seront plus visibles dans les logiciels évidemment.
Pour savoir quelles est l’intérêt de l’anonymisation, il faut comprendre qu’est-ce qu’une donnée personnelle. C’est une donnée d’une personne, une donnée d’une société, et c’est une donnée qui permet d’identifier directement ou indirectement une personne.
L’anonymisation permet donc de rendre non identifiable ces données et à caractère définitif. Si ce n’est pas définitif, c’est de la pseudonymisation et pas de l’anonymisation. Par exemple, la plaque d’immatriculation, c’est un pseudonyme qui met un numéro à la place de votre personne. Par contre, si vous aviez une plaque d’immatriculation anonyme, on ne pourrait pas vous retrouver.
Et donc, en résumé, l’anonymisation, cela permet de conserver des données à des fins statistiques pour une longue durée. Parce que si l’on a plus une donnée personnelle en possession, on est plus soumis au RGPD et donc plus soumis à la durée de conservation. L’intérêt de la fonction d’anonymisation est de pouvoir conserver des données à des fins statistiques.
Attention, le droit à l’oubli, ça ne veut pas dire suppression, c’est une grosse erreur. Lorsqu’une personne demande un droit à l’oubli, vous avez quand même des obligations de garder les données. Par exemple, j’ai acheté quelque chose sur une plateforme. Je demande le droit à l’oubli : ça veut juste dire qu’ils ont plus le droit de me prospecter, de m’envoyer des messages, etc. Par contre, ils ont bien l’obligation de garder la facture avec mes données sinon en cas de contrôle fiscal, ils ne pourront plus justifier l’achat.
Donc le droit à l’oubli ne veut pas dire suppression. Vous avez toujours des données à conserver pendant un certain temps à des fins de prescription. Et quand la durée de prescription est totalement finie, vous pouvez anonymiser les données à des fins de statistiques.
En tant que responsable du traitement, vous avez l’obligation de respecter la durée de conservation des données personnelles. Vous ne pouvez pas conserver les données pour une durée illimitée. Il y a toujours une durée limitée de conservation des données notamment parce que si vous avez une violation de données, vous prenez des risques ! Il y aura un volume de données plus important. Donc un risque de sanction plus fort.
Comment faire ? Il faut que l’outil permette de supprimer ou d’archiver les données personnelles. Il y a beaucoup d’outils qui ne permettent que d’archiver. C’est important parce que c’est quelque chose de très dur à respecter.
Le logiciel Siham a été créé et développé par RézoSocial. Le logiciel aide les associations et acteurs de l’ESS sur leurs missions de suivi de parcours (formation, handicap, justice…), d’hébergement, de service civique, de maraudes… C’est un logiciel qui fait le suivi des bénéficiaires, des tâches administratives automatisées, etc.
Cet article a été réalisé grâce au webinar du Mardi 15 Novembre 2022 réalisé par Anne-Marie M., Responsable pédagogique de RézoSocial et Raphaël Buchard, CEO de Dipeeo : votre DPO externalisé
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.