RGPD Les ressources juridiques disponibles pour les SSTI
RGPD Les ressources juridiques disponibles pour les SSTI Pôle juridique – 10 janvier 2019
Le contexte juridique § Application du Règlement 2016/679/UE depuis le 25 mai 2018 § Les SSTI traitent des données à caractère personnel et sont soumis aux dispositions du RGPD § Démarche de responsabilisation et contrôle a posteriori § Ressources disponibles issues de la CNIL § Consultation juridique d’Erwan TREHIOU, Avocat spécialisé, pour accompagner les SSTI dans la mise en conformité : • Présente les dispositions de manière générale • les applique aux activités et missions des SSTI • répond à des questions pratiques (20 Annexes –modèles) Pôle juridique – 10/01/2019
Consultation juridique dédiée aux SSTI § Etape 1 : Déterminer sa qualité de responsable de traitement ou de sous-traitant § Etape 2 : Désigner un DPO (obligatoire ou non, qui nommer? Quelles fonctions et missions? Exemple de fiche de poste et de lettre de mission de DPO Annexes 4 et 5 § Etape 3 : Réaliser un audit des traitements des données à caractère personnel Annexe 6 Evaluer son niveau de maturité § Etape 4: Etablir et tenir un registre des activités de traitement Exemple de registre des activités de traitement en Annexe 11 § Etape 5 : Etablir son plan d’actions Exemple en Annexe 12 § Etape 6 : Garantir le privacy by design § Etape 7 : Choisir ses sous-traitants et encadrer les relations contractuelles Annexe 7 § Etape 8 : Mettre en place les mesures techniques et organisationnelles adéquates § Etape 9 : Gérer les droits des personnes concernées Annexes 16 et 17 § Etape 10 : Maintenir sa conformité dans le temps Présanse – Pôle juridique – 10/01/2019
Etape 1 : Déterminer sa qualité de responsable de traitement ou de sous-traitant § Les définitions sont posées par le RGPD § Les SSTI cumulent plusieurs qualités § Les SSTI sont à la fois responsables de traitements (dans la plus grande majorité des situations), mais également sous-traitants en ce qui concerne la relation avec leurs adhérents et notamment s’agissant du traitement des données transmises par les adhérents. § Les SSTI interagissent par ailleurs avec des partenaires et des prestataires qui ont alors la qualité de sous-traitants à l’égard des SSTI. § Il convient donc de prendre en compte ces trois aspects dans le cadre de la mise en conformité des SSTI aux dispositions du RGPD. Pôle juridique – 10/01/2019
Etape 2 : Désigner un DPO § la désignation d’un DPO est obligatoire en cas de traitement à grande échelle de données sensibles § le DPO ne doit pas exercer de tâches donnant lieu à des conflits d’intérêts avec ses missions de DPO : il est donc déconseillé de nommer un membre de l’équipe dirigeante (Directeur juridique, Directeur des services d’information, Directeur des ressources humaines…) en qualité de DPO § Exemple de fiche de poste de DPO et de lettre de mission de DPO proposés en Annexes 4 et 5. Pôle juridique – 10/01/2019
Etape 3 : Réaliser un audit des traitements des données à caractère personnel § Cette phase d’audit permet d’établir un premier inventaire des traitements, qui permettra ensuite de compléter le registre des traitements (voir étape n° 4) et de déterminer le niveau de maturité de l’organisme par rapport aux exigences du RGPD. § En pratique, il est possible de rédiger un document relatif à l’évaluation de la maturité du SSTI par rapport aux exigences du SSTI, en prenant en compte une échelle de maturité Annexe 6. Pôle juridique – 10/01/2019
Etape 4 : Etablir et tenir un registre des activités de traitement § Ce registre doit impérativement être écrit et doit pouvoir être mis à disposition de la CNIL en cas de contrôle. § Les informations qui doivent figurer dans le registre des activités de traitement sont limitativement énumérées par le RGPD § Exemple de registre proposé en Annexe 11 Pôle juridique – 10/01/2019
Etape 5 : Etablir son plan d’actions § Le plan d’actions, ou programme de mise en conformité, regroupe les mécanismes internes permettant de démontrer le respect des règles relatives à la protection des données. § A la suite de l’audit et de l’analyse de maturité, il convient de déterminer les actions à mettre en place afin d’assurer les garanties techniques et organisationnelles suffisantes pour répondre aux exigences du RGPD. § Exemple de plan d’actions proposé en Annexe 12 Pôle juridique – 10/01/2019
Etape 6 : Garantir le privacy by design (protection des données dès la conception) § 7 piliers fondamentaux pour garantir l’effectivité de la protection de la vie privée dès la conception sont développés dans la consultation juridique: üle principe de proactivité üle principe de protection par défaut üle principe de protection par construction üle principe de conciliation des intérêts üle principe de sécurité de bout en bout, durant tout le cycle de la vie de la donnée üle principe de visibilité et de transparence üle principe de respect de la vie privée des utilisateurs Pôle juridique – 10/01/2019
Etape 7 : Choisir ses sous-traitants et encadrer les relations contractuelles § Le RGPD impose au responsable du traitement de signer avec chacun de ses soustraitants un contrat écrit contenant une série de clauses obligatoires ü l’objet ; ü la durée ; ü la nature et la finalité du traitement ; ü le type de données à caractère personnel ; ü les catégories de personnes concernées ; ü les droits et obligations du responsable du traitement. § Il convient de gérer la conformité des contrats à conclure ou déjà existants, en intégrant des dispositions spécifiques au RGPD, que ce soit dans le corps du contrat ou par voie d’avenant. § Annexe 7 exemple d’avenant pour les contrats en cours § Annexe 8 exemple de clauses d’exclusion de limitation prestataires de responsabilité des Pôle juridique – 10/01/2019
Etape 8 : Mettre en place les mesures techniques et organisationnelles adéquates § Le RGPD a introduit une obligation générale de sécurité § Le devoir de sécurité comprend trois obligations distinctes : ü l’obligation de sécurisation, qui consiste à empêcher toute violation de données à caractère personnel, et à limiter l’accessibilité à ces données. ül’obligation de notification, qui consiste à notifier à la CNIL toute violation de données à caractère personnel. ül’obligation de communication qui consiste à communiquer toute violation de données à la personne concernée, si cela engendre un risque pour les droits et libertés. Pôle juridique – 10/01/2019
Etape 8 : Mettre en place les mesures techniques et organisationnelles adéquates § Obligation de réaliser une analyse d’impact (traitement de données sensibles à grande échelle) § Afin d’accompagner les organismes dans leur mise en conformité et dans la réalisation des analyses d’impact, la CNIL a développé et mis gratuitement en ligne un logiciel spécifique § Charte informatique/Travaux CSI Pôle juridique – 10/01/2019
Etape 9 : Gérer les droits des personnes concernées § Les données personnelles doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée : la licéité du traitement introduit la notion de consentement § Par principe le traitement de données sensibles est interdit, sauf pour des exceptions listées : la médecine préventive et la médecine du travail sont dans les exceptions § Les SSTI sont amenés à traiter, pour leurs salariés et les salariés suivis, deux types de données : ü des données à caractère personnel « simple » (non-sensible) ü des données à caractère personnel sensibles § Et le consentement n’est pas requis pour le traitement des données des personnes concernées dans le cadre de l’exécution d’un contrat ou de la finalité nécessaire du traitement (ici prévue par la loi) Les droits des personnes concernées et leur information Pôle juridique – 10/01/2019
Etape 9 : Gérer les droits des personnes concernées Focus sur trois des droits qui ont suscité des questions de la part des SSTI : § Les SSTI doivent se munir d’un document d’information concernant à la fois le traitement des données de leurs salariés, mais également de celles des salariés suivis. § Il est recommandé la mise en place d’un processus interne de traitement des demandes d’accès § Le RGPD est venu restreindre le droit d’opposition des personnes concernées à certains domaines et exclut du périmètre du droit d’opposition des cas de traitement suivants : le consentement de la personne concernée, l’exécution d’un contrat avec la personne concernée, le respect d’une obligation légale et la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne. Pôle juridique – 10/01/2019
Etape 9 : Gérer les droits des personnes concernées § Proposition de modèles : ü Modèles de fiches d’information à destination des salariés suivis (pas d’autorisation) Annexes 14, 14 bis, 15 et 15 bis ü Exemple de lettre à envoyer aux salariés suivis lorsqu’ils interrogent sur la mise en place du RGPD Annexe 17 ü Exemple de lettre à envoyer aux adhérents lorsqu’ils interrogent sur la mise en place du RGPD ou à titre d’information Annexe 16 ü Modèle de décharge de remise de notice d’information des salariés du SSTI Annexes 19 et 19 bis Présanse – Pôle juridique – 10/01/2019
Etape 10 : Maintenir sa conformité dans le temps § Il convient au responsable du traitement et au sous-traitant de maintenir leur conformité dans le temps, en fonction de l’évolution de leurs activités et des nouveaux traitements qui pourraient être effectués (ou supprimés). Pôle juridique – 10/01/2019
- Slides: 17