Recenser les traitements
Le respect du RGPD impose au responsable du traitement de répertorier tous les traitements de données. Cela vous permet d’avoir une vue d’ensemble des activités de collecte et de traitement de données personnelles de votre organisation.
La tenue de ce registre est également une occasion de sensibiliser les différents services aux enjeux de la protection des données. Dans la plupart des cas, c’est le DPO qui est en charge de la gestion de ce registre.
Voici les informations que vous devez recueillir dans ce registre :
- Les coordonnées du responsable du traitement, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données (DPO).
- Les objectifs de chaque traitement (par exemple : gestion de l’état civil).
- Les catégories de personnes concernées et les données utilisées (nom, nationalité, adresse, etc.).
- Les personnes ayant accès aux données (service RH pour la paie) et les destinataires auxquels elles seront communiquées (services des impôts).
- Les durées de conservation des données (durée d’utilisation et durée de conservation en archive).
- Les mesures de sécurité mises en place (par exemple : politique des mots de passe).
- Le cas échéant, les transferts de données à caractère personnel en dehors de l’Union européenne ou vers une organisation internationale.
Pour plus d’informations, consultez la fiche pratique sur le registre des activités de traitement.
Faites le tri dans vos données
Chaque fiche du registre vous permet de vérifier plusieurs points importants :
- La pertinence et la nécessité des données traitées par rapport aux objectifs poursuivis. Par exemple, lors de l’inscription à une école primaire, il est légitime de demander un livret de famille, un justificatif de domicile et un document attestant que l’enfant a reçu les vaccinations obligatoires pour son âge. En revanche, il n’est pas pertinent de demander le numéro de sécurité sociale des parents ou une copie de leur carte Vitale. Pour la gestion de la cantine scolaire, seules les informations relatives au régime alimentaire et aux aliments à proscrire pour un élève doivent être enregistrées, sans mentionner son état de santé ou sa religion.
- La nature des données traitées afin d’adopter les mesures de sécurité appropriées en fonction des risques spécifiques associés à ces données. Par exemple, les établissements scolaires doivent mettre en place des mesures de protection particulières pour les données sensibles liées à la santé des mineurs.
- Le contrôle de l’accès aux données, en veillant à ce que seules les personnes habilitées y aient accès.
- La durée de conservation des données, en fixant précisément la durée de conservation et d’archivage. Par exemple, dans le cadre d’un fichier de prévention de la délinquance, les données sur une personne peuvent être conservées pendant la durée du suivi, puis en archive pendant 3 ans après la fin du suivi. Aucune donnée ne doit être conservée au-delà de la limite d’âge de 25 ans.
Respectez les droits des administrés
Le nombre croissant de plaintes reçues par la CNIL montre que les gens sont de plus en plus préoccupés par la protection de leurs données personnelles. En 2018, près de 74% des plaintes reçues concernent l’exercice des droits : absence de réponse des organismes, refus non motivé, absence de procédure en ligne pour exercer ses droits, etc.
Il est essentiel d’informer clairement les personnes dont vous traitez les données de l’utilisation qui en est faite et de leurs droits. Lorsque vous collectez des données personnelles, que ce soit sur un formulaire, via un service en ligne ou de vive voix, vous devez transparente informer les personnes sur :
- Vos coordonnées en tant que responsable du traitement.
- Les raisons de la collecte des données (par exemple : gestion de l’état civil).
- Les bases légales qui vous autorisent à traiter ces données (mission de service public, consentement de la personne concernée, etc.).
- Les personnes ayant accès aux données (services internes compétents, prestataires, etc.).
- La durée de conservation des données.
- La façon dont les personnes peuvent exercer leurs droits (via leur espace personnel ou en contactant le DPO).
- Les éventuels transferts de données hors de l’Union européenne, en précisant le pays et le cadre juridique assurant la protection des données.
Pour éviter des mentions trop longues dans les formulaires en ligne, vous pouvez fournir un premier niveau d’information à la fin du formulaire et renvoyer à une politique de confidentialité ou une page de vie privée sur votre site web.
Organisez et facilitez l’exercice des droits des administrés et des agents. Vous devez permettre aux personnes d’accéder facilement à leurs données, de les rectifier, de s’opposer à leur utilisation, de les effacer, de les récupérer dans un format lisible par machine et de limiter leur utilisation. Chaque droit est soumis à des exceptions et des limitations spécifiques en fonction du contexte du traitement.
Sécurisez les données
Il est primordial de mettre en place des mesures techniques et organisationnelles pour assurer la sécurité des données. En fonction de leur sensibilité, des mesures spécifiques doivent être prises pour prévenir les accès non autorisés, les modifications indésirables et les pertes de données.
Voici quelques vérifications que vous pouvez effectuer :
- Vérifiez que les locaux sont sécurisés et que seules les personnes autorisées y ont accès.
- Assurez-vous que les armoires et coffres-forts sont systématiquement verrouillés.
- Protégez les comptes utilisateurs avec des mots de passe complexes et fermez-les lorsque les contrats des agents prennent fin.
- Prévoyez des profils distincts pour accéder aux données en fonction des besoins des utilisateurs.
- Sécurisez les postes de travail avec des mesures telles que le verrouillage automatique de session, l’utilisation d’un antivirus et la mise à jour régulière des logiciels.
- Sensibilisez le personnel à la protection de la vie privée.
- Mettez en place une charte informatique.
- Encadrez l’utilisation des smartphones, ordinateurs portables et clés USB.
- Établissez des procédures de sauvegarde régulières et de récupération des données en cas d’incident.
En cas de violation de données, c’est-à-dire si des données personnelles ont été détruites, perdues, modifiées ou divulguées de manière accidentelle ou illicite, vous devez la signaler à la CNIL dans les 72 heures si cela représente un risque pour les droits et libertés des personnes concernées. Cette notification doit être effectuée en ligne sur le site web de la CNIL. Si les risques sont élevés pour les personnes concernées, vous devez également les informer.
Pour plus d’informations, consultez la fiche pratique sur la sécurité des données.