Règlement Général sur la Protection des Données

From Documentation de la solution web de gestion OpenFlyers
Revision as of 10:29, 12 April 2021 by imported>Ebeaumatin (→‎Droit d'accès)
Jump to navigation Jump to search

Présentation

L'objet de cette page est de présenter le Règlement Général sur la Protection des Données également appelé RGPD.

La mise en place du RGPD sur le logiciel OpenFlyers se trouve sur la page de gestion des données.

Contexte

Le RGPD ou Règlement Général sur la Protection des Données encadre le traitement des données personnelles sur le territoire de l'Union Européenne. Ce règlement européen s'inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l'utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe, offrant un cadre juridique unique aux professionnels sur la collecte et le traitement des données.

Le RGPD a été adopté le 14 avril 2016 suite à l'explosion du numérique, par le Parlement européen. Il a pour but de responsabiliser les organismes à la collecte et au traitement des données personnelles et de renforcer le droit privé. Il est entré en vigueur le 25 mai 2018.

Mettre en place le RGPD au sein de l'entreprise permet d'assurer aux clients et utilisateurs qu'ils peuvent avoir confiance envers l'organisme concernant leurs données personnelles.

Conditions générales

Pour respecter le RGPD, les mentions suivantes doivent figurer dans les conditions générales de vente ou le règlement intérieur :

  • L'identité et les coordonnées du responsable du traitement des données personnelles
  • La finalité de la collecte
  • Le fondement juridique du traitement ; c'est à dire ce qui donne le droit à l'organisme de traiter les données, par exemple le consentement de l'utilisateur
  • Le destinataire des données, ceux qui y auront accès une fois les données collectées
  • La durée de conservation des données
  • Les droits d'une personnes sur ses données
  • Le droit d'introduire une réclamation auprès de la CNIL

Référence documentaire :

Conservation des données

Des données personnelles ont une durée de conservation qui doit être déterminée par le responsable du traitement en fonction de l'objectif de la collecte.

Cycle de vie des données

Pour un traitement de données, les données poursuivent des phases successives, c'est ce qu'on appelle le "cycle de vie" des données personnelles. Il existe trois phases :

Conservation en base active

Il s'agit de la durée nécessaire à la réalisation de l'objectif ayant justifié la collecte. Pendant cette phase les données doivent être facilement accessibles dans l'environnement. La durée du traitement est définie par la règlementation et par le responsable du traitement des données.

Archivage intermédiaire

Pendant cette phase, les données ne sont plus utilisées pour atteindre l'objectif fixé, mais présentent encore un intérêt administratif, ou doivent être conservées pour une obligation légale. Ces données peuvent être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.

Archivage définitif

Certaines données peuvent être archivées sans limitation de durée. Cela ne doit concerner que des traitements de données mis en œuvre dans l'intérêt public (pas scientifique, statistique ou historique). Cela concerne essentiellement le secteur public.

Ces deux étapes d'archivage ne sont pas obligatoires pour les données personnelles, une donnée peut passer directement de la conservation en base active à la suppression.

L'archivage doit isoler les données de leur base d'utilisation. La séparation peut se faire de manière physique en extrayant les données de la base et en les conservant dans une base d'archivage, ou bien elle peut se faire de manière logique et les données peuvent rester sur la base active à condition qu'elles soient clairement identifiées et isolées. Dans les deux cas, leurs accès doit être restreint aux seules personnes habilitées.

Référentiel de durée de conservation

Les référentiels répertorient, par secteur, les durées de conservation en base active et en archivage intermédiaire résultant des textes (législatifs ou réglementaires), ainsi que les durées recommandées par la CNIL.

Lors des travaux d’identification des durées applicables aux traitements, les référentiels constituent un outil d’aide à la prise de décision qui oriente l’organisme vers les durées obligatoires ou recommandées pour ses traitements.

Le renvoi aux référentiels participe également à la documentation « RGPD » de l’organisme en ce qu’ils précisent les fondements justifiant les choix opérés en matière de conservation des données collectées.

Les référentiels couvrent uniquement les deux premières phases de vie des données personnelles.

Temps de conservation

Le temps de conservation pour chaque phase doit être défini au préalable et doit être choisi selon plusieurs critères :

  • Est ce qu'il a des règles juridiques défini par le RGPD sur ce type de données : par exemple sur la comptabilité ?
  • Pendant combien de temps ces données doivent-elles être traitées pour atteindre leur but ?
  • Est ce que ces données doivent être conservé afin de protéger l'entreprise ?

C'est au responsable du registre de traitement de données de définir ces durées. Il peut s'aider des documents fourni par la CNIL, comme ce guide sur les durées de conservations.


Le plus souvent, il faut supprimer les données personnelles des personnes inactive depuis 3 ans. Il est possible de les anonymiser pour garder les valeurs statistiques. Les anonymiser c'est supprimer assez d'information pour ne pas pouvoir identifier une personne avec ses données.


Chez OpenFlyers

Au sein d'OpenFlyers les durées de conservations sont à définir par le responsable de traitement des données de la structure. OpenFlyers établi des valeurs par défaut et des valeurs minimales

Temps de conservation
Catégorie métier Durée de conservation par défaut Durée de conservation minimale
Compte 10 ans 10 ans
Entrée comptable 10 ans 10 ans
Formation 3 ans 1 an
Réservation 3 ans 1 an
Utilisateur 3 ans 1 an
Validités 3 ans 1 an
Vols 3 ans 1 an

Droits des personnes sur leur données

Chaque individu possède des droits sur ses données personnelles. Il est important de donner un moyen aux personnes d'exercer leur droit.

Référence documentaire : https://www.cnil.fr/fr/respecter-les-droits-des-personnes

Droit d'accès

Pour une donnée partagée, l'utilisateur doit pouvoir accéder à ce qu'il a divulgué.

Sur la plateforme OpenFlyers, l'utilisateur peut consulter sa fiche personnelle et accéder à toutes les données liées à lui par les rapports

Droit d'effacement

Le droit d'effacement ou le droit à l'oubli est au cœur du RGPD. Cela consiste à supprimer les données personnelles d'un utilisateur au cours du temps quand ces données deviennent obsolète, qu'elles arrivent à expiration.

Droit à l'information

Lorsqu'une collecte de données personnelles est faite, il faut informer les personnes concernées et laisser des mentions d’information qui doit comporter les éléments suivants :

  • Pourquoi ces données sont collectées ?
  • L’autorisation que l'entreprise a pour les collecter (juridique, consentement de la personne)
  • Ceux qui ont accès aux données
  • Le temps de conservation des données
  • Modalité des droits des personnes concernées
  • Précisez le pays si ces données sont échangées à l’extérieur de l’UE.

Les mentions peuvent être regroupés dans un document que l’utilisateur pourra consulter et il faut le renvoyer vers ce document sur l'interface où la collecte se fait. Si ces conditions sont remplies, l’obligation de transparence est validée.

Droit de limitation du traitement

L'utilisateur peut demander à ce que ses données ne soient pas traiter, tout en laissant l'entreprise les conserver. Ce droit peut être utilisé lorsque les personnes contestent l'exactitude de leurs données et de la façon dont elles sont traitées, ou bien si elles souhaitent les supprimées, mais que l'entreprise doit conserver les données pour des raisons légales.

Droit d'opposition

Toute personne peut s'opposer à ce que ses données à caractère personnel soient utilisées à des fins commerciales et ce sans avoir à se justifier.

Droit de portabilité

Ce droit permet aux personnes de récupérer leur données personnelles dans un format lisible par machine en vue de les exploiter à des fins personnelles ou de les transmettre à un concurrent.

Droit de rectification

Pour une donnée collectée, l'utilisateur propriétaire de cette donnée doit pouvoir la modifier : par exemple à l'aide d'une plateforme ou bien en envoyant un mail au responsable des données de l'entreprise.

Lexique anglais français

La CNIL a un lexique complet des équivalences anglophones du vocabulaire sur le RGPD disponible sur ce lien.

Registre de traitement des données

Le registre des activités de traitement permet de recenser les traitements de données et de disposer d'une vue d'ensemble de ce qui fait avec les données personnelles. Il participe à la documentation de la conformité RGPD.

Ce document de recensement et d'analyse doit refléter la réalité des traitements des données personnelles et permet d'identifier :

  • les parties prenantes qui interviennent dans le traitement des données (représentant, sous traitants)
  • les catégories de données traitées
  • à quoi servent les données (ce qu'on en fait), qui accède aux données et à qui elles sont communiquées
  • combien de temps vous les conservez
  • comment elles sont sécurisées
  • Ce registre peut être servi comme outil de pilotage et de démonstration de la conformité au RGPD d'une entreprise. Il permet de documenter le traitement des données et de se poser les bonnes questions sur l'utilité des données au sein de son entreprise.

Le registre permet de faire l'état des lieux sur les données et d'établir un plan d'action de mise en conformité des traitements selon les règles de protections des données.

Tout organisme public ou privé, peu importe sa taille, doit tenir un tel registre si cet organisme traite des données personnelles. Pour les organismes de moins de 250 salariés, une dérogation peut leur être apporté sur la tenue de leur registre. Ils ne peuvent inscrire sur leur registre de traitements de données les informations suivantes :

  • les traitement non occasionnels (gestion de la paie, gestions des clients, des fournisseurs etc...)
  • les traitements susceptibles de comporter un risque pour les droits et les libertés des personnes (systèmes de géolocalisation, vidéosurveillance etc...)
  • les traitements qui portent sur des données sensibles (données de santé par exemple)

Relation avec le sous-traitant

Un sous traitant traite des données personnelles sur instruction et sous l’autorité d’un responsable de traitement.

Le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE. Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.

En tant que sous-traitant, il est essentiel d'offrir au client les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. C'est au rôle du sous traitant d'assister et conseiller le client dans la conformité de certaines obligations.

Les différents éléments à mettre en place vis à vis de l'entreprise cliente sont :

  • Etablir dans un contrat les obligations de chaque partie selon l'article 28 du règlement européen
  • Recenser à l'écrit les instructions pour que le client respecte le RGPD
  • Préciser si l'entreprise sous-traitante fait elle même appelle à un sous traitant
  • Proposer les outils nécessaires pour mettre ne œuvre le traitement de données en respectant les exigences du règlement européen
  • Garantir la sécurité des données traitées (confidentialité des employés, détruire les données au terme du contrat)
  • Proposer un assistance d'alerte et de conseil

L'organisme sous traitant doit désigner un délégué à la protection des données selon l'article 37 du RGPD. Il doit le faire si :

  • C'est une autorisé ou un organisme public
  • L'organisme réalise pour le compte du client un suivi régulier et systématique des personnes à grandes échelles
  • L'organisme traite à grande échelle, pour le compte du client, des données dites sensibles ou relatives à des condamnations pénales et infractions

L'article 28

Dans cette partie se trouve les informations principales de l'article 28 du RGPD concernant les sous traitants.

  • Un traitement pour le compte d'un responsable du traitement exécuté par un sous traitant doit respecter les exigences du RGPD
  • Le sous traitant ne peut recruter un autre sous traitant sans l'autorisation écrite du responsable du traitement.
  • Le traitement par un sous traitant doit être régi par un contrat (ou autre acte juridique) qui lie le sous traitant du responsable de traitement. Ce contrat dit contenir l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées. Le sous traitant doit :
    • traiter des données à caractères personnelles uniquement sur instruction du responsable de traitement
    • veiller à ce que les personnes autorisées à traiter ces données s'engagent à respecter la confidentialité des données
    • tenir compte de la nature du traitement.


https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Sources

https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

https://rgpd.orson.io/11/rgpd-et-droits-des-personnes

https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

https://www.cnil.fr/fr/respecter-les-droits-des-personnes