Syndicat employeur des acteurs du lien social et familial

Accès réservé

Tous les champs sont requis.

Navigation

Vous êtes dans : Accueil > Actualités > Entrée en application du règlement général de protection des données (RGDP)

Entrée en application du règlement général de protection des données (RGDP)

le 17 mai 2018

Le 25 mai 2018 entrera en application le règlement général européen de protection des données (RGPD). Les structures traitant de données à caractère personnel devront donc être en conformité avec ces nouvelles obligations. 

En tant qu’associations traitant des données personnelles des salariés, des adhérents ainsi que des bénévoles (nom, prénom, numéro de téléphone, numéro de sécurité sociale …), vous êtes concernées par le RGPD.

Pour se mettre en conformité avec le RGPD, la CNIL conseille de procéder en 4 étapes :

Étape 1 : faire le tri dans ses données

Le RGPD instaure une nouvelle optique : ne récolter que les données personnelles répondant à une finalité préalablement définie par l’entreprise. La structure ne doit pas détenir des données à caractère personnel d’individus si elles ne servent pas à un objectif précis. 

Il faut donc au préalable faire le tri dans ses données pour supprimer toutes celles qui n’ont pas d’utilité au regard de la finalité définie par l’association.

ATTENTION : Les informations qui n’ont pas d’utilité immédiate mais pourraient être utilisées ultérieurement ne peuvent pas être conservées puisqu’elles ne répondent pas à une finalité définie à l’instant présent.

Étape 2 : créer un registre de traitement des données

Les entreprises doivent obligatoirement mettre en place un registre qui recense le traitement des données personnelles qu’elles opèrent.

Le registre doit obligatoirement être mis en place et contenir :

  • l’objectif justifiant la collecte de données,
  • les catégories de ces données,
  • les personnes pouvant y accéder,
  • le responsable du traitement,
  • leur durée de conservation.

La CNIL a mis en ligne un modèle de registre que vous pouvez retrouver sur le lien : https://www.cnil.fr/fr/rgpd-et-tpepme-un-nouveau-modele-de-registre-plus-simple-et-plus-didactique.

Étape 3 : assurer le respect des droits des personnes

Le RGDP renforce les droits des individus sur le traitement de leurs données personnelles. 

=> Le droit au consentement

Le consentement de l’individu doit être requis pour le recueil et le traitement de ses données personnelles. Il doit être positif c’est-à-dire que l’individu doit le manifester expressément par exemple en cochant une case à cet effet ou en signant un document au sein duquel il donne son consentement.

Il existe des exceptions au consentement de l’individu notamment :

  • Lorsque les données sont nécessaires à l'exécution d'un contrat ou d’un précontrat (contrat fournisseur mais également les conventions avec les usagers) ;
  • Pour respecter une obligation légale (ex : obligations légales en tant qu’employeur qui ne nécessite pas d’obtenir le consentement des salariés) ;
  • En cas de mission d’intérêt public.

ATTENTION : certaines données sont considérées comme sensibles. Il s’agit des données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Pour les données sensibles, le consentement de l’individu est requis sauf pour certains cas d’exception notamment :

  • Exécution des obligations et exercice des droits du responsable de traitement ou de la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
  • Sauvegarde des intérêts vitaux de la personne concernée ; 
  • Médecine préventive, médecine du travail, diagnostics médicaux, prise en charge sanitaire ou sociale, gestion des systèmes et des services de soins de santé ou de protection sociale.

=> Le droit à l’information

Il est impératif d’informer les personnes du traitement de leurs données. Le support servant à la collecte de données doit notamment informer l’individu sur les points suivants :

  • Le fondement juridique autorisant cette collecte,
  • Les finalités de cette demande, 
  • Les personnes ayant accès aux données, 
  • Les délais de conservation, 
  • Les modalités d’exercice des droits de l’individu.

Exemple : le formulaire de demande de renseignement adressé au public pour l’adhésion au centre devra comporter ces mentions.

La CNIL met à disposition des entreprises, des modèles de clauses sur son site internet.

=> Le droit d’accès et de modification

Les individus ont droit d’accéder et de rectifier les données personnelles transmises. Il est donc conseillé aux entreprises de mettre en place une procédure ainsi que des délais raisonnables pour traiter la demande.

Le RGPD prévoit un délai d’un mois pouvant être prolongé jusqu’à deux mois en cas de demande complexe ou d’un nombre trop important de demandes.

Exemple : transmettre les coordonnées de la personne en charge du traitement des données, les moyens par lesquels l’individu peut exercer ses droits (par courrier, dans un espace personnel sur le site internet …), les délais dans lesquels la structure répond à la demande.

=> Le droit à l’oubli

Un individu dont l’entreprise détient des données personnelles peut demander à ce que ces dernières doit supprimées, notamment pour un des motifs suivants :

  • les données ne sont plus nécessaires au regard des finalités,
  • la personne concernée retire le consentement sur lequel est fondé le traitement,
  • la personne concernée s'oppose au traitement et il n'existe pas de motif légitime impérieux pour le traitement,
  • les données ont fait l'objet d'un traitement illicite,
  • les données doivent être effacées pour respecter une obligation légale.

Étapes 4 : sécuriser les données

L’employeur doit assurer la sécurité des données personnelles qu’il conserve. En cas de faille de sécurité pouvant mettre en danger la protection des données personnelles sauvegardées, l’employeur doit informer la CNIL dans les 72 heures.

Le recours à une entreprise extérieure pour se mettre en conformité avec le RGPD n’est pas obligatoire. La CNIL a mis à disposition des entreprises des outils et notamment un guide à destination des petites et moyennes entreprises sur son site internet que vous pouvez retrouver sur le lien : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf .

De plus, la CNIL met à disposition des structures, des modèles de clauses pour informer et recueillir le consentement des individus. Vous pouvez également contacter la permanence téléphonique de la CNIL en cas d’interrogations. 

Pour vous accompagner sur ce point, un webinaire a été réalisé par le Snaecso en collaboration avec Maître Frankiewicz, avocate spécialisée en droit des affaires au sein du cabinet Cornillier. Vous pouvez le retrouver ICI .

Le service juridique RH reste à votre disposition pour tout complément d’information.

 

 

Partager cette page

  • Haut de page

Vous souhaitez...

Agenda

Suivez-nous :

Facebook Viadéo Twitter Linkedin

Coordonnées

Snaecso - 18-22 avenue Eugène Thomas - 94276 Le Kremlin-Bicêtre Cedex - France
Téléphone : +33 (0)1 58 46 13 40 - Télécopie : +33 (0)1 58 46 13 41

eZ Publish - © Territo - Inovagora