Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur le 25 mai 2018. Les établissements scolaires et les structures territoriales de l’Enseignement catholique sont concernés et doivent se mettre en conformité avec ce dispositif d’extension de la loi Informatique & libertés de 1978. S’appuyant sur les principes de base de la protection des données personnelles, ce nouveau règlement fait passer les organisations d’une logique déclarative à une démarche proactive et responsable. L’opportunité de bâtir une culture de la protection des données et de la sécurité informa...

Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles. Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément : les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données, les catégories de données trait...

Pour mesurer concrètement l’impact du règlement européen sur la protection des données à caractère personnel de votre structure, commencez par identifier sommairement les traitements pour lesquels vous collectez les informations à caractère personnel au sein de votre structure… Vous pouvez réaliser cet état des lieux à l'aide du document Excel ci-joint, que vous pouvez transmettre aux personnes susceptibles de traiter des données à caractère personnel. Ce document vous aidera par la suite à remplir votre registre de traitements...

Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32). Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assure...

Pour piloter la gouvernance des données personnelles de votre structure et mettre en oeuvre sa conformité, il sera nécessaire de désigner un chef d'orchestre qui exercera une mission d’information, de conseil et de contrôle en interne.   La CNIL a donné un nom officiel à cette fonction : le Délégué à la Protection des Données (DPD). Cette fonction n'est pas nouvelle puisqu'auparavant, elle s'appelait CIL (Correspondant Informatique et Liberté), mais son rôle est maintenant renforcé. La nomination d'un DPD est obligatoire dans certains cas (voir conditions CNIL, deuxième lien) et il es...

A l'aide des personnes en charge du traitement de ces données dans votre structure, vous devez maintenant recenser de façon précise les traitements de données personnelles que vous mettez en œuvre : voir les explications données par la CNIL Ainsi que celles fournies par le SGEC le 10/5/2019 Pour réaliser cette opération, ISI Data vous permet de gérer votre registre de traitement en ligne. Il contient un grand nombre de traitements courants que vous pouvez personnaliser ... Si vous souhaitez réaliser cette opération avec vos équipes, nous vous proposons également un formulaire (voir ci-join...

La CNIL propose des fiches pratiques à destination des professionnels qui peuvent les aider à comprendre les bases légales et à choisir celles qui seront les plus adaptées à leurs traitements de données. Les bases légales d'un traitement sont : La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiquesLe traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ciLe traitement est nécessaire au respect d'...

Afin de protéger les données à caractère personnel de votre structure, vous devez vous assurer que tous les acteurs extérieurs, qui ont potentiellement accès à vos données respectent également les principes du RGPD. Quelques exemples d'acteurs extérieurs, appelés sous-traitants par la CNIL : votre prestataire informatique (qui a accès à vos postes de travail, qui remplacent des ordinateurs, ...) l'éditeur des logiciels utilisés par votre structure l'hébergeur de votre site internet ... Les données communiquées à ou gérées par des sous-traitants doivent bénéficier de garanties suffisantes. De...

Qu’est-ce qu’une analyse d’impact relative à la protection des données (AIPD) ? L’AIPD est un outil important pour la responsabilisation des organisations : elle vous aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés. Vous trouverez la liste des traitements issus du site de la CNIL pour lesquels une AIPD est obligatoire : Liste des types d’opérations de traitement pour les...

Les personnes concernées disposent de droits afin de garder la maitrise de leurs données. Le responsable du fichier doit leur expliquer comment les exercer (auprès de qui ? sous quelle forme ?)… Lorsqu’elles exercent leurs droits, les personnes doivent obtenir une réponse avant deux mois. Voir les recommandations du SGEC concernant les demandes de consentement (10/5/2019) Et l'exercice des droits des personnes Voir aussi les recommandations de la CNIL Le modèle de contrat à la scolarisation a été réactualisé par les services juridiques de la Fnogec pour prendre en compte cette obligation Le SG...