RGPD : Inutile ou vrai enjeu ?

Vous trouvez le RGPD inutile, contraignant, une obligation de plus qui finalement ne s’imposera qu’aux plus faibles et que les gros GAFA et consorts piétineront allègrement tandis que les petits subiront les foudres de la CNIL ? Comme d’habitude, ce sont les petits qui trinquent ?

Je ressens le besoin de considérer que ce ne sera pas le cas… Ou plutôt, j’ai l’urgence de croire absolument que l’enjeu est tellement grand qu’il ne s’agit pas d’une cour de récré inéquitable qui finira en eau de boudin après avoir jeté un peu de poudre aux yeux.

La protection des données personnelles est l’affaire de tous…Aller je me lance dans une formulation qui peut paraitre excessive… Il en va de l’avenir de l’Humanité, de l’intégrité de l’individu, du risque de déshumanisation, de l’Homme moins précieux que ses données, pompé jusqu’à la moelle de son inestimable pédigrée pour le lui resservir éventuellement à ses dépens… Exagéré ? Vous êtes sûrs ?

Petit QUIZZ…

1/ En imaginant que les données personnelles que vous avez publiées sur Facebook à l’intention de vos « amis » (ceux que vous avez sélectionnés comme tels), soient utilisées à des fins non précisées a priori, que pourrait-il arriver de pire ?

  • Parvenir à faire élire, à la présidence de la première puissance mondiale, un type misogyne, raciste, inconstant, narcissique, impulsif et capable de dire « “je pourrais tirer sur des personnes dans la Cinquième Avenue et je ne perdrais pas de votes”.
  • Que la décision de vous accorder le prêt que vous avez demandé à votre banque soit jugée en fonction de l’historique de crédit de vos amis sur Facebook.
  • Que votre assureur décide de votre prime d’assurance auto en fonction d’une catégorisation de bon ou mauvais conducteur établie à partir de l’analyse de votre profil et de vos habitudes sur Facebook.

Les 3, mon capitaine. L’élection de D. Trump a été rendue possible par la « manipulation » notamment de millions d’américains indécis à travers leur compte Facebook dont les informations ont été communiquées à Cambridge Analytica, sans leur consentement. Les algorithmes qui permettraient les deux autres réponses sont actuellement sérieusement à l’étude.

2/ Vous venez d’acheter un ensemble de vidéo cinéma fort coûteux chez un détaillant renommé qui est venu vous l’installer il y a tout juste une semaine. Vous avez laissé vos coordonnées, votre adresse, le code de la porte d’accès à votre immeuble et le nom de la gardienne pour qu’elle puisse leur ouvrir en votre absence …comme d’habitude ! Que pourrait-il arriver ?

  • Que la base d’informations de 50 000 livraisons, dont la vôtre, ait été piratée chez le sous-traitant du détaillant, donnant de précieux renseignements sur vos installations, vos horaires et la manière d’accéder aisément dans votre logement.
  • Que les arnaqueurs rentrent chez vous sans effraction, accompagnés par la gardienne (oui, on a livré la semaine dernière, vous vous rappelez ? Le matériel est défectueux, on doit le récupérer) et repartent avec votre super matériel dernier cri. Bien sûr, pas d’effraction = pas de prise en charge par votre assureur.

Les 2. C’est ce qui est arrivé à une cliente d’une enseigne suite à la fuite des données de son sous-traitant. Avec la nouvelle règlementation RGPD, l’amende aurait pu aller jusqu’à 4% de son CA mondial ou 20 M€ minimums.

3/ Votre enfant est inscrit au collège de votre ville. Dans son dossier d’étudiant on retrouve, outre son emploi du temps, toutes les informations que vous avez dû donner lors de son inscription : vos coordonnées complètes, la composition de votre famille, votre niveau de revenus, les intolérances alimentaires de votre ado, ses problèmes de santé. On vous a même demandé votre numéro de sécurité sociale, en cas d’hospitalisation et une copie de votre carte d’identité, au cas où… Que pourrait-il arriver de pire ?

  • Qu’un réseau de trafic d’identité international pirate les données et puisse, à partir de ces informations, demander en ligne la production d’un certificat de naissance à votre nom et, de là, une vraie fausse carte d’identité…puis aille consentir quelques prêts à la consommation en votre nom, identité formelle à l’appui.
  • Qu’il y ait une fuite de données et que l’ensemble des dossiers scolaires soient cédés à un réseau pédophile.

Aucun de ces deux cas n’a été relaté mais l’exploitation des données personnelles est, outre un marché rentable, un enjeu d’arnaques dont le nombre augmente. Ces deux cas ne sont pas avérés, mais ils sont réalistes.

Alors NON !

Alors non, le RGPD n’est pas une nouvelle réglementation inutile de plus qui ne concerne que les gros mais ne contraint que le petits. L’Europe constitue un marché non négligeable dont même les plus gros ne peuvent se permettre le luxe de se priver.

Et à ceux qui pensent que les jeunes générations n’ont que faire de leurs données personnelles, qu’ils les exposent sans aucune retenue sur les réseaux sociaux, je demanderais : Est-ce une raison pour ne pas les protéger ? Pour que le jour où, devenus adultes et conscients de l’impact potentiellement défavorable que pourraient avoir désormais ces « erreurs de jeunesse », ils aient la liberté de choisir de les supprimer définitivement ?

L’innovation technologique est indispensable, elle façonne l’économie de demain et, de là, le fonctionnement sociétale. Elle fait fantasmer de millions de voies nouvelles qu’elle ouvre ou suggère à peine… Elle est inéluctable.

Ne perdons pas de vue que l’innovation doit rester au service de l’homme, et non l’inverse. 

RGPD Education Episode 04 : la gestion des anciens…les Alumni

RGPD dans l’éducation. Comment gérer les alumni. ?

Le RGPD dans l’éducation supérieure.

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 4 : Transfert de données à l’association des alumni

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Transfert de données personnelles…le cas de l’association des anciens

Toutes les écoles et universités gèrent plus ou moins directement une association des anciens.

Cette activité, considérée parfois à juste titre comme stratégique recouvre des réalités, des finalités, des efficacités diverses que ce soit pour le placement des étudiants en stages, pour la reconnaissance de l’établissement sur le marché du travail, pour le recrutement d’anciens comme intervenants ou comme recruteurs indirects de nouveaux étudiants et même pour le recrutement tout au long de leur carrière professionnelle de diplômés à travers des offres postées spécifiques et des jobs boards automatiques.

La relation que l’école ou l’université entretien avec ses anciens élèves rentre bien évidemment dans le champ de la conformité RGPD.

Structure de la relation

Dans certains cas la gestion des anciens est assurée en direct par l’école, dans d’autres c’est une association dont l’école est partie prenante et parfois c’est une association dédiée dans laquelle l’école n’est pas partie prenante.

Le financement de cette structure et de ses activités n’est pas sans conséquence non plus.

Il existe plusieurs schéma de relation financière entre l’école (université) et le réseau des anciens.

·        Le financement est réalisé par les étudiants en activité avec une partie des « fees » de scolarité allouée aux réseaux d’anciens

·        Le financement est réalisé par les anciens avec un concours de subvention de l’école

·        Le financement est entièrement réalisé par les cotisations des anciens élèves

La structure de cette relation et le mode de financement imposent des contraintes particulières en matière de RGPD.

Dans le cas où la relation est fortement liée entre l’établissement et le réseau des anciens, l’école (université) doit être considérée comme Responsable de Traitement (ou Co-RT) quant au transfert de données réalisé d’une entité juridique vers la seconde.

Transfert des données des diplômés

Le transfert des données des diplômés vers l’association (l’entité) des alumni est un transfert de données à caractère personnel (nom, prénom, diplôme, promotion, majeurs et mineurs, classement, n° de téléphone, email etc….).

Ce transfert requiert (comme tous les transferts de données) le consentement de la personne concernée (le diplômé).

Ce consentement ne peut en aucun cas se faire de façon tacite, il doit être un terme du contrat qui lie l’étudiant (futur diplômé) et l’école ou l’établissement d’un contrat (ou recueil de consentement spécifique) entre le jeune diplômé et l’association (entité) des anciens élèves.

De même l’ensemble (et chacun) des traitements réalisés par l’association des alumni doit faire l’objet comme tout traitement d’une information univoque, et permettre aux « anciens » d’exercer la totalité de leurs droits (Accès, rectification, limitation, portabilité) et OUBLI.

Et oui….un ancien élève a le droit de demander à son ancien établissement et association d’oublier qu’il a été diplômé….aussi bizarre que cela puisse paraitre (dans la limite évidement les obligations légales en matière de diplôme des établissements de formation).

Traitements des données des diplômés…à des fins statistiques

Beaucoup d’associations réalisent des enquêtes de salaires et forment des statistiques sur les anciens diplômés. Faites bien attention à vos processus de collecte, d’anonymisation et de calculs sur ces données.

En cas de violation il est extrêmement important que les données perdues ne puissent pas permettre de créer un « Profil personnel» à partir des données collectées et utilisées à des fins statistiques.

RGPD et Education Episode 3 : Examen, Notes et Transcripts

group of students takes the test in class

Les traitement spécifiques : Examens – Copies – Transcripts

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 3 : Examens, copies / tests, transcripts

Dans les deux premiers épisodes de notre petite série nous avons discuté de quelques spécificités de l’éducation supérieure quant aux traitements que nous retrouverons dans toute entreprise qui s’adresse à des particuliers : prospection, recrutement de collaborateurs, payes, contrôle d’accès et planning….tout cela avec des spécificités liées au monde de l’éducation.

Dans cette nouvelle partie (Partie 2) nous allons adresser les traitements vraiment spécifiques à l’éducation.

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Examens, copies, transcrits

Les examens sous toutes leurs formes, sont des réalisations légitimes du contrat qui lie l’étudiant et son établissement d’enseignement.

Pour autant ces examens doivent suivre un processus en conformité avec le RGPD.

Contrat : un contrat doit lier l’étudiant et l’école et ce contrat doit clairement spécifier le caractère obligatoire du passage de examens ou du processus de contrôle continu. Il doit aussi établir clairement l’accès aux droits de l’étudiant.

Copies d’examens (partiels et contrôle continu) : une jurisprudence européenne (affaire Irlandaise, étudiant expert-comptable vs ordre des experts irlandais) a confirmé que les copies d’examen et les annotations de l’examinateur constituaient des données à caractère personnel, en l’espèce :

o  leur contenu reflétant notamment le niveau de connaissance et de compétence du candidat,

o  leur finalité évaluant notamment les capacités professionnelles du candidat,

o  leur effet sur les droits et intérêts du candidat.

o  Les annotations de l’examinateur constituent également des informations concernant le candidat. Ainsi, ce dernier dispose d’un droit d’accès à ses réponses à l’examen et aux annotations de l’examinateur afin d’effectuer les vérifications nécessaires notamment de leur exactitude. (Editions législatives, Vanessa Younes-Fellous, Avocate en droit de la protection des données personnelles)

Nous rappelons aussi que la durée de conservation de ses copies doit être de 1 an minimum après publication des résultats, à l’exception de celles faisant l’objet d’un contentieux.

Certains organismes d’accréditation vont demander une conservation plus longue pour des raisons de contrôle. Cette durée spécifique doit faire l’objet d’un recueil de consentement.

Transcripts: les transcripts de notes et de description des modules de cursus suivis par l’étudiants sont aussi des données personnelles. Leur durée de conservation est plus problématique.

En effet ces transcripts peuvent être utiles à l’étudiant tout au long de sa vie (reprise d’études en cours de carrière par exemple).

Il n’existe pas aujourd’hui de solution de stockage individuel adéquate des transcripts avec un prestataire de confiance tiers qui pourrait garantir l’origine et la validité des transcripts de manière transnationale pour tous les établissements d’éducation supérieure. En attendant cette solution il est important que l’établissement et l’étudiant établissent un contrat de conservation et d’accès à ces transcripts. Ce contrat doit clairement établir la finalité de cette conservation et l’exercice des droits, indépendamment de la gestion administrative courante de l’étudiant dans son établissement.

RGPD : pourquoi faut-il interdire Facebook en Europe ?

Pourquoi est-il indispensable que l’Europe interdise Facebook par mesure conservatoire d’urgence pour une durée de 3 mois ?

Je discutais hier avec des amis, des copains, qui comme tout le monde ont entendu parler du RGPD et bien évidemment du scandale Facebook/Cambridge Analytica.

Connaissant mon activité ils m’ont demandé des précisions sur ce que l’on sait du scandale.

Puis un débat s’est engagé sur le RGDP et sur ce que l’on pouvait attendre comme sanction.

Après 5 minutes leur conviction était faite… « Quoi qu’il arrive, de toute façon Facebook continuera comme avant et RGPD ou pas l’Europe, la France ou n’importe quel autre état du monde ne pourra rien faire contre Facebook ou les GAFA . Le RGPD c’est bien joli mais c’est encore une loi inapplicable ».

Non…je ne suis pas d’accord.

L’Europe, la France, les autres états peuvent faire quelque chose contre Facebook et les GAFA si ceux-ci ne respèctent pas le règlement.

L’Europe a maintenant les « armes » pour forcer les Facebook et autres géants à se mettre en conformité.

L’article 66 définit les conditions applicables aux procédures d’urgences qui selon le Considérant 137 peut permettre à une autorité de contrôle de d’adopter des mesures provisoires allant jusqu’à une durée de trois mois.

L’ICO, la Cnil, les autres autorités de contrôles peuvent ainsi obliger Facebook à ne plus livrer son service sur le territoire national et au moyen, obliger les opérateurs à empêcher le routage des adresses IP de Facebook.

Je pense que cette mesure doit être prise, et qu’elle doit être clairement publicisée afin de montrer aux GAFA que la protection de données personnelles n’est pas une option, et pour montrer à la population que les pouvoirs publics se soucient de leur sécurité, des leurs droits, et plus largement de leur vie privée.

RGPD Education Supérieure : Episode 01 : Prospection et Recrutement

Partie 1 : Traitements “Classiques”

La prospection et le recrutement de professeurs

Nous commençons ici une série d’articles, par épisodes, sur le RGPD et le Secteur de l’Education Supérieure.

Le secteur de l’éducation supérieure se doit d’être particulièrement attentive à l’application du RGPD.

Outre les traitements « classiques » de données personnelles, ce secteur a ses particularités propres que les responsables de traitements, leurs DPO et les conseils qui les accompagnent doivent prendre en compte.

Nous allons lister ici, quelques-uns de ces traitements, « classiques » (dans nos premiers épisodes) puis ceux spécifiques et pointer certains enjeux particuliers.

Ces articles ne se veulent en aucun cas exhaustifs et chaque chef d’établissement devra prendre le plus grand soin dans son approche initiale de bien s’assurer de répertorier tous les traitements que son ou ses établissements mettent en jeu.

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courants comme :

–         L’établissement d’un fichier de prospection

–         Le recrutement de collaborateurs

–         La paye

–         Le contrôle d’accès à ses locaux

–         Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le fichier de prospection et durée de conservation

La CNIL recommande que la durée de conservation d’informations personnelles concernant les prospects d’une entreprise ne dépasse pas 3 ans après la première acquisition. L’éducation supérieure, privée par exemple, recrute selon deux principales voies. La prospection directe via les salons, les conférences, les présentations dans les écoles et son site internet. Elle recrute aussi via un service d’agents, principalement étrangers (intra ou hors Europe) qui lui fournissent des listes de prospects qualifiés ou encore même organisent eux même la vente des programmes de formation.

Cette prospection est réalisée bien souvent auprès d’enfant mineurs, au sens de la loi, mais majeurs digitaux (> 16 ans). Il est assez fréquent que des mineurs de 16 ans viennent donner leur contact aux écoles qu’ils souhaitent intégrer après le BAC. C’est-à-dire à un horizon 2 ans. L’intégration peut avoir lieu aussi en deuxième ou troisième année de premier cycle, voire en deuxième cycle. Dans ce dernier cas, finalement assez fréquent, entre l’acquisition initiale des données personnelles et la « Vente » ou « contractualisation » il peut y avoir une latence de l’ordre de 3, 4 ou 5 ans.

Ce traitement nécessite alors, au moment de la collecte et de la durée de conservation, une attention particulière du conseil en RGPD, du DPO et du RT.

Le recrutement de collaborateurs : les professeurs et intervenants

Les établissements travaillent bien souvent avec une base de professeurs permanents mais aussi des intervenants (vacataires ou en honoraires). Dans tous les cas, au moment du recrutement et parfois même en amont, est demandé de fournir un CV mais aussi un Extrait de Casier judiciaire. Dans nombre d’établissements, un original de cet extrait de casier, est conservé pour une durée importante (1 an …voire à vie…..et oui). Cette durée est imposée par les rectorats, en contradiction avec les recommandations de la CNIL sur ce sujet particulier. Qui a raison ?

Là aussi le RT et le DPO (avec le support de la CNIL) devront se pencher sur la question. définir la licéité de la durée de conservation parfois contradictoire avec les demandes administratives des rectorats et/ou des préfectures.

Le RGPD dans l’éducation, un cas d’école(s)

Le RGPD fait parler de lui et, alors que certains se demandent par quel bout engager le sujet dans leur organisation, conscients qu’ils devront – et le plus tôt sera le mieux – s’y conformer, d’autres le voient comme un sujet lointain.

Ne vous y fiez pas trop ; toute organisation, quelle qu’elle soit et quelle que soit son activité a, dans une certaine mesure, besoin de questionner son rapport à la protection des données personnelles qu’elle détient, parfois sans en avoir conscience.

Prenons l’exemple du secteur de la formation et allons crescendo…

ENTRÉE EN MATIÈRE, LE CAS DE JEAN

Jean est auto entrepreneur et intervient dans le cadre de soutien scolaire à domicile. Il se fait connaitre par le bouche à oreille. Jean ne se sent pas concerné par le RGPD. Pourtant, Jean enregistre son planning de rendez-vous chez ses clients dans un agenda informatique. Il y inscrit, pour chaque rendez-vous, le prénom et le nom de son élève, son niveau scolaire, ainsi que l’adresse et le numéro de téléphone du domicile de la famille. Certains réguliers, d’autres ponctuels, Jean a déjà fait travailler plus d’une centaine d’élèves en 3 ans. Jean est concerné par le RGPD…

  • Il collecte des données personnelles,
  • Il les stocke dans le temps,
  • Certains de ses élèves sont mineurs, sans être « sensibles » ces données concernent des personnes vulnérables,
  • Connait-il le niveau de sécurité de l’application dans laquelle il répertorie les informations sur ses élèves ? Assure-t-il un niveau de sécurité suffisant au niveau de son serveur informatique ? A-t-il un firewall ?

Jean n’a rien à se reprocher dans la manière dont il pratique son activité, il fait même preuve d’un grand professionnalisme qui se traduit par la réussite de ses élèves.

Mais Jean est déjà bien concerné par le RGPD.

POUR ALLER PLUS LOIN, L’ÉCOLE PRIMAIRE ASSOCIATIVE

L’école Imagine est une petite structure associative en milieu rural. Elle a été créée par un collectif de parents soucieux de proposer un enseignement de proximité à la centaine d’élèves de primaire qui habitent la petite commune et la dizaine de hameaux alentours.

4 enseignants et 2 aides scolaires se répartissent la charge d’enseignement et d’encadrement des 3 classes qui constituent l’école. Ces salariés sont répertoriés dans un registre du personnel et l’établissement des fiches de paie ainsi que toutes les démarches liées à l’administration du personnel sont sous-traités à une petite société unipersonnelle locale. Annie, qui en est l’unique représentante, est une ancienne Directrice Administrative d’une grande société qui propose désormais ses services en temps partagé. L’école transmet chaque mois par email à Annie les informations permettant d’établir les bulletins de paie des 6 salariés : présence, congés, primes, arrêts de travail, justificatifs de frais de transports…

L’école connait par ailleurs très bien ses élèves. Elle a enregistré dans son système informatique, pour chacun d’eux, son prénom et son nom, sa date et son lieu de naissance, les noms et prénoms de ses deux parents et leur situation familiale. Elle connait leur adresse postale (et même les deux si les parents sont séparés), les numéros de téléphone personnels et professionnels, leurs professions, les noms et adresses de leurs employeurs… Il arrive occasionnellement qu’un élève ait des difficultés d’apprentissage et soit suivi par un spécialiste, l’un d’entre eux est même accompagné d’une AVS. Très engagé dans l’accompagnement de ses élèves le directeur conserve ces informations dans le dossier de l’élève, y compris des informations sur la santé de certains d’entre eux requérant une surveillance particulière.

Quand on lui parle de RGPD, le directeur ne se sent pas concerné ; il ne fait rien de ces données. Jamais il ne lui viendrait à l’idée de les divulguer ou d’en faire un mauvais usage. Oui mais …

  • L’école détient une multitude de données personnelles sur de nombreux individus (les salariés, les élèves, les parents d’élèves)
  • Ses élèves sont tous mineurs et donc considérés comme des personnes vulnérables
  • Certaines données, notamment médicales, sont dites « sensibles »
  • Le niveau de sécurité de stockage des informations est-il suffisant ?
  • Elle travaille en sous-traitance pour la partie RH et fournit des informations personnelles à son prestataire
  • Connait-elle les conditions de traitement de ces données par Annie, son prestataire ? Annie stocke-t-elle ces données (par habitude, par nécessité ou juste au cas où…) ?

L’école Imagine est, elle aussi, très fortement concernée par le RGPD, et doit engager une réflexion sur le sujet.

ENTRONS DANS LE VIF DU SUJET, LE LYCÉE PUBLIC

Le Lycée Jenveux est un lycée public. Il accueille 1200 élèves et gère de nombreuses ressources humaines. Mettons de côté le volet RH, qu’il faudra de toute évidence considérer dans le cadre du RGPD. Concentrons-nous, pour l’exemple, sur les données relatives aux élèves.

Comme tout lycée, il détient des très nombreuses données personnelles administratives sur ses élèves : prénom, nom, adresse, date et lieu de naissance, numéro de téléphone, parfois même le numéro de sécurité sociale, situation familiale des parents, coordonnées, situations professionnelles, nombre de frères et sœurs, leur année de naissance et position scolaire (niveau, établissement fréquenté). Il connait également le détail des antécédents scolaires de ses élèves, et dans certains cas des données à caractère médical.

Par ailleurs, il émet et stocke des informations sur le niveau scolaire des élèves ainsi que des appréciations « qualitatives » de leurs professeurs sur leurs résultats et leur orientation professionnelle, et bien entendu les copies d’examen et les résultats.

Il devra passer en revue l’ensemble de ces données afin de s’assurer de leur conformité RGPD, tant sur la nature et leur pertinence, que sur les traitements, les conditions et durées de stockage ou encore l’exercice des droits des individus concernés.

Il devra également passer en revue et questionner la pertinence et la compliance de tous les autres traitements, même mineurs, sur les données personnelles :

  • L’infirmière scolaire garde-t-elle une trace des élèves qui passent dans son service ? Quelles informations ? Pour quoi faire ? Dans quelles conditions ?
  • Certains élèves ont créé une association d’élèves afin d’organiser des rencontres sportives. Qu’en est-il des données personnelles que l’Asso recueille et stocke ? Y a-t-il d’autres associations au sein du lycée ? D’autres initiatives de professeurs à destination des élèves ?
  • Le Centre d’Information et d’Orientation répertorie-t-il les démarches des élèves en quête d’orientation professionnelle ?

Le lycée est d’autant plus concerné par le RGPD qu’il représente un service public. A ce titre, il a même l’obligation de nommer un DPO (délégué à la protection des données) chargé de la conformité continue au RGPD.

POUR IDENTIFIER DES SPÉCIFICITÉS PLUS COMPLEXES, L’ÉCOLE SUPÉRIEURE

L’école Supérieure de Management Monavenir est une école privée qui propose à ses 2000 étudiants différents cursus qui intègrent des possibilités d’alternance et de mobilité internationale dans le cadre d’échanges avec des établissements dans différents pays. Une année de césure est également possible en cours de certains cursus.

Bien évidemment, l’école détient les mêmes données personnelles, sur ses étudiants, que le lycée Jenveux. Elle va même plus loin.

  • Sur son intranet, elle met à disposition un trombinoscope,
  • Une 20taine d’associations d’élèves, gérées par les étudiants eux-mêmes, organisent leurs activités sans contrôle de l’établissement,
  • Dans un souci de sécurité, elle a mis en place un système de vidéosurveillance à différents points stratégiques de l’établissement, et un contrôle d’accès
  • Le contrôle de présence en cours est assuré par un système de badges, qui sert aussi (ou pas) à assurer le règlement des OPCA dans le cadre des alternants
  • Elle gère des listes de prospects afin de recruter de nouveaux étudiants,
  • Elle sous-traite …

Il existe encore bien d’autres traitements et d’autres données, la plupart tombant sous le coup de la conformité RGPD.

Les écoles supérieures et universités sont bien évidemment concernées par le RGPD avec des spécificités qui peuvent apporter de la complexité dans l’appréciation du caractère légitime des traitements, de l’accès au droit et des durées de conservation.

A suivre… Un prochain article traitera de manière plus approfondie de l’application du RGPD dans les écoles supérieures.

Codes de Conduite, un outil sectoriel de mise en conformité RGPD

La CNIL, dans le cadre de la Loi informatique et Liberté, a mis à disposition un certain nombre d’outils permettant de clarifier et de rendre opératoires les règles de protection sur les données personnelles.

Elle propose notamment « Les Packs Sectoriels », élaborés en concertation avec les acteurs d’un secteur d’activité. Ils ont pour objectif de définir et diffuser les bonnes pratiques pour un secteur d’activité donné, et de simplifier les démarches individuelles et formalités administratives des acteurs concernés.

La CNIL met actuellement en ligne 5 packs de conformité à la loi informatique et liberté, respectivement dans les secteurs :
–        ayant recours aux compteurs communicants (notamment l’énergie)
–        du logement social,
–        de l’assurance,
–        du véhicule connecté,
–        des Industries Électrique, Électronique et de Communication, à l’initiative de la FIEEC.

Des moyens mutualisés pour favoriser la mise en conformité continue

Des packs similaires, appelés Codes de Conduite, sont aussi prévus dans le cadre du RGPD.
Ainsi donc, afin de simplifier les démarches de leurs adhérents, les syndicats de métiers, les Ordres, ou tout autre groupement d’activité peuvent engager une réflexion/concertation pour la rédaction d’un Code de Conduite qui sera ensuite soumis pour approbation par la CNIL, et/ou au Comité Européen (pour une cohérence trans-nationale), avant diffusion aux membres.

Outre un rappel du cadre général de la protection des données à caractère personnel, ce Code de Conduite peut également apporter :
–        des règles et bonnes pratiques pour le secteur,
–        des modes opératoires et processus organisationnels,
–        des mesures de simplification des formalités applicables au secteur,
–        des guides pratiques spécifiques,
–        des tests de vérification de conformité à la loi
–        …

La CNIL a bien à l’esprit que la mise en conformité RGPD peut représenter un effort non négligeable de la part des entreprises. C’est dans ce sens qu’elle propose d’alléger / faciliter la démarche avec ces outils spécifiques .

Certaines organisations professionnelles ont déjà publié des guides pratiquesde mise en conformité RGPD pour leurs adhérents, comme par exemple, l’ordre des avocats (voir notre article sur le sujet).
Pour aller plus loin, des codes de conduites seront élaborés dans les prochains mois en concertation entre la CNIL et les organisations professionnelles, reste à savoir quelles organisations se lanceront les premières.
D’ici là, si vous faites partie d’un secteur ayant déjà un pack, utilisez-le dans votre démarche RGPD, cela vous aidera beaucoup.

L’objectif du règlement n’est pas de contraindre davantage les organisations, mais bien de faire prendre conscience à tout un chacun de l’importance, après des années d’hyper-utilisation des données personnelles à des fins parfois malintentionnées, de revenir à un usage mesuré, juste et limité, qui laisse à chaque individu la main sur ce qui le concerne.

  • Vous faites partie d’un groupement professionnel ?
  • Vous souhaitez connaitre les conditions de mise en œuvre d’un Code de Conduite dans votre secteur d’activité ?
  • Vous souhaitez savoir si votre profession a déjà un guide d’aide à la mise en conformité ou s’il est en cours de réflexion / élaboration ?

Contactez-nous !

Guide de conformité de l’ordre des avocats

Avocats….aidez-vous avec le guide Pratique publié par l’Ordre

L’ordre a publié un guide de mise en conformité pour la profession. Il est clair, bien écrit et assez complet pour pouvoir appréhender la démarche et démarrer votre mise en conformité.

Il est construit autour d’un rappel des principes du RGPD avec des fiches pratiques couvrant les champs du RGPD et incluant dans sa logique la Charte de Déontologie et les obligations légales des Avocats, entre autres:

  • le traitement RH
  • la gestion des clients
  • Vidéo surveillance et Vidéo Protection
  • Fournisseurs et prestataires
  • Accès au cabinet
  • Lutte contre le terrorisme et le blanchiment
  • Le site Internet
  • La sécurité des données

Il aborde aussi les questions particulières de la profession; la gestion des dossiers papiers, le DPO et le cabinet d’avocat (quand et pourquoi nommer un DPO), la transmission de données lors d’une vente ou succession de cabinet, le rôle et les responsabilités de l’Avocat CIL ou Avocat DPO et la modification du RIN (Règlement Intérieur National), etc.

Une très bonne ressource pour les semaines et mois à venir.

Téléchargez le Guide ici: guide_rgpd_avocats-2018

RGPD, un vent de liberté

Dans les années 90, Internet, fabuleuse toile étirée aux 5 continents, révolutionne l’échange et le partage d’informations. Particuliers et entreprises s’y engouffrent, déversant et recueillant des milliards d’octets de données personnelles, à usage personnel et/ou professionnel, à travers des réseaux sociaux, des formulaires de contacts, des achats en ligne, ou de simples clics…

A partir de quel moment ce phénomène est-il devenu intrusif, chronophage, épieur, ingérant ? Nous ne nous sommes pas forcément aperçus que nous étions devenus des produits, nous n’avons pas vu le mal à livrer des informations sur nos habitudes de consommation, nos loisirs, notre famille, nos amis
Et pour cause, nous servons sur le moment un intérêt que nous croyons être le nôtre.
Au fil du temps, combien de formulaires avons nous remplis consciencieusement, à combien d’enquêtes ou d’études avons nous répondu, livrant une certaine intimité, nous mettant à nu ?
Combien d’entre nous, sur le moment, se sont questionnés sur la valorisation potentielle de ces données personnelles, livrées délibérément ?

20 ans et quelques plus tard, à titre individuel, sais-je précisément quelles informations circulent, de base de données en base de données, sur mon compte ?
Ai-je, à un moment, eu la maîtrise de l’utilisation qui pourrait en être faite ?
M’a-t-on déjà donné l’opportunité d’avoir “la main dessus” pour les rectifier, voire les supprimer du domaine public ?

La loi Informatique et Libertés (1978), a été très tôt une référence (et oui….mondiale même) pour la protection des individus et de leurs données personnelles. Le RGPD harmonise aujourd’hui et au niveau européen cette protection nécessaire, compte tenu de l’apparition de technologies numériques qui demandent un nouveau cadre réglementaire, et qui ont ouvert la voie de l’utilisation de données personnelles à des fins de sélection de profils (RH, Couvertures d’assurance,…), de rejet automatisé (CSP, prêt, emplois…), de discrimination (analyse des prénoms, lieux de vies, signes religieux…) ou de ciblage marketing. Il faut dire que, paradoxalement, cette dernière application, d’un point de vue commercial, s’avère extrêmement performante : Dans un article de 2015, les Echos déclaraient que “D’après une étude […], le fait de s’adresser personnellement à son destinataire et de s’adapter à ses habitudes déclencherait une intention d’achat pour 76 % des Français et même de réachat pour 34 % d’entre eux.

Alors, intérêt pour l’hyper personnalisation et/ou protection de la vie privée ?

Le RGPD, sans pour autant freiner le potentiel que représente l’économie numérique*, impose un cadre qui vise à responsabiliser les entreprises au regard des données personnelles qu’elles collectent/détiennent et leur utilisation. Il redonne la main aux individus sur leurs données personnelles afin qu’ils décident :

  • de les livrer dans un but strictement précis
  • de les rectifier/faire rectifier, s’ils le souhaitent
  • d’en demander la portabilité
  • de les faire disparaître définitivement à tout moment

*Dans son article “De nouvelles dispositions pour protéger les données personnelles“, Florence Raynal, Chef du service des affaires européennes et internationales CNIL, parle du défi que représente l’enjeu économique de la réglementation : “L’économie numérique revêt une importance croissante pour les acteurs économiques et les États. Les données personnelles sont décrites comme son « carburant » et un intense lobbying des entreprises fait valoir que le législateur ne doit pas entraver le potentiel de l’économie numérique, voire la reprise économique. Les entreprises mesurent aussi l’importance stratégique, en terme de compétitivité, d’une approche responsable des données personnelles.

Le RGPD représente donc à la fois un instrument inespéré de retour à la liberté individuelle, au choix de l’anonymat, certains cinéphiles parleraient d’une extraction de la matrice, et un fabuleux cas d’application de RSE (Responsabilité Sociétale de l’Entreprise), éthique, comme avantage concurrentiel.

Le pessimiste se désole devant la contrainte ; il doit analyser ses process, les revoir, les modifier, adapter son Système d’Information et former ses équipes…

L’optimiste regarde, au-delà, le champs des opportunités ; une pierre à l’édifice d’une ère de liberté retrouvée, un avantage concurrentiel à communiquer, une image éthique, un gage de confiance.