Un sous-traitant au sens du RGPD c’est un partenaire qui traite des données personnelles pour votre compte dans le cadre d’un service ou d’une prestation. (par exemple votre expert comptable quand il établit vos fiches de paye)
En tant que responsable de traitement, vous êtes concerné si vous choisissez de confier un traitement de ces données à ce type de prestataire.
Vous allez logiquement avoir des obligations tout comme vos sous-traitants :
Une obligation de transparence et de traçabilité :
Il faut que vous recensiez par écrit vos instructions sur le ou les traitements.
Dans le cas où vos sous-traitants souhaitent sous-traiter eux aussi, ils doivent obtenir votre accord avant.
Les sous-traitants doivent tenir un registre où ils recensent tous les traitements qu’ils réalisent pour vous.
Ils doivent également vous permettre d’accéder à toutes les informations nécessaires pour démontrer le respect de leurs obligations.
Une obligation de garantir la sécurité des données traitées.
Une obligation de notification dès lors qu’il y a une violation de données qui s’apparente à une obligation d’assistance, d’alerte et de conseil.
Vous devez donc mettre en place une procédure pour s’assurer que vos sous-traitants sont bien conforme au RGPD. Il faut qu’ils justifient de la mise en place de mesures technique et organisationnelles pour sécuriser les données des traitements que vous leur avez confiés.
Il faut donc revoir vos contrat de sous-traitance en ajoutant certaines clauses. Par exemple une clause de rappel du rôle du sous-traitant, une clause sur le respect des mesures de sécurité posées par l’article 32 du RGPD, etc…
Attention : Une victime pourra aussi se retourner contre le responsable de traitement pour réparer le préjudice subi. Vos sous-traitants peuvent voir alors leur responsabilité engagée dans le cas où ceux-ci n’auraient pas respecté le contrat ou n’auraient pas respecté le RGPD. Il faut donc faire très attention à la rédaction et à la révision de vos contrats de sous-traitance.
Vous trouverez ici un exemple de contrat de sous-traitance. Ce document n’est qu’un exemple. Il convient de l’adapter à vos besoins et de le faire valider par votre juriste interne ou votre cabinet d’avocat.
Pour pouvoir garder le CV d’un candidat il suffit de lui dire que l’on souhaite garder son CV et de lui permettre de s’y opposer.
Une solution simple et efficace sans être obligé d’avoir un système expert pour cela est de lui envoyer un email.
On va inclure dans cet email un lien mailto: qui lui permettra, juste en cliquant dessus de vous répondre et vous demander de réaliser: – Une modification de ses données – Un effacement du CV s’il ne souhaite pas que vous le conserviez
Voici un email d’exemple que vous pouvez utiliser et l’explication du lien mailto:
Madame, Monsieur (Civilité, Prénom, Nom) ;
Suite à votre candidature nous sommes au regret de vous informer que votre profil n’a pas été retenu.
Sachez que l’ensemble de vos données enregistrées dans notre système a été effacé afin de répondre à notre politique de protection des données et notre souci de minimisation des données détenues sur des tiers.
Votre profil néanmoins nous intéresse et nous souhaitons pouvoir conserver vos données durant une période qui n’excédera pas 24 mois. Si vous souhaitez vous opposer à cette conservation ou pour exercer un autre droit durant cette période veuillez cliquer sur le bouton ci-dessous.
Episode #03 : Récap sur les activités des TPE et PME
Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on récapitule pour faire un tour d’horizon des Activités des TPE et PME en relations avec les données personnelles.
Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:
Pas après pas
Sujet après sujet
En termes simples
Vidéos de 1 à 2 minutes
Notre prochain sujet sera : La traitement de la Paie des salariés….vaste sujet !
Episode #02 : une Activité de Traitement : Qu’est-ce que c’est ?
Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on explique aujourd’hui le terme et la notion d’Activité de Traitement de données
Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:
Pas après pas
Sujet après sujet
En termes simples
Vidéos de 1 à 2 minutes
Notre prochain sujet sera : Réccapitulatif sur les Données, Les personnes concernées et les Activités de traitement
Episode #01 : DCP ou Donnée à Caractère Personnel : Qu’est-ce que c’est ?
Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on explique aujourd’hui le terme et la notion de Donnée à Caractère Personnel
Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:
Formation, certification, accréditation, agrément, formation certifiante, DPO certifié et certification de compétences… Y comprendre quelque chose, faire le tri dans les mots, discerner le vrai du faux !
Comme tout organisme de formation de DPO, nous sommes confrontés jour après jour à des questions du type :
«Votre formation de DPO est-elle certifiante ? »
«Votre formation de DPO est-elle certifiée par la CNIL ? »
«Est-ce que votre formation donne la certification de DPO ? »
«Est-ce que vous avez l’agrément CNIL pour vos formations ? »
…
Alors, avant de développer une explication technique sur le mécanisme de certification de DPO selon les référentiels CNIL, commençons par remettre les choses à leur place !
Une formation de DPO ne peut pas être
certifiante, selon les modalités de la CNIL
Aucune formation n’est et ne sera certifiée par
la CNIL
Un organisme de formation ne peut pas certifier
un DPO
Il n’y a pas d’agrément CNIL pour les formations
de DPO
Un organisme de formation ne peut pas être aussi
un organisme de certification
…
Décryptage…
Les référentiels de la CNIL pour la certification de DPO
Dans son référentiel CNIL1827457X, la CNIL définit les contours de l’examen de certification de compétences de DPO, à savoir :
Les prérequis pour qu’une personne physique puisse accéder à l’examen de certification des compétences de DPO
Les domaines de compétences et savoir faire que doit maîtriser un candidat à la certification
Dans son autre référentiel CNIL1827455X, la CNIL définit les règles par lesquelles elle donnera l’agrément, à des organismes de certification, leur permettant de faire passer l’examen et délivrer la Certification de compétences de DPO. Il détermine en outre les modalités de l’examen de certification et les domaines à évaluer.
Ainsi donc, ce sont des Organismes de Certification, agréés par la CNIL, qui seront en mesure de faire passer le test de certification.
A ce jour, 23 mars 2019, aucun organisme de certification n’est encore agréé par la CNIL et les dossiers sont en cours d’examen.
Les formations de DPO ouvrant accès à l’examen de certification
Pour pouvoir passer l’examen de certification des
compétences de DPO, un candidat doit :
justifier de 2 ans d’expérience dans la protection des données personnelles ou
avoir 2 ans d’expérience autre et avoir suivi une formation de 35 heures sur le RGPD, les compétences et savoir-faire du DPO…
Cette formation est dispensée par des Organismes de Formation (à ne pas confondre avec les Organismes de Certification).
Quelle formation choisir ?
A priori, n’importe quelle formation de DPO d’au moins 35
heures, dispensée par un organisme de formation enregistré auprès de la
Direccte (avec un numéro d’organisme de formation valide), peut permettre à un
candidat de se présenter à l’examen de certification.
Dans les faits, il est probable que chaque organisme de certification qui sera agréé par la CNIL, sera libre d’accepter ou refuser les candidats en fonction de la formation qu’ils auront suivie. Les modalités de validation des formations de DPO, par les organismes de certification, sont laissées à leur appréciation.
La question la plus pertinente à poser, à ce jour, pour le
choix d’un organisme de formation est donc « Votre formation est-elle validée
par un organisme de certification ayant déposé un dossier d’agrément auprès de
la CNIL ? ».
Toutefois, un dernier conseil : N’attendez pas pour vous former, il y aura bientôt la queue au portillon… Soyez juste vigilant dans le choix de vos organismes de formation.
Certification – agrément – accréditation
… faire le tri entre ces trois mots.
Certification
La certification est un processus par lequel un Organisme de
Certification et non pas un Organisme de Formation peut délivrer une
certification de Compétences du DPO à un candidat.
Agrément
La Cnil a publié en octobre 2018 un référentiel (NOR : CNIL1827455X)
qui définit les règles par lesquelles elle peut donner un Agrément à un organisme
de certification lui permettant de délivrer la Certification de compétences de
DPO
Ce référentiel définit essentiellement 2 points :
Les conditions d’agrément des Organismes de
Certification par la CNIL, le maintien de cet agrément et son contrôle continu
Les conditions de délivrance de la certification
de compétences de DPO y compris les conditions du test et son contenu
Accréditation
Pour pouvoir être agréé par la CNIL un organisme de
certification doit avant tout être accrédité selon la Norme ISO 17024 (certification
de personnes). Cette accréditation à un organisme de certification est délivrée,
en France, par le COFRAC (Comité Français d’Accréditation). L’accréditation ISO
17024 ne peut être donnée à un organisme de certification que s’il est totalement
indépendant des organismes de formation dans le domaine d’activité cible.
Les référentiels de certification de la CNIL
Certification des compétences du DPO
Référentiel : CNIL1827457X
Les prérequis le candidat ou la candidate doit pouvoir :
justifier d’une expérience professionnelle d’au
moins 2 ans dans des projets, activités ou tâches en lien avec les missions du
DPO s’agissant de la protection des données personnelles ; ou
justifier d’une expérience professionnelle d’au
moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de
protection des données personnelles reçue par un organisme de formation.
Les 17 compétences et savoir-faire du DPO :
Le candidat connaît et comprend les principes de
licéité du traitement, de limitation des finalités, de minimisation des
données, d’exactitude des données, de conservation limitée des données,
d’intégrité, de confidentialité et de responsabilité.
Le candidat sait identifier la base juridique
d’un traitement.
Le candidat sait déterminer les mesures
appropriées et le contenu de l’information à fournir aux personnes concernées.
Le candidat sait établir des procédures pour
recevoir et gérer les demandes d’exercice des droits des personnes concernées.
Le candidat connaît le cadre juridique relatif à
la sous-traitance en matière de traitement de données personnelles.
Le candidat sait identifier l’existence de
transferts de données hors Union européenne et sait déterminer les instruments
juridiques de transfert susceptibles d’être utilisés.
Le candidat sait élaborer et mettre en œuvre une
politique ou des règles internes en matière de protection des données.
Le candidat sait organiser et participer à des
audits en matière de protection des données.
Le candidat connaît le contenu du registre
d’activités de traitement, du registre des catégories d’activités de traitement
et de la documentation des violations de données ainsi que de la documentation
nécessaire pour prouver la conformité à la réglementation en matière de
protection des données.
Le candidat sait identifier des mesures de
protection des données dès la conception et par défaut adaptées aux risques et
à la nature des opérations de traitement.
Le candidat sait participer à l’identification
des mesures de sécurité adaptées aux risques et à la nature des opérations de
traitement.
Le candidat sait identifier les violations de
données personnelles nécessitant une notification à l’autorité de contrôle et
celles nécessitant une communication aux personnes concernées.
Le candidat sait déterminer s’il est nécessaire
ou non d’effectuer une analyse d’impact relative à la protection des données
(AIPD) et sait en vérifier l’exécution.
Le candidat sait dispenser des conseils en
matière d’analyse d’impact relative à la protection des données (en particulier
sur la méthodologie, l’éventuelle sous-traitance, les mesures techniques et
organisationnelles à adopter).
Le candidat sait gérer les relations avec les
autorités de contrôle, en répondant à leurs sollicitations et en facilitant
leur action (instruction des plaintes et contrôles en particulier).
Le candidat sait élaborer, mettre en œuvre et
est en capacité de dispenser des programmes de formation et de sensibilisation
du personnel et des instances dirigeantes en matière de protection des données.
Le candidat sait assurer la traçabilité de ses
activités, notamment à l’aide d’outils de suivi ou de bilan annuel.
Agrément d’organismes de certification pour la certification des
compétences du DPO
Référentiel : CNIL1827455X
Concernant l’organisme de certification
L’organisme de certification doit être accrédité
ISO 17024
Concernant le test de certification
Epreuve écrite sous forme de QCM d’au moins 100
questions avec 4 propositions doit au moins une est exacte
Les questions portent sur 3 domaines
Domaine 1. – Réglementation générale en matière
de protection des données et mesures prises pour la mise en conformité : 50%
des questions ;
Domaine 2. – Responsabilité : 30% des questions
;
Domaine 3. – Mesures techniques et
organisationnelles pour la sécurité des données au regard des risques : 20% des
questions.
L’épreuve écrite est réussie :
si, au
total, au moins 75% des réponses sont exactes ; et
si, pour chacun des trois domaines, au moins 50%
des réponses aux questions sont exactes.
Concernant la délivrance de la certification
Elle est délivrée pour une période de 3 ans
Renouvelable selon les conditions suivantes
Passage d’un nouvel examen selon les mêmes
conditions
Justifier d’au moins 1 an d’expérience du métier
de DPO au cours des trois années
Elle est délivrée avec un certificat portant la
mention « Délégué à la protection des données certifié conformément au
référentiel de certification des compétences du DPO de la CNIL »
Concernant les questions de l’examen de certification
Le QCM porte sur les trois domaines cités ci-dessus dont
voici le détail.
Domaine 1. – Réglementation générale en matière
de protection des données et mesures prises pour la mise en conformité (50% des
questions)
1.1. Règlement européen et loi française sur la
protection des données – fondamentaux :
1.1.1. Champ d’application.
1.1.2. Définitions et notions.
1.1.3. Organismes soumis aux obligations
règlementaires.
1.2. Règlement européen et loi française sur la
protection des données – principes:
1.2.1. Licéité du traitement.
1.2.2. Loyauté et transparence.
1.2.3. Limitation des finalités.
1.2.4. Minimisation des données.
1.2.5. Exactitude des données.
1.2.6. Conservation limitée des données.
1.2.7. Intégrité, confidentialité des données.
1.3. Règlement européen et loi française sur la
protection des données – validité du traitement:
1.3.1. Bases juridiques d’un traitement.
1.3.2. Consentement.
1.3.3. Consentement des mineurs.
1.3.4. Catégories particulières de données à
caractère personnel.
1.3.5. Données relatives aux condamnations
pénales et aux infractions.
1.4. Droits des personnes concernées:
1.4.1. Transparence et information.
1.4.2. Accès, rectification et effacement (droit
à l’oubli).
1.4.3. Opposition.
1.4.4. Décisions individuelles automatisées.
1.4.5. Portabilité.
1.4.6. Limitation du traitement.
1.4.7. Limitations des droits.
1.5. Mesures prises pour la mise en conformité :
1.5.1. Politiques ou procédure en matière de
protection des données
1.5.2. Qualification des acteurs d’un traitement
de données : responsables du traitement, responsables conjoints du traitement,
sous-traitants
1.5.3. Formalisation des relations (contrat
sous-traitant, accord entre responsables conjoints du traitement).
1.5.4. Codes de conduite et certifications.
1.6. Délégué à la protection des données (DPO):
1.6.1. Désignation et fin de mission.
1.6.2. Qualités professionnelles, connaissances
spécialisées et capacité à accomplir ses missions.
1.6.3. Fonction du DPO (moyens, ressources,
positionnement, indépendance, confidentialité, absence de conflit d’intérêts,
formation).
1.6.4. Missions du DPO et rôle du DPO en matière
d’audits.
1.6.5. Relations du DPO avec les personnes
concernées et gestion des demandes d’exercice des droits.
1.6.6. Coopération du DPO avec l’autorité de
contrôle.
1.6.7. Qualités personnelles, travail en équipe,
management, communication, pédagogie.
1.7. Transferts de données hors de l’Union
européenne :
1.7.1. Décision d’adéquation.
1.7.2. Garanties appropriées.
1.7.3. Règles d’entreprise contraignantes.
1.7.4. Dérogations.
1.7.5. Autorisation de l’autorité de contrôle.
1.7.6. Suspension temporaire.
1.7.7. Clauses contractuelles.
1.8. Autorités de contrôle:
1.8.1. Statut.
1.8.2. Pouvoirs.
1.8.3. Régime de sanction.
1.8.4. Comité européen de protection des
données.
1.8.5. Recours juridictionnels.
1.8.6. Droit à réparation.
1.9. Doctrine et jurisprudence:
1.9.1. Lignes directrices du G29.
1.9.2. Avis, lignes directrices et
recommandations du comité européen de protection des données.
1.9.3. Jurisprudence française et européenne.
Domaine 2. – Responsabilité (30% des questions)
2.1. Analyse d’impact relative à la protection
des données (AIPD).
2.2. Protection des données dès la conception et
par défaut.
2.3. Registre des activités de traitement
(responsable de traitement) et registre des catégories d’activités de
traitement (sous-traitant).
2.4. Violations de données à caractère
personnel, notification des violations et communication à la personne
concernée.
Domaine 3. – Mesures techniques et
organisationnelles pour la sécurité des données au regard des risques (20% des
questions)
3.1. Pseudonymisation et chiffrement des données
personnelles.
3.2. Mesures pour garantir la confidentialité,
l’intégrité et la résilience des systèmes et des services de traitement.
3.3. Mesures permettant de rétablir la disponibilité
des données et l’accès aux données en cas d’incident physique ou
technique.
Dans le premier épisode nous avons discuté de quelques spécificités de l’éducation supérieure quant à l’établissement d’un fichier de prospection et du recrutement de collaborateurs (spécifiquement les professeurs et intervenants).
Dans cette partie nous traitons le triple cas la paye, le contrôle d’accès aux locaux et le planning et la relation entre ces trois activités en matière de RGPD.
Préambule :
Les traitements « Classiques »
Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courant comme :
L’établissement d’un fichier de prospection
Le recrutement de collaborateurs
La paye
Le contrôle d’accès à ses locaux
Le planning de ses activités et de ses ressources
Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.
Le triplet : Paye-Contrôle d’accès – Planning
Une école ou université doit gérer ces trois axes avec des contraintes spécifiques.
Pour la paye, contrairement à une entreprise classique qui est composée d’une majorité de personnels permanents, l’éducation supérieure fait appel en permanence à des professeurs et intervenants dont le volume horaire est faible ou réduit et dont le travail s’effectue sur une grande période de temps (exemple 30 heures de cours sur 3 mois).
Le suivi des activités de ces personnes est totalement lié au planning qui rapproche 4 pivots : un horaire – une classe d’étudiants (nommément identifiés) – une salle de cours (géolocalisée) et un intervenant (lui ou elle aussi identifié). Le rapprochement de ces 4 pivots est nécessaire à la réalisation d’une paye ou d’un rapprochement de facture (si intervenant en honoraires).
D’autre part, les écoles (universités) réalisent de plus en plus un contrôle d’accès par badge tant pour l’accès physique aux bâtiments que pour suivre la présence des étudiants en cours, ou des professeurs (en cours eux aussi).
On peut avoir ici une double finalité à l’utilisation d’un badge nominatif : ouvrir et contrôler la présence.
Le contrôle d’accès suit une finalité de sécurité physique.
Le contrôle de présence suit une double finalité de jugement académique (points en moins si trop d’absence ou non validation d’un cours pour les étudiants) mais aussi parfois une finalité liée au règlement des salaires des étudiants en alternance par exemple.
Cette double finalité d’un dispositif unique demande un traitement particulier et une approche spécifique des durées de conservation, particulièrement si le stockage des données d’accès / présence est utilisé (comme c’est le cas…mais rarement) dans le cadre de la formation en Alternance ou Apprentissage (contrats de professionnalisation par exemple) comme moyen de « signature » de la présence des étudiants et professeurs pour la prise en charge des frais de scolarité ou de règlement des salaires par les OPCA concernées.
Dans une université ou école comprenant au même endroit…des étudiants en formation initiale et des étudiants alternants, la durée de conservation des historiques de présence doit donc être clairement séparée et gérée de façon univoque.
De même, les données de planning (des intervenants et des étudiants) sont des données de pseudo géolocalisation quand elles sont rapprochables du contrôle d’accès et doivent aussi retenir l’attention du responsable de traitement, de son conseil et de son DPO.