RGPD Facile pour PME : Activité de traitement

Episode #02 : une Activité de Traitement : Qu’est-ce que c’est ?

Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on explique aujourd’hui le terme et la notion d’Activité de Traitement de données

Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:

  • Pas après pas
  • Sujet après sujet
  • En termes simples
  • Vidéos de 1 à 2 minutes

Notre prochain sujet sera :
Réccapitulatif sur les Données, Les personnes concernées et les Activités de traitement

Article précédent : Qu’est ce qu’une DCP ?

RGPD Facile pour PME : DCP

Episode #01 : DCP ou Donnée à Caractère Personnel : Qu’est-ce que c’est ?

Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on explique aujourd’hui le terme et la notion de Donnée à Caractère Personnel

Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:

  • Pas après pas
  • Sujet après sujet
  • En termes simples
  • Vidéos de 1 à 2 minutes

Notre prochain sujet sera :
Qu’est ce qu’une Qu’est ce qu’une Activité de Traitement !

Article précédent : RGPD Facile pour les PME : Introduction

RGPD Facile pour PME

Episode #00 : Introduction

Introduction à notre série : RGPD facile pour PME ou comment deméler une pelote quand on a le nez dans le guidon ?

Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:

  • Pas après pas
  • Sujet après sujet
  • En termes simples
  • Vidéos de 1 à 2 minutes

A la suite de cette introduction notre premier sujet sera :
Qu’est ce qu’une Donnée à Caractère Personnel ?

Certification de DPO – Décryptage et démêlage de pelote

Formation, certification, accréditation, agrément, formation certifiante, DPO certifié et certification de compétences… Y comprendre quelque chose, faire le tri dans les mots, discerner le vrai du faux !

Comme tout organisme de formation de DPO, nous sommes confrontés jour après jour à des questions du type :

«Votre formation de DPO est-elle certifiante ? »
«Votre formation de DPO est-elle certifiée par la CNIL ? »
«Est-ce que votre formation donne la certification de DPO ? »
«Est-ce que vous avez l’agrément CNIL pour vos formations ? »

Alors, avant de développer une explication technique sur le mécanisme de certification de DPO selon les référentiels CNIL, commençons par remettre les choses à leur place !

  • Une formation de DPO ne peut pas être certifiante, selon les modalités de la CNIL
  • Aucune formation n’est et ne sera certifiée par la CNIL
  • Un organisme de formation ne peut pas certifier un DPO
  • Il n’y a pas d’agrément CNIL pour les formations de DPO
  • Un organisme de formation ne peut pas être aussi un organisme de certification

Décryptage…

Les référentiels de la CNIL pour la certification de DPO

Dans son référentiel CNIL1827457X, la CNIL définit les contours de l’examen de certification de compétences de DPO, à savoir :

  • Les prérequis pour qu’une personne physique puisse accéder à l’examen de certification des compétences de DPO
  • Les domaines de compétences et savoir faire que doit maîtriser un candidat à la certification

Dans son autre référentiel CNIL1827455X, la CNIL définit les règles par lesquelles elle donnera l’agrément, à des organismes de certification, leur permettant de faire passer l’examen et délivrer la Certification de compétences de DPO. Il détermine en outre les modalités de l’examen de certification et les domaines à évaluer.

Ainsi donc, ce sont des Organismes de Certification, agréés par la CNIL, qui seront en mesure de faire passer le test de certification.

A ce jour, 23 mars 2019, aucun organisme de certification n’est encore agréé par la CNIL et les dossiers sont en cours d’examen.

Les formations de DPO ouvrant accès à l’examen de certification

Pour pouvoir passer l’examen de certification des compétences de DPO, un candidat doit :

  • justifier de 2 ans d’expérience dans la protection des données personnelles
    ou
  • avoir 2 ans d’expérience autre et avoir suivi une formation de 35 heures sur le RGPD, les compétences et savoir-faire du DPO…

Cette formation est dispensée par des Organismes de Formation (à ne pas confondre avec les Organismes de Certification).

Quelle formation choisir ?

A priori, n’importe quelle formation de DPO d’au moins 35 heures, dispensée par un organisme de formation enregistré auprès de la Direccte (avec un numéro d’organisme de formation valide), peut permettre à un candidat de se présenter à l’examen de certification.

Dans les faits, il est probable que chaque organisme de certification qui sera agréé par la CNIL, sera libre d’accepter ou refuser les candidats en fonction de la formation qu’ils auront suivie.
Les modalités de validation des formations de DPO, par les organismes de certification, sont laissées à leur appréciation.

La question la plus pertinente à poser, à ce jour, pour le choix d’un organisme de formation est donc « Votre formation est-elle validée par un organisme de certification ayant déposé un dossier d’agrément auprès de la CNIL ? ».

Toutefois, un dernier conseil : N’attendez pas pour vous former, il y aura bientôt la queue au portillon… Soyez juste vigilant dans le choix de vos organismes de formation.

Certification – agrément – accréditation

… faire le tri entre ces trois mots.

Certification

La certification est un processus par lequel un Organisme de Certification et non pas un Organisme de Formation peut délivrer une certification de Compétences du DPO à un candidat.

Agrément

La Cnil a publié en octobre 2018 un référentiel (NOR : CNIL1827455X) qui définit les règles par lesquelles elle peut donner un Agrément à un organisme de certification lui permettant de délivrer la Certification de compétences de DPO

Ce référentiel définit essentiellement 2 points :

  • Les conditions d’agrément des Organismes de Certification par la CNIL, le maintien de cet agrément et son contrôle continu
  • Les conditions de délivrance de la certification de compétences de DPO y compris les conditions du test et son contenu

Accréditation

Pour pouvoir être agréé par la CNIL un organisme de certification doit avant tout être accrédité selon la Norme ISO 17024 (certification de personnes). Cette accréditation à un organisme de certification est délivrée, en France, par le COFRAC (Comité Français d’Accréditation). L’accréditation ISO 17024 ne peut être donnée à un organisme de certification que s’il est totalement indépendant des organismes de formation dans le domaine d’activité cible.

Les référentiels de certification de la CNIL

Certification des compétences du DPO

Référentiel : CNIL1827457X

Les prérequis le candidat ou la candidate doit pouvoir :

  • justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou
  • justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.

Les 17 compétences et savoir-faire du DPO :

  • Le candidat connaît et comprend les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité.
  • Le candidat sait identifier la base juridique d’un traitement.
  • Le candidat sait déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées.
  • Le candidat sait établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes concernées.
  • Le candidat connaît le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  • Le candidat sait identifier l’existence de transferts de données hors Union européenne et sait déterminer les instruments juridiques de transfert susceptibles d’être utilisés.
  • Le candidat sait élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données.
  • Le candidat sait organiser et participer à des audits en matière de protection des données.
  • Le candidat connaît le contenu du registre d’activités de traitement, du registre des catégories d’activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  • Le candidat sait identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  • Le candidat sait participer à l’identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  • Le candidat sait identifier les violations de données personnelles nécessitant une notification à l’autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  • Le candidat sait déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact relative à la protection des données (AIPD) et sait en vérifier l’exécution.
  • Le candidat sait dispenser des conseils en matière d’analyse d’impact relative à la protection des données (en particulier sur la méthodologie, l’éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  • Le candidat sait gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  • Le candidat sait élaborer, mettre en œuvre et est en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  • Le candidat sait assurer la traçabilité de ses activités, notamment à l’aide d’outils de suivi ou de bilan annuel. 

Agrément d’organismes de certification pour la certification des compétences du DPO

Référentiel : CNIL1827455X

Concernant l’organisme de certification

  • L’organisme de certification doit être accrédité ISO 17024

Concernant le test de certification

  • Epreuve écrite sous forme de QCM d’au moins 100 questions avec 4 propositions doit au moins une est exacte
  • Les questions portent sur 3 domaines
    • Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité : 50% des questions ;
    • Domaine 2. – Responsabilité : 30% des questions ;
    • Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques : 20% des questions.
  • L’épreuve écrite est réussie :
    •  si, au total, au moins 75% des réponses sont exactes ; et
    • si, pour chacun des trois domaines, au moins 50% des réponses aux questions sont exactes.

Concernant la délivrance de la certification

  • Elle est délivrée pour une période de 3 ans
  • Renouvelable selon les conditions suivantes
    • Passage d’un nouvel examen selon les mêmes conditions
    • Justifier d’au moins 1 an d’expérience du métier de DPO au cours des trois années
  • Elle est délivrée avec un certificat portant la mention « Délégué à la protection des données certifié conformément au référentiel de certification des compétences du DPO de la CNIL »

Concernant les questions de l’examen de certification

Le QCM porte sur les trois domaines cités ci-dessus dont voici le détail.

  • Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité (50% des questions)
    • 1.1. Règlement européen et loi française sur la protection des données – fondamentaux :
      • 1.1.1. Champ d’application.
      • 1.1.2. Définitions et notions.
      • 1.1.3. Organismes soumis aux obligations règlementaires.
    • 1.2. Règlement européen et loi française sur la protection des données – principes:
      • 1.2.1. Licéité du traitement.
      • 1.2.2. Loyauté et transparence.
      • 1.2.3. Limitation des finalités.
      • 1.2.4. Minimisation des données.
      • 1.2.5. Exactitude des données.
      • 1.2.6. Conservation limitée des données.
      • 1.2.7. Intégrité, confidentialité des données.
    • 1.3. Règlement européen et loi française sur la protection des données – validité du traitement:
      • 1.3.1. Bases juridiques d’un traitement.
      • 1.3.2. Consentement.
      • 1.3.3. Consentement des mineurs.
      • 1.3.4. Catégories particulières de données à caractère personnel.
      • 1.3.5. Données relatives aux condamnations pénales et aux infractions.
    • 1.4. Droits des personnes concernées:
      • 1.4.1. Transparence et information.
      • 1.4.2. Accès, rectification et effacement (droit à l’oubli).
      • 1.4.3. Opposition.
      • 1.4.4. Décisions individuelles automatisées.
      • 1.4.5. Portabilité.
      • 1.4.6. Limitation du traitement.
      • 1.4.7. Limitations des droits.
    • 1.5. Mesures prises pour la mise en conformité :
      • 1.5.1. Politiques ou procédure en matière de protection des données
      • 1.5.2. Qualification des acteurs d’un traitement de données : responsables du traitement, responsables conjoints du traitement, sous-traitants
      • 1.5.3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du traitement).
      • 1.5.4. Codes de conduite et certifications.
    • 1.6. Délégué à la protection des données (DPO):
      • 1.6.1. Désignation et fin de mission.
      • 1.6.2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions.
      • 1.6.3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d’intérêts, formation).
      • 1.6.4. Missions du DPO et rôle du DPO en matière d’audits.
      • 1.6.5. Relations du DPO avec les personnes concernées et gestion des demandes d’exercice des droits.
      • 1.6.6. Coopération du DPO avec l’autorité de contrôle.
      • 1.6.7. Qualités personnelles, travail en équipe, management, communication, pédagogie.
    • 1.7. Transferts de données hors de l’Union européenne :
      • 1.7.1. Décision d’adéquation.
      • 1.7.2. Garanties appropriées.
      • 1.7.3. Règles d’entreprise contraignantes.
      • 1.7.4. Dérogations.
      • 1.7.5. Autorisation de l’autorité de contrôle.
      • 1.7.6. Suspension temporaire.
      • 1.7.7. Clauses contractuelles.
    • 1.8. Autorités de contrôle:
      • 1.8.1. Statut.
      • 1.8.2. Pouvoirs.
      • 1.8.3. Régime de sanction.
      • 1.8.4. Comité européen de protection des données.
      • 1.8.5. Recours juridictionnels.
      • 1.8.6. Droit à réparation.
    • 1.9. Doctrine et jurisprudence:
      • 1.9.1. Lignes directrices du G29.
      • 1.9.2. Avis, lignes directrices et recommandations du comité européen de protection des données.
      • 1.9.3. Jurisprudence française et européenne.

  • Domaine 2. – Responsabilité (30% des questions)
    • 2.1. Analyse d’impact relative à la protection des données (AIPD).
    • 2.2. Protection des données dès la conception et par défaut.
    • 2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories d’activités de traitement (sous-traitant).
    • 2.4. Violations de données à caractère personnel, notification des violations et communication à la personne concernée.

  • Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques (20% des questions)
    • 3.1. Pseudonymisation et chiffrement des données personnelles.
    • 3.2. Mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement.
    • 3.3. Mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique. 

RGPD : Inutile ou vrai enjeu ?

Vous trouvez le RGPD inutile, contraignant, une obligation de plus qui finalement ne s’imposera qu’aux plus faibles et que les gros GAFA et consorts piétineront allègrement tandis que les petits subiront les foudres de la CNIL ? Comme d’habitude, ce sont les petits qui trinquent ?

Je ressens le besoin de considérer que ce ne sera pas le cas… Ou plutôt, j’ai l’urgence de croire absolument que l’enjeu est tellement grand qu’il ne s’agit pas d’une cour de récré inéquitable qui finira en eau de boudin après avoir jeté un peu de poudre aux yeux.

La protection des données personnelles est l’affaire de tous…Aller je me lance dans une formulation qui peut paraitre excessive… Il en va de l’avenir de l’Humanité, de l’intégrité de l’individu, du risque de déshumanisation, de l’Homme moins précieux que ses données, pompé jusqu’à la moelle de son inestimable pédigrée pour le lui resservir éventuellement à ses dépens… Exagéré ? Vous êtes sûrs ?

Petit QUIZZ…

1/ En imaginant que les données personnelles que vous avez publiées sur Facebook à l’intention de vos « amis » (ceux que vous avez sélectionnés comme tels), soient utilisées à des fins non précisées a priori, que pourrait-il arriver de pire ?

  • Parvenir à faire élire, à la présidence de la première puissance mondiale, un type misogyne, raciste, inconstant, narcissique, impulsif et capable de dire « “je pourrais tirer sur des personnes dans la Cinquième Avenue et je ne perdrais pas de votes”.
  • Que la décision de vous accorder le prêt que vous avez demandé à votre banque soit jugée en fonction de l’historique de crédit de vos amis sur Facebook.
  • Que votre assureur décide de votre prime d’assurance auto en fonction d’une catégorisation de bon ou mauvais conducteur établie à partir de l’analyse de votre profil et de vos habitudes sur Facebook.

Les 3, mon capitaine. L’élection de D. Trump a été rendue possible par la « manipulation » notamment de millions d’américains indécis à travers leur compte Facebook dont les informations ont été communiquées à Cambridge Analytica, sans leur consentement. Les algorithmes qui permettraient les deux autres réponses sont actuellement sérieusement à l’étude.

2/ Vous venez d’acheter un ensemble de vidéo cinéma fort coûteux chez un détaillant renommé qui est venu vous l’installer il y a tout juste une semaine. Vous avez laissé vos coordonnées, votre adresse, le code de la porte d’accès à votre immeuble et le nom de la gardienne pour qu’elle puisse leur ouvrir en votre absence …comme d’habitude ! Que pourrait-il arriver ?

  • Que la base d’informations de 50 000 livraisons, dont la vôtre, ait été piratée chez le sous-traitant du détaillant, donnant de précieux renseignements sur vos installations, vos horaires et la manière d’accéder aisément dans votre logement.
  • Que les arnaqueurs rentrent chez vous sans effraction, accompagnés par la gardienne (oui, on a livré la semaine dernière, vous vous rappelez ? Le matériel est défectueux, on doit le récupérer) et repartent avec votre super matériel dernier cri. Bien sûr, pas d’effraction = pas de prise en charge par votre assureur.

Les 2. C’est ce qui est arrivé à une cliente d’une enseigne suite à la fuite des données de son sous-traitant. Avec la nouvelle règlementation RGPD, l’amende aurait pu aller jusqu’à 4% de son CA mondial ou 20 M€ minimums.

3/ Votre enfant est inscrit au collège de votre ville. Dans son dossier d’étudiant on retrouve, outre son emploi du temps, toutes les informations que vous avez dû donner lors de son inscription : vos coordonnées complètes, la composition de votre famille, votre niveau de revenus, les intolérances alimentaires de votre ado, ses problèmes de santé. On vous a même demandé votre numéro de sécurité sociale, en cas d’hospitalisation et une copie de votre carte d’identité, au cas où… Que pourrait-il arriver de pire ?

  • Qu’un réseau de trafic d’identité international pirate les données et puisse, à partir de ces informations, demander en ligne la production d’un certificat de naissance à votre nom et, de là, une vraie fausse carte d’identité…puis aille consentir quelques prêts à la consommation en votre nom, identité formelle à l’appui.
  • Qu’il y ait une fuite de données et que l’ensemble des dossiers scolaires soient cédés à un réseau pédophile.

Aucun de ces deux cas n’a été relaté mais l’exploitation des données personnelles est, outre un marché rentable, un enjeu d’arnaques dont le nombre augmente. Ces deux cas ne sont pas avérés, mais ils sont réalistes.

Alors NON !

Alors non, le RGPD n’est pas une nouvelle réglementation inutile de plus qui ne concerne que les gros mais ne contraint que le petits. L’Europe constitue un marché non négligeable dont même les plus gros ne peuvent se permettre le luxe de se priver.

Et à ceux qui pensent que les jeunes générations n’ont que faire de leurs données personnelles, qu’ils les exposent sans aucune retenue sur les réseaux sociaux, je demanderais : Est-ce une raison pour ne pas les protéger ? Pour que le jour où, devenus adultes et conscients de l’impact potentiellement défavorable que pourraient avoir désormais ces « erreurs de jeunesse », ils aient la liberté de choisir de les supprimer définitivement ?

L’innovation technologique est indispensable, elle façonne l’économie de demain et, de là, le fonctionnement sociétale. Elle fait fantasmer de millions de voies nouvelles qu’elle ouvre ou suggère à peine… Elle est inéluctable.

Ne perdons pas de vue que l’innovation doit rester au service de l’homme, et non l’inverse. 

RGPD Education Episode 04 : la gestion des anciens…les Alumni

RGPD dans l’éducation. Comment gérer les alumni. ?

Le RGPD dans l’éducation supérieure.

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 4 : Transfert de données à l’association des alumni

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Transfert de données personnelles…le cas de l’association des anciens

Toutes les écoles et universités gèrent plus ou moins directement une association des anciens.

Cette activité, considérée parfois à juste titre comme stratégique recouvre des réalités, des finalités, des efficacités diverses que ce soit pour le placement des étudiants en stages, pour la reconnaissance de l’établissement sur le marché du travail, pour le recrutement d’anciens comme intervenants ou comme recruteurs indirects de nouveaux étudiants et même pour le recrutement tout au long de leur carrière professionnelle de diplômés à travers des offres postées spécifiques et des jobs boards automatiques.

La relation que l’école ou l’université entretien avec ses anciens élèves rentre bien évidemment dans le champ de la conformité RGPD.

Structure de la relation

Dans certains cas la gestion des anciens est assurée en direct par l’école, dans d’autres c’est une association dont l’école est partie prenante et parfois c’est une association dédiée dans laquelle l’école n’est pas partie prenante.

Le financement de cette structure et de ses activités n’est pas sans conséquence non plus.

Il existe plusieurs schéma de relation financière entre l’école (université) et le réseau des anciens.

·        Le financement est réalisé par les étudiants en activité avec une partie des « fees » de scolarité allouée aux réseaux d’anciens

·        Le financement est réalisé par les anciens avec un concours de subvention de l’école

·        Le financement est entièrement réalisé par les cotisations des anciens élèves

La structure de cette relation et le mode de financement imposent des contraintes particulières en matière de RGPD.

Dans le cas où la relation est fortement liée entre l’établissement et le réseau des anciens, l’école (université) doit être considérée comme Responsable de Traitement (ou Co-RT) quant au transfert de données réalisé d’une entité juridique vers la seconde.

Transfert des données des diplômés

Le transfert des données des diplômés vers l’association (l’entité) des alumni est un transfert de données à caractère personnel (nom, prénom, diplôme, promotion, majeurs et mineurs, classement, n° de téléphone, email etc….).

Ce transfert requiert (comme tous les transferts de données) le consentement de la personne concernée (le diplômé).

Ce consentement ne peut en aucun cas se faire de façon tacite, il doit être un terme du contrat qui lie l’étudiant (futur diplômé) et l’école ou l’établissement d’un contrat (ou recueil de consentement spécifique) entre le jeune diplômé et l’association (entité) des anciens élèves.

De même l’ensemble (et chacun) des traitements réalisés par l’association des alumni doit faire l’objet comme tout traitement d’une information univoque, et permettre aux « anciens » d’exercer la totalité de leurs droits (Accès, rectification, limitation, portabilité) et OUBLI.

Et oui….un ancien élève a le droit de demander à son ancien établissement et association d’oublier qu’il a été diplômé….aussi bizarre que cela puisse paraitre (dans la limite évidement les obligations légales en matière de diplôme des établissements de formation).

Traitements des données des diplômés…à des fins statistiques

Beaucoup d’associations réalisent des enquêtes de salaires et forment des statistiques sur les anciens diplômés. Faites bien attention à vos processus de collecte, d’anonymisation et de calculs sur ces données.

En cas de violation il est extrêmement important que les données perdues ne puissent pas permettre de créer un « Profil personnel» à partir des données collectées et utilisées à des fins statistiques.

RGPD et Education Episode 3 : Examen, Notes et Transcripts

group of students takes the test in class

Les traitement spécifiques : Examens – Copies – Transcripts

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 3 : Examens, copies / tests, transcripts

Dans les deux premiers épisodes de notre petite série nous avons discuté de quelques spécificités de l’éducation supérieure quant aux traitements que nous retrouverons dans toute entreprise qui s’adresse à des particuliers : prospection, recrutement de collaborateurs, payes, contrôle d’accès et planning….tout cela avec des spécificités liées au monde de l’éducation.

Dans cette nouvelle partie (Partie 2) nous allons adresser les traitements vraiment spécifiques à l’éducation.

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Examens, copies, transcrits

Les examens sous toutes leurs formes, sont des réalisations légitimes du contrat qui lie l’étudiant et son établissement d’enseignement.

Pour autant ces examens doivent suivre un processus en conformité avec le RGPD.

Contrat : un contrat doit lier l’étudiant et l’école et ce contrat doit clairement spécifier le caractère obligatoire du passage de examens ou du processus de contrôle continu. Il doit aussi établir clairement l’accès aux droits de l’étudiant.

Copies d’examens (partiels et contrôle continu) : une jurisprudence européenne (affaire Irlandaise, étudiant expert-comptable vs ordre des experts irlandais) a confirmé que les copies d’examen et les annotations de l’examinateur constituaient des données à caractère personnel, en l’espèce :

o  leur contenu reflétant notamment le niveau de connaissance et de compétence du candidat,

o  leur finalité évaluant notamment les capacités professionnelles du candidat,

o  leur effet sur les droits et intérêts du candidat.

o  Les annotations de l’examinateur constituent également des informations concernant le candidat. Ainsi, ce dernier dispose d’un droit d’accès à ses réponses à l’examen et aux annotations de l’examinateur afin d’effectuer les vérifications nécessaires notamment de leur exactitude. (Editions législatives, Vanessa Younes-Fellous, Avocate en droit de la protection des données personnelles)

Nous rappelons aussi que la durée de conservation de ses copies doit être de 1 an minimum après publication des résultats, à l’exception de celles faisant l’objet d’un contentieux.

Certains organismes d’accréditation vont demander une conservation plus longue pour des raisons de contrôle. Cette durée spécifique doit faire l’objet d’un recueil de consentement.

Transcripts: les transcripts de notes et de description des modules de cursus suivis par l’étudiants sont aussi des données personnelles. Leur durée de conservation est plus problématique.

En effet ces transcripts peuvent être utiles à l’étudiant tout au long de sa vie (reprise d’études en cours de carrière par exemple).

Il n’existe pas aujourd’hui de solution de stockage individuel adéquate des transcripts avec un prestataire de confiance tiers qui pourrait garantir l’origine et la validité des transcripts de manière transnationale pour tous les établissements d’éducation supérieure. En attendant cette solution il est important que l’établissement et l’étudiant établissent un contrat de conservation et d’accès à ces transcripts. Ce contrat doit clairement établir la finalité de cette conservation et l’exercice des droits, indépendamment de la gestion administrative courante de l’étudiant dans son établissement.

RGPD : pourquoi faut-il interdire Facebook en Europe ?

Pourquoi est-il indispensable que l’Europe interdise Facebook par mesure conservatoire d’urgence pour une durée de 3 mois ?

Je discutais hier avec des amis, des copains, qui comme tout le monde ont entendu parler du RGPD et bien évidemment du scandale Facebook/Cambridge Analytica.

Connaissant mon activité ils m’ont demandé des précisions sur ce que l’on sait du scandale.

Puis un débat s’est engagé sur le RGDP et sur ce que l’on pouvait attendre comme sanction.

Après 5 minutes leur conviction était faite… « Quoi qu’il arrive, de toute façon Facebook continuera comme avant et RGPD ou pas l’Europe, la France ou n’importe quel autre état du monde ne pourra rien faire contre Facebook ou les GAFA . Le RGPD c’est bien joli mais c’est encore une loi inapplicable ».

Non…je ne suis pas d’accord.

L’Europe, la France, les autres états peuvent faire quelque chose contre Facebook et les GAFA si ceux-ci ne respèctent pas le règlement.

L’Europe a maintenant les « armes » pour forcer les Facebook et autres géants à se mettre en conformité.

L’article 66 définit les conditions applicables aux procédures d’urgences qui selon le Considérant 137 peut permettre à une autorité de contrôle de d’adopter des mesures provisoires allant jusqu’à une durée de trois mois.

L’ICO, la Cnil, les autres autorités de contrôles peuvent ainsi obliger Facebook à ne plus livrer son service sur le territoire national et au moyen, obliger les opérateurs à empêcher le routage des adresses IP de Facebook.

Je pense que cette mesure doit être prise, et qu’elle doit être clairement publicisée afin de montrer aux GAFA que la protection de données personnelles n’est pas une option, et pour montrer à la population que les pouvoirs publics se soucient de leur sécurité, des leurs droits, et plus largement de leur vie privée.

RGPD et Education Supérieure : Episode 02 : Paye – Contrôle d’accès – Planning

Le RGPD dans l’éducation supérieure.

Partie 1 : Les traitements classiques

Episode 2 : Paye, Contrôle d’accès et Planning

Dans le premier épisode nous avons discuté de quelques spécificités de l’éducation supérieure quant à l’établissement d’un fichier de prospection et du recrutement de collaborateurs (spécifiquement les professeurs et intervenants).

Dans cette partie nous traitons le triple cas la paye, le contrôle d’accès aux locaux et le planning et la relation entre ces trois activités en matière de RGPD.

Préambule :

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courant comme :

  • L’établissement d’un fichier de prospection
  • Le recrutement de collaborateurs
  • La paye
  • Le contrôle d’accès à ses locaux
  • Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le triplet :  Paye-Contrôle d’accès – Planning

Une école ou université doit gérer ces trois axes avec des contraintes spécifiques.

Pour la paye, contrairement à une entreprise classique qui est composée d’une majorité de personnels permanents, l’éducation supérieure fait appel en permanence à des professeurs et intervenants dont le volume horaire est faible ou réduit et dont le travail s’effectue sur une grande période de temps (exemple 30 heures de cours sur 3 mois).

Le suivi des activités de ces personnes est totalement lié au planning qui rapproche 4 pivots : un horaire – une classe d’étudiants (nommément identifiés) – une salle de cours (géolocalisée) et un intervenant (lui ou elle aussi identifié). Le rapprochement de ces 4 pivots est nécessaire à la réalisation d’une paye ou d’un rapprochement de facture (si intervenant en honoraires).

D’autre part, les écoles (universités) réalisent de plus en plus un contrôle d’accès par badge tant pour l’accès physique aux bâtiments que pour suivre la présence des étudiants en cours, ou des professeurs (en cours eux aussi).

On peut avoir ici une double finalité à l’utilisation d’un badge nominatif : ouvrir et contrôler la présence.

  • Le contrôle d’accès suit une finalité de sécurité physique.
  • Le contrôle de présence suit une double finalité de jugement académique (points en moins si trop d’absence ou non validation d’un cours pour les étudiants) mais aussi parfois une finalité liée au règlement des salaires des étudiants en alternance par exemple.

Cette double finalité d’un dispositif unique demande un traitement particulier et une approche spécifique des durées de conservation, particulièrement si le stockage des données d’accès / présence est utilisé (comme c’est le cas…mais rarement) dans le cadre de la formation en Alternance ou Apprentissage (contrats de professionnalisation par exemple) comme moyen de « signature » de la présence des étudiants et professeurs pour la prise en charge des frais de scolarité ou de règlement des salaires par les OPCA concernées.

Dans une université ou école comprenant au même endroit…des étudiants en formation initiale et des étudiants alternants, la durée de conservation des historiques de présence doit donc être clairement séparée et gérée de façon univoque.

De même, les données de planning (des intervenants et des étudiants) sont des données de pseudo géolocalisation quand elles sont rapprochables du contrôle d’accès et doivent aussi retenir l’attention du responsable de traitement, de son conseil et de son DPO.

 

 

RGPD Education Supérieure : Episode 01 : Prospection et Recrutement

Partie 1 : Traitements “Classiques”

La prospection et le recrutement de professeurs

Nous commençons ici une série d’articles, par épisodes, sur le RGPD et le Secteur de l’Education Supérieure.

Le secteur de l’éducation supérieure se doit d’être particulièrement attentive à l’application du RGPD.

Outre les traitements « classiques » de données personnelles, ce secteur a ses particularités propres que les responsables de traitements, leurs DPO et les conseils qui les accompagnent doivent prendre en compte.

Nous allons lister ici, quelques-uns de ces traitements, « classiques » (dans nos premiers épisodes) puis ceux spécifiques et pointer certains enjeux particuliers.

Ces articles ne se veulent en aucun cas exhaustifs et chaque chef d’établissement devra prendre le plus grand soin dans son approche initiale de bien s’assurer de répertorier tous les traitements que son ou ses établissements mettent en jeu.

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courants comme :

–         L’établissement d’un fichier de prospection

–         Le recrutement de collaborateurs

–         La paye

–         Le contrôle d’accès à ses locaux

–         Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le fichier de prospection et durée de conservation

La CNIL recommande que la durée de conservation d’informations personnelles concernant les prospects d’une entreprise ne dépasse pas 3 ans après la première acquisition. L’éducation supérieure, privée par exemple, recrute selon deux principales voies. La prospection directe via les salons, les conférences, les présentations dans les écoles et son site internet. Elle recrute aussi via un service d’agents, principalement étrangers (intra ou hors Europe) qui lui fournissent des listes de prospects qualifiés ou encore même organisent eux même la vente des programmes de formation.

Cette prospection est réalisée bien souvent auprès d’enfant mineurs, au sens de la loi, mais majeurs digitaux (> 16 ans). Il est assez fréquent que des mineurs de 16 ans viennent donner leur contact aux écoles qu’ils souhaitent intégrer après le BAC. C’est-à-dire à un horizon 2 ans. L’intégration peut avoir lieu aussi en deuxième ou troisième année de premier cycle, voire en deuxième cycle. Dans ce dernier cas, finalement assez fréquent, entre l’acquisition initiale des données personnelles et la « Vente » ou « contractualisation » il peut y avoir une latence de l’ordre de 3, 4 ou 5 ans.

Ce traitement nécessite alors, au moment de la collecte et de la durée de conservation, une attention particulière du conseil en RGPD, du DPO et du RT.

Le recrutement de collaborateurs : les professeurs et intervenants

Les établissements travaillent bien souvent avec une base de professeurs permanents mais aussi des intervenants (vacataires ou en honoraires). Dans tous les cas, au moment du recrutement et parfois même en amont, est demandé de fournir un CV mais aussi un Extrait de Casier judiciaire. Dans nombre d’établissements, un original de cet extrait de casier, est conservé pour une durée importante (1 an …voire à vie…..et oui). Cette durée est imposée par les rectorats, en contradiction avec les recommandations de la CNIL sur ce sujet particulier. Qui a raison ?

Là aussi le RT et le DPO (avec le support de la CNIL) devront se pencher sur la question. définir la licéité de la durée de conservation parfois contradictoire avec les demandes administratives des rectorats et/ou des préfectures.