Dans le cadre de la mise en place d’un nouveau logiciel de gestion de la qualité intégrant des données RH (gestion des entrées et sorties, absentéisme, qualification, contrats de travail, etc.). Devons-nous anonymiser ces données (à l’aide d’un numéro de matricule par exemple) ou pouvons-nous intégrer les noms des salariés avec le recensement de leur consentement respectif ?La désignation d’un DPO est-elle obligatoire pour un organisme de formation en travail social ?Le RGPD résumé en graphique (par le CLUSIF)Est-ce que le carnet d’adresses d’un smartphone est un traitement ?Quid du droit à l’effacement et/ou à la rectification de données personnelles ?Sous forme les entreprises doivent-elles obtenir le consentement des utilisateurs ?Le RGPD : pour quels métiers ?Le RGPD, pour quelles catégories d’entreprises ou organisations ?Notre prestataire de restauration (une société externe) nous demande de renseigner un fichier mentionnant les régimes. Ce fichier est anonymisé, aucune donnée nominative n’y figure mais ce prestataire nous demande aussi, par ailleurs, de lui communiquer (par scan pdf) les ordonnances de prescription de régime établies par le médecin. Y-a-t-il traitement de données personnelles ? Quelle est notre responsabilité ?Dans le cadre de notre développement nous envisageons de recruter un analyste décisionnel. Pourrions-nous compléter son temps par la mission de DPO ?Concernant la protection (Privacy by design et Privacy by default), existe-t-il un socle de préconisations opposable à un éditeur ou à un développeur ?Concernant la portabilité des données, si la majorité des traitements se font à l’aide d’applications d’éditeurs, devons-nous alors vérifier la capacité de chacune d’elles à extraire à la demande des données individuelles puis nous retourner vers l’éditeur en cas d’impossibilité ?Comment se détermine le responsable du traitement ? s’agit-il de l’association gestionnaire, ou par délégation, du directeur d’établissement ou de service dans lequel le traitement est mise en œuvre ?Concernant la responsabilisation et la conformité des traitements, la chose « semble aisée » lorsqu’il s’agit d’applications gérant des données structurées mais qu’en est-il des fichiers Excel ou autres qu’un utilisateur peut se constituer sans pour autant en informer son DSI ?D’un point de vue général, certaines des obligations relèvent de résultats, et d’autres de moyens. Faut-il envisager une segmentation sous cet ange ?

Dans le cadre de la mise en place d’un nouveau logiciel de gestion de la qualité intégrant des données RH (gestion des entrées et sorties, absentéisme, qualification, contrats de travail, etc.). Devons-nous anonymiser ces données (à l’aide d’un numéro de matricule par exemple) ou pouvons-nous intégrer les noms des salariés avec le recensement de leur consentement respectif ?

Même anonymisées de telles données, croisées entre elles, permettent de lever l'anonymat. Il est en effet envisageable d'anonymiser (par exemple avec un numéro d'enregistrement délivré par le système) puisque le nom n'est ici pas nécessaire ; c'est une mesure de protection de base, mais il sera indispensable de requérir le consentement éclairé des salariés en…
Lire la suite...

Le RGPD résumé en graphique (par le CLUSIF)

Cette infographie est issue d’un groupe de travail du Club de la Sécurité de l'Information Français (CLUSIF, www.clusif.fr). Elle résume le Règlement Général sur la Protection des Données. Elle ne peut pas être exhaustive mais offre une grille de lecture graphique et synthétique pour découvrir la portée de la règlementation, puis s’y référer ultérieurement. Cliquer…
Lire la suite...

Est-ce que le carnet d’adresses d’un smartphone est un traitement ?

Selon nous, la réponse est oui. À partir de là, deux cas de figure : S'il s'agit d'un carnet d'adresse personnel, l'article 2 du RGPD exclut du champ d'application du règlement les traitements réalisés « par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ». Le carnet d'adresse personnel d'un smartphone…
Lire la suite...

Le RGPD, pour quelles catégories d’entreprises ou organisations ?

Ce règlement s'applique à toute structure (qu'elle soit responsable de traitement des données ou sous-traitant) : ayant un établissement dans l'Union européenne ; ou proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l'Union européenne. Les actions de profilage visant cette cible sont également concernées. Il…
Lire la suite...

Notre prestataire de restauration (une société externe) nous demande de renseigner un fichier mentionnant les régimes. Ce fichier est anonymisé, aucune donnée nominative n’y figure mais ce prestataire nous demande aussi, par ailleurs, de lui communiquer (par scan pdf) les ordonnances de prescription de régime établies par le médecin. Y-a-t-il traitement de données personnelles ? Quelle est notre responsabilité ?

Sans se prononcer sur le fait du bien-fondé pour le prestataire de demander des ordonnances, il y a ici traitement de données personnelles. En effet le croisement du fichier des régimes (anonyme) avec les ordonnances (par essence nominatives) présente un risque d'impact fort. Au delà du traitement de données personnelles, ce sont ici des données…
Lire la suite...

Concernant la protection (Privacy by design et Privacy by default), existe-t-il un socle de préconisations opposable à un éditeur ou à un développeur ?

Les principes sont clairement posés dans le règlement et peuvent se résumer ainsi : les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d'une manière incompatible avec ces finalités : Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des…
Lire la suite...

Concernant la portabilité des données, si la majorité des traitements se font à l’aide d’applications d’éditeurs, devons-nous alors vérifier la capacité de chacune d’elles à extraire à la demande des données individuelles puis nous retourner vers l’éditeur en cas d’impossibilité ?

Le sous-traitant (ici l'éditeur) est conjointement et solidairement responsable. Autrement dit la responsabilité de l'éditeur n'exonère pas celle de son client. Ce dernier doit s'assurer que le sous-traitant présente des garanties suffisantes. La seule exonération de responsabilité du responsable du traitement et du sous-traitant serait liée au fait que le dommage ne leur est pas…
Lire la suite...

Comment se détermine le responsable du traitement ? s’agit-il de l’association gestionnaire, ou par délégation, du directeur d’établissement ou de service dans lequel le traitement est mise en œuvre ?

L'article 4 alinéa 7 du RGPD dispose : « responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de…
Lire la suite...

Concernant la responsabilisation et la conformité des traitements, la chose « semble aisée » lorsqu’il s’agit d’applications gérant des données structurées mais qu’en est-il des fichiers Excel ou autres qu’un utilisateur peut se constituer sans pour autant en informer son DSI ?

C'est un point essentiel. Il s'agit bien de traitement tombant dans le champ du RGPD d'où la nécessité de renforcer nos procédures et de former les salariés. Bien sûr il faudra communiquer de manière continue sur le sujet. Date de rédaction de cette réponse : novembre 2017.
Lire la suite...

D’un point de vue général, certaines des obligations relèvent de résultats, et d’autres de moyens. Faut-il envisager une segmentation sous cet ange ?

Tout à fait. De manière générale, à ce stade c'est l'obligation de moyens qui doit être mise en avant. Cela d'autant plus que les dispositions relatives à l'application du règlement sont, à ce jour, loin d'être toutes publiées. On peut toutefois pointer certaines obligations de résultats : faire droit, dans un délai d'un mois, à…
Lire la suite...