F.A.Q. RGPD
Dans le cadre de la mise en place d'outils Reconnect, vous vous posez des questions concernant la mise en conformite de votre structure au RGPD ?
Cette F.A.Q. a pour but de répondre à vos interrogations.
Cette Foire aux Questions (ci-après la « FAQ ») vise à répondre aux principales interrogations des structures sociales, gestionnaires et professionnels (ci-après dénommés singulièrement « Je » ou collectivement « Utilisateurs » et « Vous ») dans le cadre de l’utilisation des services Reconnect Pro et le Coffre-Fort Numérique (ci-après les « Services »), édités par Reconnect (ci-après « Reconnect » ou « Nous »).
Dans le cadre de la présente FAQ, le « Bénéficiaire » est entendu comme la personne accompagnée ou suivie par les Utilisateurs des Services dont les données, notamment les données à caractère personnel, sont renseignées, stockées et, le cas échéant, partagées par les Utilisateurs.
Les réponses apportées aux questions sont basées sur les pratiques de Reconnect à la date de publication de la FAQ. Cette FAQ étant susceptible d’évoluer, Reconnect invite ses Utilisateurs à s’y référer régulièrement pour prendre connaissance des éventuelles modifications.
En toute hypothèse, les réponses apportées dans le cadre de la présente FAQ sont fournies dans un but informatif uniquement et ne sont pas exhaustives. Reconnect exclut toute responsabilité en cas de carences, d’erreurs ou d’inexactitudes dans les informations transmises. Ces informations n’ont pas valeur de conseil juridique et n’ont aucunement vocation à remplacer l’avis d’un conseil juridique ou d’un professionnel en sécurité informatique. Les Utilisateurs sont seuls responsables de leur conformité à leurs obligations règlementaires au titre de la règlementation applicable en matière de données à caractère personnel.
Dans le cadre de l’utilisation de Nos Services, Reconnect est, au même titre que ses Utilisateurs, susceptible de collecter des données à caractère à caractère personnel (ci-après la ou les « Donnée(s) Personnelle(s) »).
On entend par Donnée Personnelle, toute information relative à une personne physique susceptible d'être identifiée directement (un nom, une photo, une adresse postale, une adresse mail) ou indirectement (une empreinte, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.), à partir du croisement d’un ensemble de données (sans forcément connaitre son nom et prénom, savoir qu’une femme vivant à telle adresse, née tel jour et membre dans telle association peut par exemple permettre de remonter à l’identité de la personne). Il importe peu que ces informations soient confidentielles ou publiques.
Si Vous êtes un établissement situé sur le territoire de l’Union Européenne (UE) et que vous effectuez un traitement de Données Personnelles dans le cadre de Vos activités, notamment au travers de l’utilisation des Services, Vous êtes tenus de respecter le cadre juridique applicable au sein de l’UE en matière de protection des Données Personnelles, notamment les textes suivants (ci-après la « Réglementation applicable en matière de protection des Données Personnelles ») :
- le règlement général sur la protection des données (RGPD) qui, depuis son entrée en vigueur le 25 mai 2018, constitue le cadre juridique européen de référence en matière de protection des Données Personnelles ;
- la loi du 6 janvier 1978 « Informatique et Libertés » ou « LIL modifiée » qui intègre les dispositions du RGPD dans la législation française et constitue de ce fait également un des textes de référence en matière de protection des Données Personnelles.
En application de la Réglementation applicable en matière de protection des Données Personnelles (article 5 du RGPD), les Données Personnelles doivent être :
- traitées de manière licite, loyale et transparente ;
- collectées pour des finalités déterminées, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement d'une façon incompatible avec ces finalités ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- exactes et, le cas échéant, mises à jour ;
- conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- traitées de façon à garantir une sécurité appropriée des Données Personnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
Nous Vous invitons à Vous référer à la Réglementation applicable en matière de protection des Données Personnelles pour mieux appréhender l’environnement juridique applicable dans le cadre de Vos activités et de Votre utilisation des Services.
En savoir plus :
- Consultez le site de la CNIL à l’adresse suivante : www.cnil.fr
On entend par responsable du traitement la personne qui détermine à la fois les finalités (les objectifs poursuivis) et les moyens du traitement, comme les données traitées, les catégories de personnes concernées, la durée de conservation des données, l’accès aux données (article 4.7 du RGPD).
Dans le cadre de l’utilisation des Services et conformément à l’exécution de la Convention de Partenariat qui Vous lie à Reconnect, les Utilisateurs traitent les Données Personnelles relatives aux Bénéficiaires, selon leurs propres besoins et de manière autonome.
Reconnect se contente uniquement de mettre à la disposition des Utilisateurs les moyens techniques nécessaires aux traitements des Données Personnelles réalisés par les Utilisateurs.
Dans le cadre de ce traitement spécifique, les Utilisateurs agissent en qualité de responsables des traitements de Données Personnelles de leurs Bénéficiaires et Reconnect en qualité de sous-traitant.
Cette qualification engendre des obligations au titre du RGPD (voir questions suivantes de la FAQ).
Au titre du RGPD, le statut de responsable du traitement impose aux Utilisateurs le respect des grands principes suivants :
- le principe de finalité : le responsable du traitement ne peut enregistrer et utiliser des informations sur des personnes physiques (salariés, Bénéficiaires…) que dans un but bien précis, licite et légitime ;
- le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier ;
- le principe d'une durée de conservation limitée : il n'est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie ou indéterminée. Une durée de conservation doit être définie, en fonction du type d'information enregistrée et de la finalité du fichier ;
- le principe de sécurité et de confidentialité : le responsable du traitement doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations.
Outre le respect de ces grands principes, l’Utilisateur, en tant que responsable du traitement, est également tenu de :
- mettre en place un registre de ses activités de traitements, conformément à l’article 30 du RGPD ;
- appliquer des mesures organisationnelles et techniques pour sécuriser les données, conformément à l’article 32 du RGPD ;
- nommer, dans certains cas de figure, un délégué à la protection des données (DPD ou DPO pour Data Protection Officer), conformément aux articles 37 à 39 du RGPD ;
- coopérer avec l’autorité de contrôle (la CNIL), conformément à l’article 31 du RGPD ;
- procéder à des analyses d’impact, dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des Bénéficiaires, conformément à l’article 35 du RGPD ;
- notifier à la CNIL, les violations de Données Personnelles dont il aurait connaissance dans le délai imparti (72 heures maximum) et, le cas échéant, dans les meilleurs délais auprès des Bénéficiaires en cas de risque élevé pour leurs droits et libertés, conformément à l’article 33 du RGPD ;
- encadrer ses relations contractuelles avec ses sous-traitants, conformément à l’article 28 du RGPD.
En savoir plus :
- Article 5 du RGPD
- RGPD : se préparer en 6 étapes
- Cartographier vos traitements de données personnelles
- Les mesures de sécurité, c’est quoi ?
- Guide de la sécurité des données personnelles
- Désigner un délégué à la protection des données (DPO) ou modifier une désignation
- L’analyse d’impact relative à la protection des données (AIPD)
- Notifier une violation de données personnelles
- Guide de la sous-traitance
A l’exception des données précisées ci-après (voir questions suivantes de la FAQ), Vous devez veiller à ne stocker que les informations pertinentes au regard des finalités de vos traitements.
En effet, conformément au principe de minimisation des données du RGPD et en tant que responsable du traitement, Vous devez veiller à ce que les Données Personnelles soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
A ce titre, bien que les Services permettent aux Utilisateurs le paramétrage d’une multitude de fonctionnalités dont la création de fiches d’identité, de fiches de suivi, l’ajout de documents et d’informations (contacts, rappels de rendez-vous) sans contrainte d’horaires ni de lieux, afin de donner toute liberté d’organisation, l’Utilisateur doit veiller à ne collecter que les Données Personnelles strictement nécessaires au regard de la finalité poursuivie par le traitement concerné.
En savoir plus :
L’image des Bénéficiaires est l’objet d’une protection tant au regard du respect de sa vie privée (article 9 du Code civil) qu’au regard de la Réglementation applicable en matière de protection des Données Personnelles, en tant que Donnée Personnelle.
A ce titre, avant toute utilisation sur Nos Services d’une photographie représentant un ou plusieurs Bénéficiaire(s), Vous devez obtenir son/leur accord préalable, au travers d’une autorisation de droit à l’image.
Par exception aux principes exposés à la question concernant le recueil du consentement de la FAQ, en cas de minorité de l’enfant et quel que soit son âge, cette autorisation de droit à l’image doit être signée par les titulaires de la responsabilité parentale en cas de minorité de l’enfant.
En savoir plus :
Conformément aux termes de nos Conditions Générales de Services, les Services de Reconnect n’ont pas vocation à accueillir, transmettre ou permettre l’échange ou le stockage de données sensibles, du fait du régime juridique spécifique à leur traitement.
Ces données « sensibles » correspondent notamment aux Données Personnelles suivantes :
- les données concernant la santé ;
- les données relatives aux condamnations pénales et infractions ;
- les données révélant l’origine raciale ou ethnique ;
- les données relatives à des opinions politiques ;
- les données relatives à des convictions religieuses ou philosophiques ;
- les données relatives à l'appartenance syndicale ;
- le traitement des données génétiques ;
- les données biométriques aux fins d'identifier une personne physique de manière unique ;
- les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Nous rappelons à nos Utilisateurs que l’article 9 du RGPD encadre en effet très strictement le traitement de ces données, qui par principe sont interdits, sauf dans des cas très spécifiques (article 9.2 du RGPD), notamment (voir la liste complète en se référant à l’article correspondant):
- si la personne concernée a donné son consentement exprès dans les conditions prévues à la question de la FAQ concernant le recueil du consentement ;
- si le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
- si les informations sont manifestement rendues publiques par la personne concernée ;
- si elles sont nécessaires à la sauvegarde de la vie humaine ;
- si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
- si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.
- si le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
En conséquence, Reconnect demande à ses Utilisateurs de ne pas utiliser les Services pour stocker ces catégories de données sensibles.
En savoir plus :
En tant que responsable de traitement, Vous êtes tenus à l’égard des Bénéficiaires de :
- les informer de la collecte et des finalités d’utilisation de leurs Données Personnelles ;
- leur permettre, le cas échéant, de donner et de retirer leur consentement quant à la collecte et au traitement de leurs Données Personnelles ;
- traiter dans le délai imparti les demandes d’exercice de leurs droits sur leurs Données Personnelles.
En savoir plus :
Conformément aux termes de nos Conditions Générales de Services et en tant que responsable du traitement, Vous êtes dans l’obligation d’informer Vos Bénéficiaires du traitement des Données Personnelles les concernant dans le respect des dispositions du RGPD.
Le RGPD impose que cette information soit communiquée de manière concise, transparente, compréhensible et aisément accessible. Elle doit être adaptée à l’âge et aux qualités de la personne (enfant, barrière de la langue, par exemple…).
Les enfants (les personnes concernées de moins de 18 ans) sont en effet considérés par le RGPD comme des personnes vulnérables méritant une protection spécifique en ce qui concerne leurs Données Personnelles, dans la mesure où ces derniers peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits liés au traitement des Données Personnelles.
Dans ce contexte, la CNIL a lancé en avril 2020, une consultation publique portant sur les droits des mineurs dans l’environnement numérique dont la synthèse est disponible sur le site de la CNIL ainsi qu’un sondage Ifop portant sur les comportements digitaux des enfants dont Nous invitons Nos Utilisateurs à prendre connaissance.
En tant que responsables du traitement, les Utilisateurs doivent porter à l’attention des Bénéficiaires les informations suivantes :
- l’identité et les coordonnées de la structure sociale (qui intervient en qualité de responsable du traitement) ;
- les finalités (à quoi vont servir les données collectées) ;
- la base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
- le caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et sur les conséquences pour la personne en cas d’absence de communication des données ;
- les destinataires ou les catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
- les durées de conservation des données (ou critères permettant de déterminer la durée) ;
- les droits des personnes concernées (les droits d’accès, de rectification, d’effacement, de portabilité et à la limitation sont applicables pour tous les traitements) ;
- les coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact ou d’un référent sur les questions relatives à la protection des Données Personnelles ;
- le droit d’introduire une réclamation auprès de la CNIL.
La CNIL recommande de faire figurer l’ensemble des mentions obligatoires dans un document d’information et de développer un support adapté afin de rendre l’information la plus intelligible possible (exemples : dessin animé, vidéogramme, pictogramme, design attrayant…).
L’Utilisateur doit ainsi s'assurer que le vocabulaire, le ton et le style de langage utilisés sont adaptés à la minorité de la personne concernée (en tant qu’enfant ou adolescent) et peuvent être compris par cette dernière de sorte que ce public destinataire des informations reconnaisse que le message lui est adressé. Le fait que le titulaire de l’autorité parentale comprenne l’information ne suffit pas : le mineur doit comprendre la mention d’information à titre personnel.
A cet égard, il est recommandé aux Utilisateurs, avant de procéder à la collecte et au traitement de Données Personnelles concernant les Bénéficiaires, de porter à leur attention l’ensemble des mentions susvisées, par l’intermédiaire d’un document d’information adapté aux spécificités du lecteur.
Dans le cadre de l’accompagnement social d’un ménage incluant des enfants mineurs de moins de 15 ans, les Utilisateurs doivent veiller à porter ces informations (par le biais de mentions d’information distinctes adaptées aux spécificités de chacun :
- aux mineurs en tant que Bénéficiaires des Services ;
- aux parents ou aux titulaires de l’autorité parentale (pour les informer du traitement des Données Personnelles concernant le mineur) ;
En savoir plus :
Conformément aux termes de nos Conditions Générales de Services et en tant que responsables du traitement, il Vous appartient, dans certains cas de figure, notamment en présence de données dites « sensibles », de recueillir le consentement de Vos Bénéficiaires.
Deux situations sont à distinguer :
- le Bénéficiaire est âgé de plus de 15 ans* : seul le consentement du Bénéficiaire est exigé. Le consentement du titulaire de la responsabilité parentale n’est pas exigé. Dans ce cas de figure, Nous recommandons aux Utilisateurs la mise en place d’un dispositif permettant de s’assurer que le mineur est bien âgé de plus de 15 ans, dans la mesure où si un enfant donne son consentement alors qu’il n’a pas atteint l’âge requis pour donner un consentement valable en son nom propre, le traitement des données sera considéré comme illicite ;
- le Bénéficiaire est âgé de moins de 15 ans* : le consentement du titulaire de la responsabilité parentale est exigé. Le consentement peut être donné conjointement par le mineur concerné et par le ou les titulaires de l’autorité parentale. A cet égard, les titulaires de l’autorité parentale doivent être également informés du traitement des Données Personnelles concernant le mineur.
* cet âge est issu de l’article 7-1 dans la LIL modifiée.
Dans ce cas de figure et conformément à l’article 8.2 du RGPD, l’Utilisateur doit raisonnablement s’efforcer de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard du Bénéficiaire mineur, compte tenu des moyens technologiques disponibles.
Ce degré de vérification dépend également des risques liés au traitement. Dans les cas présentant de faibles risques, la vérification de la responsabilité parentale par courrier électronique ou sms peut être suffisante. A l’inverse, dans des situations de risque élevé, il peut être approprié de demander davantage de preuves afin que l’Utilisateur soit en mesure de vérifier et de conserver les informations (exemple : signature manuscrite du titulaire de la responsabilité parentale).
S’il revient aux Utilisateurs de déterminer quelles sont les mesures appropriées pour procéder à ces vérifications, les Utilisateurs doivent éviter les solutions de vérification qui impliqueraient en elles-mêmes une collecte excessive de Données Personnelles.
------------------------
En présence d’un mineur isolé de moins de 15 ans : l’identité du titulaire de la responsabilité parentale peut s’avérer délicate, voire inconnue.
Cette situation a notamment été relevée dans la consultation publique lancée par la CNIL sur les droits des mineurs dans l’environnement numérique et pourrait dès lors faire l’objet, dans les mois à venir, de précisions supplémentaires de la part de la CNIL.
Ces difficultés sont naturellement prises en compte dans l’appréciation des efforts « raisonnables » demandés aux Utilisateurs afin de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale.
Dans ce cas particulier et sans exclure tout risque, l’Utilisateur pourrait, de manière opportune, notamment :
- vérifier que le juge des enfants n’a pas délégué totalement ou partiellement l’exercice de l’autorité parentale à un tiers afin de l’identifier ;
- en cas d’absence d’une telle décision, s’adresser à l’ASE ou à un membre de la famille du mineur isolé afin d’obtenir ce consentement ;
- en cas de difficulté d’identification persistante, garder une trace écrite des efforts entrepris par les Utilisateurs pour identifier le titulaire de l’autorité parentale.
------------------------
Pour être valablement recueilli, le consentement doit être :
- libre : le consentement ne doit pas être contraint ni influencé. Le Bénéficiaire doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus ;
- spécifique : le consentement doit correspondre à un seul traitement, pour une finalité déterminée ;
- éclairé : le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente ;
- univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clair, sans aucune ambiguïté. Le recours à des cases déjà pré-cochées est donc strictement interdit.
Le Bénéficiaire doit également être en mesure de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir son consentement.
Une fois l’âge de 15 ans atteint, le Bénéficiaire mineur a la possibilité de retirer son consentement par lui-même. Conformément aux principes de loyauté et de responsabilité, il revient aux Utilisateurs d’informer le Bénéficiaire de cette possibilité.
En tant que responsable du traitement, l’Utilisateur doit enfin être en mesure de démontrer à tout moment que le Bénéficiaire a bien consenti, dans des conditions valides, au traitement de ses Données Personnelles pour cette finalité spécifique.
En savoir plus :
Reconnect invite les Utilisateurs à consulter la documentation suivante :
- Un focus de la CNIL concernant les données personnelles dans le secteur social : https://www.cnil.fr/fr/les-donnees-personnelles-dans-le-secteur-social-les-grandes-notions
- Guide sur la sécurité des données : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf
- Guide de la sous-traitance : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
- Guide sur les durées de conservation : https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf
- Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf
Reconnect recommande également à ses Utilisateurs de suivre le MOOC de la CNIL pour se familiariser avec ces problématiques : https://atelier-rgpd.cnil.fr
Pour porter une réflexion sur la protection des mineurs, Nous invitons Nos Utilisateurs à consulter régulièrement le site internet EDUCNUM : https://www.educnum.fr.
EDUCNUM a notamment crée en concertation avec le CSA, le Défenseur des droits, l’Hadopi et la CNIL un kit pédagogique du citoyen numérique regroupant l’ensemble des ressources conçues pour l’éducation du citoyen numérique, à destination des formateurs et des parents qui accompagnent les jeunes en matière de numérique (consultez notamment les ressources disponibles à la section « tout savoir sur la protection de la vie privée en ligne »).
Nous recommandons notamment aux Utilisateurs de sensibiliser les Bénéficiaires à la protection de leurs Données Personnelles au travers de ce quizz digital ludique : https://quiz-digital-incollables.playbac.fr/ta-vie-privee-cest-secret/30.
Au-delà de ces textes, Reconnect recommande aux Utilisateurs de consulter régulièrement les sites et documents listés ci-après :
- Les lignes directrices du Comité Européen sur la Protection des Données (CEPD) : https://www.cnil.fr/fr/reglement-europeen/lignes-directrices-cepd
- La Commission Nationale de l'Informatique et des Libertés (CNIL) : https://www.cnil.fr/