Page 7 - Gepso_InfoPublic2020
P. 7
CONSTITUEZ UN REGISTRE FAÎTES LE TRI RESPECTEZ LES DROITS SÉCURISEZ
DE VOS TRAITEMENTS DE DONNÉES DANS VOS DONNÉES DES PERSONNES VOS DONNÉES
16
LES MESURES À ENGAGER POUR ALLER Mettre en place « Le registre des activités de traitement » ,
VERS UNE ACCULTURATION DU SECTEUR pour recenser les traitements de données et disposer d’une
vue d’ensemble de l’utilisation des données personnelles
SOCIAL ET MÉDICO-SOCIAL (article 30 du Règlement)� La CNIL recommande de déduire
Des actions nouvelles sont à engager pour répondre aux de ce registre les plans d’action de mise en conformité�
obligations juridiques et mettre en œuvre « une gouvernance
des données personnelles »� « Ces nouveautés doivent
Les principales sont les suivantes : s’accompagner d’une adaptation de
Intégrer un nouveau métier aux compétences et statut l’organisation, des ressources et outils
spécifiques : le délégué à la protection des données (DPD),
qui ne pourra pas être un membre de la direction� Même existants dans les établissements. »
mutualisé, par exemple au niveau départemental ou d’un
groupement de coopération, le DPD aura besoin de relais Engager la démarche de formalisation et définir une
dans chaque structure� méthodologie de traçabilité pour répondre à l’obligation
Initier une politique d'intégration de la sécurité dans documentaire (article 5 du Règlement)�
15
l’ensemble des projets � Développer des analyses d’impact sur la protection des
données (AIPD) pour les traitements comportant un « risque
17
LES 10 QUESTIONS À SE POSER élevé pour les droits et libertés des personnes physiques »�
EN AMONT DE CHAQUE PROJET : Ces « nouveautés » sont nécessaires mais non suffisantes� Elles
doivent s’accompagner d’une adaptation de l’organisation,
La loi Informatique et Liberté s’applique-t-elle ? des ressources et outils existants dans les établissements�
La conformité au Règlement est-elle documentée ? La réorganisation implique la mobilisation de l’ensemble des
Le principe de collecte loyale et proportionnée services en premier lieu la direction, les services informatiques,
est-il respecté ? de gestion de la qualité, des ressources humaines et de
La politique de durée de conservation voire maintenance�
d’archivage de ces données est-elle définie ?
La politique de sécurité et de confidentialité Il conviendra notamment de :
pour ce projet est-elle suffisante ? Réviser les documents juridiques relatifs aux usagers, aux
Y a-t-il des données relevant d’un régime professionnels et aux partenaires : les contrats (de travail
particulier (sensibles ou interdites) ? et fournisseurs), le règlement de fonctionnement, le livret et
Quelles sont les procédures pour assurer le contrat d’accueil, le règlement intérieur qui permettra de
le respect du droit des personnes ? rendre opposable la charte de sécurité informatique, etc�
Quelles sont les mesures pour s’assurer Inclure la politique de protection des données personnelles
de l’information effective des personnes ? dans la démarche qualité et gestion des risques�
Y a-t-il des formalités supplémentaires Établir, si ce n’est déjà fait , une politique de sécurité des
18
à réaliser : auprès de la CNIL systèmes�
ou une étude d’impact ?
Le DPD est-il informé, Intégrer le RGPD dans le plan de formation pour s’assurer
valide-t-il ce projet ? d’une information adéquate de l‘ensemble des professionnels
et développer des « fiches-outils »�
15 Ce que le Règlement appelle « privacy by design », article 25 du Règlement�
16 La CNIL propose un modèle de base à adapter : https : //www�cnil�fr/fr/RGDP-le-registre-des-activites-de-traitement�
17 La liste publiée en 2018 par la CNIL comporte de nombreuses données utilisées par les ESSMS comme les données de santé� L’organisme propose un logiciel libre pour mener
cette analyse� Le G29 indique qu'il faudrait le réactualiser tous les 3 ans�
18 Il s’agit de la reprise en des termes proches de l’article 34 de la loi informatique et liberté�
7
