12.03.2018

GDPR : ces questions les plus fréquemment posées lors de nos ateliers

header article faq gdpr.jpg
SOCIALware organise les ateliers Start2GDPR pour aider les associations à démarrer leur trajet de mise en conformité au GDPR. Plus d’info.
Ci-dessous nous avons rassemblé les questions les plus courantes des asbl, discutées lors des sessions Start2GDPR. Ce compte-rendu des discussions qui ont eu lieu au cours d’ateliers ne constitue pas des réponses exhaustives. Veuillez noter que ces textes ne peuvent pas être considérés comme des conseils juridiques.
 

 

Les thèmes les plus fréquemment abordés par les associations :

 

Différence de nature et de moyens des asbl

La préparation au GDPR est-elle la même pour une petite ou une grande organisation ? 


Du point de vue du Règlement, il n’existe pas de réelle distinction selon la taille de l'organisation, mais plutôt selon le type de données traitées (sensibles ou non) et l'importance des traitements (à grande échelle, de manière systématique ou régulière). Ces éléments sont déterminants pour le détail de la documentation, l’évaluation des risques et la prise de mesures nécessaires. Les moyens mis en œuvre doivent rester proportionnels aux ressources et à la mission de l'organisation.

En tout état de cause, la collecte et le traitement de données personnelles sur la race ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les caractéristiques génétiques ou biométriques, la santé, le comportement sexuel ou l'orientation sexuelle sont interdits et requièrent la mise en place de mesures importantes pour rentrer dans l’une des exceptions.
Pour les organisations concernées par ce type de données, la nomination d’un DPO (Data Protection Officer) est recommandée par chacune des 3 autorités de protection des données francophones :
- La CNIL, en France, résume ici les cas dans lesquels un organisme doit obligatoirement désigner un délégué à la protection des données.
- Il en va de même sur les sites de la CNPD au Luxembourg
- Et la CPVP en Belgique

 

Communiquer vers l'extérieur

Comment communiquer à propos du GDPR ? Existe-t-il un label ‘GDPR compliant’ que nous puissions intégrer à notre communication ?


Non, un tel label n’existe pas encore… Néamoins, en l’attente d’un label délivré par la future autorité de contrôle, le mieux est de mettre en place les premiers éléments requis par le GDPR. Par exemple, développer votre communication en y indiquant bien toutes les informations requises par les articles 12, 13 et 14 du Règlement montrera à vos membres (et votre personnel), les efforts que vous faites pour tendre vers la conformité.




Délégué à la protection des données - DPO

Notre asbl ou fondation doit-elle désigner un DPO (Délégué à la protection des données) ?


Pour savoir si votre organisation doit désigner un DPO vous pouvez consulter le schéma conçu à cet effet par la Commission de Protection de la Vie Privée (CPVP) en Belgique.
Trois critères déterminent si vous devez désigner un DPO :

  1. Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
  2. Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  3. Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. (comprendre données sensibles – définitions données par l’article 4).

Vous devez juger si vous traitez des données ‘à grande échelle’ ou encore que vous faites ‘un suivi régulier et systématique’ des personnes concernées.
Le dossier thématique sur le DPO de la CVPV peut vous aider à y voir plus clair à ce sujet. Il répond également à d’autres questions fréquemment posées.

Faire appel à un spécialiste externe, rassemblant autour de lui les personnes pouvant assumer les 3 approches (l’approche légale et juridique, l’approche informatique/technologique et l’approche organisationnelle/humaine) représente en règle une économie par rapport aux solutions informatiques isolées et non interconnectées et aux avis juridiques non accompagnés.


Notre asbl ou fondation doit-elle effectuer une analyse d'impact relative à la protection des données (DPIA) ?


Ici également, la CPVP propose un arbre de décision et une rubrique d’info vous permettant de juger si l’exercice est nécessaire pour votre organisation.
Dans tous les cas, il existe un logiciel gratuit proposé par les autorités de contrôle française (disponible sur le site de la CNIL) et luxembourgeoise (disponible sur le site de la CNPD) qui vous permettra de vous situer sur l’échelle de la conformité.


Politique de confidentialité

Doit-on adapter notre politique de confidentialité actuelle ?


Oui, le GDPR impose une nouvelle manière de communiquer avec les personnes concernées. Vous devez les informer de la manière dont sont traitées leurs données. Toute cette information est reprise aux articles 12 et suivants du GDPR.
Assurez-vous que votre politique de confidentialité soit aussi complète que possible quant aux raisons de la collecte des données, leur durée de conservation, les différents traitements qui peuvent en être faits, le transfert de données à des tiers, les droits des parties impliquées par rapport à l’accès, la gestion et la suppression des données, etc .... Si vous partez d'un document standard, vous devez consacrer le temps nécessaire pour l’adapter au contexte propre à votre association.


Ajustement du registre de traitements

Notre organisation doit-elle ajuster le registre des traitements chaque fois que nous envoyons des données personnelles à une partie externe nouvelle ou différente ?

Si vous transmettez des données personnelles à une organisation externe, une structure faîtière, ... vous devrez adapter votre registre pour ce nouveau traitement. Une « transmission à des tiers » générique est suffisante dans la politique ou les règlements de l'organisation.
Cependant, il est recommandé de mentionner dans votre politique de confidentialité le nom de l'organisation, les données concernées et le type de traitement.  L’objectif est d'être aussi précis que possible, proportionnellement à l'importance du traitement et des risques.
En cas de transfert en dehors de l’Union européenne, il est obligatoire de l’indiquer dans le registre, tout comme dans l’information à fournir aux personnes concernées.

Pouvoirs officiels

Nous nous posons des questions sur le transfert de données à des pouvoirs subsidiants, autorités de tutelle ou fédérations. Quelles garanties peut-on en attendre ? Doit-on obtenir le consentement de nos bénéficiaires ?


Il s’agira dans la majorité des cas d’une obligation légale ou d’un intérêt légitime (voir article 6). S’il existe un décret ou ordonnance réglant la relation avec l’entité vers laquelle on transfère les données (leur demander donc), il suffit d’informer les personnes concernées que leurs données vont être transférées sur base de cette obligation légale pour justifier le transfert.
Il est aussi utile (sinon nécessaire) de demander au pouvoir subsidiant des garanties quant à leur conformité au GDPR. Le cas échéant, en cas de contrôle par l’Autorité de Protection des Données, cette démarche démontre que vous avez réfléchi à la question.

 

Fournisseurs IT

Que faut-il attendre de la part de fournisseurs de cloud public tels que Microsoft, Google, Box, Amazon, et autres ?

De nombreuses associations stockent des données dans le ‘cloud public’, soit parce que certains fournisseurs offrent de l’espace gratuit, soit parce qu’elles ont accès à des conditions avantageuses via SOCIALware. S’ils veulent continuer leurs opérations sur le continent européen, ces grands fournisseurs américains suivent de près le GDPR et y adaptent ou y adapteront leurs conditions générales... Soit ils hébergent tout simplement leurs serveurs sur le territoire de l’UE. La législation GDPR vise justement ce type de grands acteurs.

En ce qui concerne les principaux fournisseurs auxquels SOCIALware donne accès, vous pouvez suivre leur évolution en la matière sur les sites suivants :

Certains fournisseurs pourront vous donner des garanties sur le stockage de vos données en territoire européen. Sachez aussi que les fournisseurs américains sont soumis au 'Patriot Act', en vertu duquel les autorités américaines peuvent demander l’accès à leurs systèmes, même pour des informations personnelles se trouvant en dehors des Etats-Unis.
Il est donc conseillé de faire un choix judicieux de quelles données sont stockées chez quel fournisseur ou prestataire.

 

Employés

Quelles données personnelles de nos employés pouvons-nous collecter, traiter et transférer à des tiers, doit-on les informer systématiquement de tout traitement et dans quel cas devons-nous obtenir leur consentement ?


Il s’agit d’un domaine très vaste qui empiète sur la réglementation existante relative à la relation entre l’employeur et l’employé. On peut donc s’attendre à ce que le législateur apporte des éclaircissements pour aligner les différentes réglementations applicables aux exigences du GDPR.
Veillez à ne collecter que l’information strictement nécessaire sur vos collaborateurs. En effet, de nombreuses données personnelles circulent dans chaque organisation ; des coordonnées privées, certificats de maladie, rapports d’évaluations, CV de candidats pour postes vacants, etc… Bon nombre de ces données doivent être récoltées pour gérer la relation de travail, rémunérer son personnel et satisfaire aux exigences de la sécurité sociale et, dans ce cas, la réalisation d’un contrat, l’obligation légale ou l'intérêt légitime de l’employeur prévalent sur le droit d’opposition de l’employé.

Cependant, il existe des données qui ne sont pas nécessairement requises pour l’exécution du contrat de travail mais qui sont destinées à offrir un bon contexte de travail (par exemple: la pointure de l’employé pour lui offrir des chaussures de sécurité). D’autres données tombent plutôt sous le vocable "nice to know", nécessitant une autorisation explicite (par exemple : nom du partenaire, emploi du partenaire, ...) et l'employé devrait avoir le droit de refuser cette information.
Un équilibre très difficile doit être maintenu entre l'employeur et l'employé. En raison d'une relation hiérarchique, le consentement pourrait, ne pas être donné librement. Il s'agit pourtant d'une condition essentielle du consentement. Il est préférable pour l’employeur d’obtenir les données sur base d’une obligation légale (ex. : reporting avec l’ONSS), d’une obligation contractuelle (le contrat de travail) ou encore de ses intérêts légitimes (améliorer le contexte de travail).

Pour des images en revanche, par exemple une photo représentée dans le profil Outlook de l’employé ou un reportage sur la page Facebook de l’association, mieux vaut s’assurer du consentement explicite.

On constate que les secrétariats sociaux sont très actifs sur le sujet et mettent tout en œuvre pour aider au mieux leurs clients, non seulement dans l’adaptation de leurs conditions de collaboration mais aussi dans la mise à jour de vos processus RH. Pour un aperçu plus vaste du sujet, nous vous conseillons de consulter les sites des secrétariats sociaux.



Ces réponses ont été formulées en collaboration avec le cabinet d'avocats Law Right, notre partenaire des ateliers Start2GDPR.