Information relative à la gouvernance de la protection des données

Texte

Objectifs 

La présente information a vocation à lister les actions mises en œuvre par le service afin de respecter les principes fondamentaux du RGPD. Elles s’appliquent à l’ensemble des activités du service et s’inscrivent dans une démarche d’amélioration continue. 

Définitions

Les termes et expressions utilisés ici ont la même signification que celle qui leur est attribuée par le RGPD.

  • Commission Nationale de l’Informatique et des Libertés (CNIL) : désigne l’autorité chargée de veiller, en France, à la protection des données personnelles.
  • RGPD : Règlement Général sur la protection des Données.
  • Délégué à la Protection des Données /DPO (Data Protection Officer) : désigne la personne en charge de conseiller et d’accompagner le service sur la mise en œuvre de la règlementation relative à la protection des données à caractère personnel (RGPD).
  • Donnée à caractère personnel / donnée personnelle : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement.
  • Donnée sensible : désigne toute information qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
  • Responsable de traitement : désigne la personne physique ou morale qui détermine la finalité et les moyens d’un traitement de données personnelles, c’est-à-dire l’objectif et la façon de le réaliser.
  • Sous-traitant : désigne la personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement dans le cadre d’une prestation.
  • Traitement de données personnelles : désigne toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé, notamment la collecte, l’enregistrement, l’organisation, l’utilisation et la suppression.

Application des principes fondamentaux du RGPD

Le règlement européen du 27 avril 2016 sur la protection des données, dit "RGPD" vise à renforcer la protection des données personnelles à l’échelon européen en encadrant notamment la collecte, l’utilisation et la conservation des données personnelles et en fixant les obligations du responsable de traitement et du sous-traitant en matière de protection des données. 

Dans le cadre de sa mission de prévention et de suivi de la santé au travail, le service est amené à traiter des données personnelles dont des données sensibles de santé, il doit donc respecter les principes fondamentaux du RGPD parmi lesquels figurent notamment : 

  • Le principe de licéité, de loyauté et de transparence : le traitement des données ne doit pas être contraire au droit, être non ambigu et les personnes dont les données sont traitées doivent être informées du traitement de leurs données et des droits dont elles disposent ;
  • Le principe de finalité : les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;
  • Le principe de minimisation des données : les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Le principe d’exactitude : les données traitées doivent être exactes et, si nécessaire, tenues à jour ;
  • Le principe de conservation limitée des données : Les données traitées doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Le principe de sécurité des données : des mesures doivent être mises en œuvre afin de garantir la sécurité des données traitées.

Afin de respecter ces principes fondamentaux, le Service à mis en place une démarche de conformité au RGPD impliquant la mise en œuvre des actions suivantes :

Désigner un DPO 

Principe général
Le délégué à la protection des données est chargé de piloter la mise en œuvre de la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné.
Il peut être membre du personnel de l’organisme concerné ou prestataire de services externalisé.

Les missions principales du DPO sont : 

  • D’informer et de conseiller le responsable de traitement ainsi que ses salariés en matière de protection des données ;
  • De contrôler le respect de la règlementation en matière de protection des données ;
  • De conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;
  • De coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci ;
  • D’être le point de contact des personnes concernées par le traitement de leurs données.

Principe appliqué au Service 
Le Service se trouve dans l’obligation de désigner un DPO dans la mesure où son activité principale consiste en l’utilisation à grande échelle de données sensibles. 
Ainsi, le Service a désigné un DPO auprès de la CNIL.

Tenir un registre des traitements

Principe général
Chaque responsable de traitement tient un registre des traitements dans lequel sont répertoriés tous les traitements mis en œuvre. Il constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de la conformité au RGPD.

Principe appliqué au Service 
Le Service inscrit au sein d’un registre les traitements de données à caractère personnel réalisés dans le cadre de son activité. 
Afin de le compléter, les traitements de données réalisés par le Service ont été identifiés et recensés lors d’une cartographie des traitements. 

Réaliser des AIPD pour les traitements considérés comme présentant « un risque élevé » pour les personnes 

Principe général
Le RGPD prévoit l’obligation pour les responsables de traitement de mener une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre de tout traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Son objectif est de démontrer que le traitement est respectueux du RGPD et que les risques associés à ce traitement ont été identifiés et sont maitrisés.

L’AIPD est matérialisée par un document qui présente : 

  • La description détaillée du traitement de données personnelles ; 
  • L’évaluation du respect des principes fondamentaux prévus par le RGPD ; 
  • L’étude des risques liés à la sécurité des données.

Principe appliqué au Service 
Une AIPD doit être menée par le service si l’objectif poursuivi par le fichier ou la base de données suppose l’utilisation :

  • d’un volume important de données personnelles ; 
  • de données sensibles ou hautement personnelles  ; 
  • d’informations relatives à des personnes considérées comme vulnérables, dans la mesure où l’utilisation des données intervient dans un environnement de travail. 

Ainsi, le Service a mis en place une démarche et des outils afin dans un premier temps d’identifier les traitements de données à caractère personnel, recensés dans le registre des traitements, pouvant présenter un risque élevé pour les personnes concernées.  Le Service a également développé des outils afin dans un second temps de réaliser une AIPD sur les traitements identifiés comme étant concernés par cette obligation. 

Garantir l’information des personnes concernées 

Principe général

Le RGPD met à la charge du responsable de traitement une obligation générale de transparence vis-à-vis des personnes concernées, l’information doit être rédigée en des termes clairs et simples et être aisément accessible. 

Le respect de cette obligation permet aux personnes dont les données sont traitées de connaître ce qui justifie la collecte de leurs données, de comprendre les conditions du traitement et de garder la maîtrise de leurs données notamment en facilitant l’exercice de leurs droits.

Principe appliqué au Service 
Une politique de protection des données a été rédigée et est accessible sur le site internet du service. L’information relative au traitement des données des personnes concernées se fait à plusieurs niveaux.

Niveau 1
Mention d’information générale inscrite sur les formulaires de collecte de données à caractère personnel ou sur les affichages, associée à un renvoi vers une information plus détaillée contenue dans la politique de protection des données.
Niveau 2
Politique de protection des données informant de manière précise les personnes dont les données sont traitées des modalités de traitement de leurs données personnelles.

Garantir le respect des droits des personnes concernées 

Principe général
Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant. 

Les droits des personnes concernées sont : 

  • Le droit à l’information
  • Le droit d’accès et de copie
  • Le droit de rectification
  • Le droit à l’effacement
  • Le droit à la limitation du traitement 
  • Le droit à la portabilité des données
  • Le droit d’opposition
  • Le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

Le responsable de traitement doit expliquer aux personnes concernées la procédure permettant de les exercer concrètement. 

Principe appliqué au Service 
Afin que les personnes concernées puissent exercer leurs droits auprès du Service, la politique de protection des données personnelles, publiée et accessible sur le site internet, les informe des droits dont elles bénéficient dans le cadre du traitement de leurs données, leur précise les modalités d’exercice de ces droits et l’adresse de courrier électronique dédiée : rgpd@ast35.fr 

Concernant l’exercice du droit d’accès au dossier médical en santé au travail, un formulaire est transmis sur demande à toute personne souhaitant obtenir communication de son DMST et une procédure interne mise en place afin de traiter ces demandes dans le respect des délais réglementaires. 

Traiter les éventuelles violations de données 

Principe général
Une violation de données est un incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. 

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect de la règlementation.

Principe appliqué au Service 
Le Service a défini une procédure afin de traiter les éventuelles violations de données à caractère personnel. Cette procédure intègre la réalisation d’une évaluation de l’incident de sécurité pouvant entrainer une violation de données afin de qualifier ou non la violation et d’en déduire la démarche à suivre et les actions à mener.
En outre, les collaborateurs du service sont sensibilisés aux différentes sources de risques des données à caractère personnel afin d’être en capacité d’alerter, le cas échéant. 

Sensibiliser les collaborateurs à la protection des données 

Principe général
La sensibilisation permet de déployer une culture de la conformité au sein de l’organisme et de faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de protection de la vie privée dès son arrivée et tout au long de son parcours professionnel.

Principe appliqué au Service 
Afin que tous les collaborateurs comprennent les principes et les exigences du RGPD, dès leur embauche, ils sont sensibilisés aux enjeux de la protection des données, sous forme de session de sensibilisation générale. 
Des actions de sensibilisation du personnel sur des thématiques spécifiques sont également organisées afin de les informer des exigences, les accompagner à la mise en application des recommandations émises et les former aux bonnes pratiques en matière de sécurité des données. 
Une rubrique RGPD est également présente sur l’intranet du Service permettant à tous les collaborateurs d’accéder facilement à la documentation élaborée dans le cadre de la mise en conformité au RGPD. 

Contractualiser la sous-traitance du traitement de données 

Principe général
Le responsable de traitement peut faire appel à des prestataires pour sous-traiter une ou plusieurs opérations de traitement.
Le RPGD lui impose de faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences réglementaires.

Il appartient au responsable de traitement de conclure un contrat avec son sous-traitant permettant d’encadrer leur relation et leurs obligations respectives en matière de protection des données personnelles. 

Principe appliqué au Service 
Le Service veille à encadrer par un contrat toute nouvelle relation contractuelle qui impliquerait le traitement de données à caractère personnel par un sous-traitant pour le compte du Service.

Respecter le principe de « privacy by design » et « privacy by default » dans la gestion de projets 

Principe général
Le RGPD met à la charge du responsable du traitement une obligation de protection qui se décline en deux obligations distinctes :
- « Privacy by design » : les principes de protection des données personnelles doivent être intégrés dès la phase de conception d’un projet de traitement (produit ou service).
- « Privacy by default » : les paramètres les plus élevés pour protéger la vie privée des personnes doivent être intégrés par défaut dans la conception du projet. 

Principe appliqué au Service 
Dans le cadre de sa démarche de mise en conformité au RGPD, le Service veille à intégrer les principes fondamentaux de protection des données dans la mise en œuvre de tout traitement de données à caractère personnel. 
Pour ce faire, le Service utilise le registre des traitements de données comme un outil de pilotage pour la mise en conformité des traitements. 
En outre, les collaborateurs du Service sont sensibilisés à la nécessité d’associer le DPO dès le début de la mise en œuvre de tout nouveau projet impliquant un traitement de données à caractère personnel.

Traiter les données de façon à leur garantir une sécurité adaptée au risque

Principe général
Le RGPD impose au responsable de traitement de garantir un niveau de sécurité et de confidentialité approprié aux données à caractère personnel traitées dans le cadre de son activité. 
Ainsi, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles requises en vertu de l’article 32 du règlement européen sur la protection des données. Ces mesures doivent être adaptées à la nature des données à caractère personnel traitées et par conséquent au risque en cas d’atteinte à ces données et plus particulièrement lorsque le traitement porte sur des données à caractère personnel sensibles au sens du RGPD.

Principe appliqué au Service 
Afin de préserver la disponibilité, l’intégrité, et la confidentialité des données à caractère personnel traitées, le Service met en œuvre les mesures techniques et organisationnelles appropriées au regard de la nature des données personnelles et des risques que leur traitement comporte.