RESSOURCES

.13 novembre 2020
Par Marie-Laurence Dubois

Partager sur

Pour en finir avec le RGPD : un pas devant l’autre

Gérer une asbl dans le secteur musical nous amène quotidiennement à manipuler toutes sortes de données, que ce soit dans le cadre de la billetterie, de la gestion du personnel ou encore de la communication interne ou externe. L’objectif de cet article est de vous proposer une méthodologie pour vous aider dans les différentes étapes pour atteindre la conformité et ainsi bien gérer les données à caractère personnel que vous collectez et conservez.

La première étape est évidemment de bien comprendre les objectifs et principes de base de la réglementation et les différents rôles et responsabilités que cette législation définit. Pour cela, la brochure publiée par l’Autorité de protection des données belges définit et reprend différents exemples concrets pour comprendre cette législation.

DÉFINITIONS ESSENTIELLES 

Donnée à caractère personnel : toute donnée qui permet d’identifier directement ou indirectement une personne physique.


Traitement de données à caractère personnel : toute opération (collecte, gestion conservation, diffusion) traitant des données relatives à des personnes physiques. Ces traitements sont souvent liés aux activités que vous réalisez en lien avec des personnes (membres du personnel, public, fournisseur·euse·s, partenaires institutionnels, etc.).


LES PRINCIPALES ÉTAPES À SUIVRE POUR VOUS METTRE EN CONFORMITÉ

1) Identifier les traitements de données que vous réalisez et qui contiennent des données personnelles. Les principales activités de traitement concernées dans vos institutions : GRH- Comptabilité – Communication – Site internet – Administrateur·ice·s – membres – Billetterie – Bases de données reprenant des informations sur des personnes physiques, etc.

2) Pour chaque traitement, répondre aux questions suivantes :

    • Pourquoi collectez ou disposez-vous de ces données ?
    • Quelles données collectez-vous ?
    • Où ces données sont-elles stockées ou conservées (dans une armoire x si sur support papier ou dans tel BD ou serveur de fichiers pour les données électroniques) ?
    • Comment sont-elles collectées et/ou conservées (via un formulaire en ligne, présentes dans la facture, dans le contrat/convention, etc.) ?
    • Comment en assure-t-on la sécurité (physique ou numérique) et l’accessibilité (aux collègues/au public extérieur) ?
    • Jusque quand devons-nous ou voulons-nous conserver ses données ? (délai légal ou utilité de cette information et après on peut éliminer ou archiver cette donnée (si intérêt historique à revenir sur celle-ci))

3) Identifier les personnes concernées par ces traitements de données (personnel, public, administrateur·rice·s, membres, fournisseur·euse·s, etc.).

4) Identifier les « sous-traitants » ou les institutions « vers qui » vous transmettez une partie ou toutes les données collectées par ce traitement de données (comptable, secrétariat social, fournisseur IT, pouvoirs subsidiants, partenaire x ou y, etc.)

Toutes ces informations doivent être indiquées dans un document : le Registre des traitements. Vous en trouverez un modèle facilement adaptable à votre réalité ici.

5) En parallèle du Registre des traitements, rassembler les documents suivants en lien avec les traitements de données que vous avez identifiés :

    • Les contrats ou conventions que vous avez signés avec le secrétariat social, le comptable, vos prestataires IT, vos fournisseurs de services avec qui vous partagez certaines données de votre personnel ou de votre public (billetterie, formateur·ice·s, etc.)
    • Les formulaires, documents que vous faites compléter à vos utilisateur·ice·s pour leur offrir un service.

Relire chacun de ces documents et voir s’ils contiennent déjà des dispositions concernant le respect du RGPD et quel recours vous avez si vous souhaitez plus d’information. Sinon, il faudra revoir ces documents afin d’intégrer les mentions légales liées à l’information et l’utilisation des données personnelles.

6) Rédiger une charte de politique des données personnelles pour votre institution et adapter les mentions présentes sur les documents que vous remettez à vos publics (personnel, fournisseur·euse·s, public). Les exemples de formules à ajouter peuvent se trouver ici.

7) Désigner une personne au sein de votre équipe qui pourra assurer le rôle de DPO/DPD (délégué à la protection des données) et renseigner les coordonnées de cette personne via le lien suivant.
Plus d’information sur le rôle et les missions de celui-ci dans la brochure présentée en introduction de l’article.

Lorsque toutes ces étapes sont réalisées, il vous restera encore quelques démarches à effectuer régulièrement pour maintenir à moyen et long terme cette conformité au sein de votre institution :

1) Informer /former les membres de votre équipe quant aux dispositions à respecter lorsque l’on traite des données personnelles :

    • Confidentialité sur ces données et accessibilité aux seules personnes en charge de ces données ;
    • Mesures de sécurité et organisationnelles à respecter pour garantir la bonne gestion de ces données ;
    • Rappel des principes à respecter concernant ces informations ;
    • Informer les nouveaux·elles travailleur·euse·s sur ces dispositions ;

2) Tenir un registre des incidents concernant des données à caractère personnel

      • En cas de vol de matériel ou de données ;
      • En fonction de la gravité, prévenir vous-même l’autorité de protection des données et/ou les personnes concernées

3) Mettre à jour le registre des traitements lorsqu’un changement s’opère sur un traitement spécifique ou annuellement afin de vérifier que celui-ci est bien à jour.

4) Évaluer régulièrement les mesures de sécurité et organisationnelles mise en place afin que celles-ci garantissent toujours le respect des principes RGPD.


RESSOURCES COMPLÉMENTAIRES


Article rédigé par Marie-Laurence Dubois – Consultante en Gouvernance de l’information au sein de Valorescence.