Comment assurer sa conformité RGPD en ACM ?

Le Règlement n°2016/679, dit Règlement Général sur la Protection des Données (RGPD), est un texte qui émane de l’Union Européenne et pose un cadre normatif obligatoire en matière de protection des données à caractère personnel. Il est entré en vigueur le 25 mai 2018.

Ce Règlement s’applique dans tous les Etats membres (sans transposition), et met à la charge des organismes collecteurs de données, dont les ACM, diverses obligations. Ses deux principaux objectifs sont les suivants :

  • Accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel ;
  • Responsabiliser les acteurs de ce traitement.

La démarche de mise en conformité RGPD ne doit pas être uniquement perçue comme une contrainte technique ou juridique ; elle doit permettre de faire le point dans chaque registre et de s’assurer que les données personnelles recueillies sont en sécurité, par une démarche active et continue.

La Commission nationale informatique et libertés (Cnil) adresse plusieurs recommandations pour assurer sa mise en conformité au Règlement. Ces recommandations intéressent particulièrement les Accueils Collectifs de Mineurs (ACM).

Les 4 actions principales pour entamer sa mise en conformité en ACM

En ACM, l’organisateur a l’obligation de recueillir toutes sortes de données (adresses, numéros de téléphone, adresse e-mail, état civil, documents médicaux…). Le recueil de ces données et leur conservation devant se faire conformément au RGPD, il doit :

Constituer un registre des traitements de données

L’organisateur doit constituer un registre des traitements de données (pour les modèles simplifiés, lire notre précédent article), qui précise :

  • L’objectif poursuivi ;
  • Les catégories de données utilisées ;
  • L’identité des personnes ayant accès aux données ;
  • La durée de conservation des données.

Trier les données stockées

Les données stockées doivent être :

  • Nécessaires – les données inutiles ou obsolètes doivent être supprimées ;
  • Non « sensibles » (outre les éléments relatifs à l’état de santé des mineurs) – elles ne portent pas sur l’orientation sexuelle, les convictions politiques, etc. (article 9 du RGPD) ;
  • Uniquement accessibles pour les personnes autorisées.

Permettre aux personnes d’exercer facilement les droits que le RGPD leur reconnaît

La personne dont les données à caractère personnel sont collectées doit, pour pouvoir les exercer librement, être informée de ses droits :

  • Droit d’accès – la personne peut accéder aux informations stockées ;
  • Droit de rectification – la personne peut modifier les données ;
  • Droit d’opposition – la personne peut s’opposer à l’utilisation des données ;
  • Droit d’effacement – la personne peut demander la suppression des données ;
  • Droit à la portabilité – la personne peut obtenir copie des données détenues ;
  • Droit à la limitation – la personne peut demander à « geler » les données stockées.

Chaque formulaire de collecte doit encore préciser la finalité de la collecte des données sollicitées et votre habilitation à collecter ces données (obligation légale et exécution contractuelle dans le cadre d’un ACM).

A noter : l’exercice de ces droits doit, de surcroît, être facilité par l’organisateur. Cette facilitation peut passer par une description de la procédure à suivre, sur le site internet de l’ACM.

Sécuriser les données

L’ACM qui collecte des données à caractère personnel est tenu d’assurer leur sécurité, en garantissant l’intégrité du patrimoine de données contre les risques de perte ou de piratage.

Plusieurs réflexes doivent être mis en place :

  • Mise à jour des antivirus et logiciels ;
  • Changement régulier des mots de passe, avec des caractères spéciaux ;
  • Dispositif de récupération des données en cas de perte ;
  • Chiffrement des données (en cas de collecte importante).
morgan Bertholom
m.bertholom@jpa.asso.fr