RGPD, Protecteur des libertés mais bête noire des institutions !
Dernière mise à jour : 23 août 2022
Dans la nouvelle aire des DATA, le RGPD est devenu la nouvelle bête noire de toute organisation qui collecte des informations. Et vous, formateurs, êtes également concernés!
La CNIL est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, d’organismes aussi bien publics que privés. En gros c’est à la fois la police et le juge des données.
C'est-à-dire un organisme public qui agit au nom de l'Etat. Elle a un rôle d'alerte, de conseil et d'information vers tous les publics mais dispose également d'un pouvoir de contrôle et de sanction. Et c’est là où il faut faire attention!
Effectivement , lors de la prise de contact, de l’inscription et tout au long de la formation vous collectez des informations données sciemment par vos stagiaires certes, mais dont le contenu peut potentiellement vous mettre hors la loi.
Les données personnelles ont été définies et classées.
Qu’est-ce qu’une donnée personnelle?
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Parmi celles-ci, on distingue les données sensibles. Quelles sont -elles?
L’origine raciale ou ethnique
L’orientation sexuelle
Les convictions religieuse ou philosophiques
Les opinions politiques
Les opinions syndicales
L’état de santé
Les données biométriques
Les données génétiques
Les condamnation pénales et infractions
Leur distinction comme données sensibles leur confère une réglementation particulière. Et donc des sanctions particulières à qui ne respecte pas l'encadrement que la CNIL a mis en place autour d’elles.
Vous vous dites que vous avez collecté certaines informations mentionnées dans la liste de données sensibles? Pas de panique!
Tout traitement de données doit être nécessaire à la poursuite d’un objectif déterminé, au préalable, par l’organisme. En plus d’être légal, cet objectif doit être légitime par rapport à la nature et aux activités de l’organisme. Donc s’il est nécessaire pour vous de savoir si votre client n’a pas d’allergies particulières aux yeux, en vue d’une extension de cils: vous avez le droit de demander et de conserver cette information, mais dans un temps limité d’utilité.
“La finalité doit être déterminée, légitime, explicite”
Certaines personnes donnent, d’elles-même, des informations faisant partie des données sensibles, sans même que vous leur demandiez. Oui c’est un fait.
Ce type d’informations “bonus” sont souvent fournies pour répondre à des questions ouvertes.
C’est pourquoi nous vous recommandons de limiter au maximum ce type de questions, pour des questions fermées (oui/non) ou dont la réponse est limitée.
Lorsque vous rédigez un formulaire de questions, pensez constamment à la pertinence de chacune des questions.
“Est-elle utile? À quoi va t-elle servir?”
Dans tous les cas, la conservation de la donnée (même justifiée) est encadrée légalement dans le temps. La durée va varier selon la nature des données, celui qui l’a possède et son utilité.
Ainsi pour des données bancaires détenus par votre employeur elles doivent être détruites à votre départ de l’entreprise. Vos fiches de paie, elles, ont une vie limitée à 5 dans son entreprise. Les dossiers médicaux eux, peuvent être conservés jusqu’à 10 ans.
Vous concernant, vous pouvez conserver 3 ans maximum les données d’un prospect après le dernier contact que vous avez eu avec lui.
Que risque-t-on?
Selon l'article Art. 226-16 du Code pénal (Partie législative), Section 5 - Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques “est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.”
Non, ils ne rigolent pas! La CNIL s’adresse à toutes les organisations privées ou publiques. L’une des dernières condamnations qui a fait du bruit, est celle attribuée à la RATP.
À hauteur de 400 000 euros elle a dû justifier d’avoir conservé des informations sur les actes syndicaux de certains de ses employés dans leurs dossiers d’évolution professionnelle, ainsi que l’accès non justifié d’informations personnels à des employés de façon injustifiée, et enfin le fameux dépassement de délai de 3 ans (ils en étaient à + 18 mois..)
En bref, afin de ne pas prendre de risque: anticipez!
APPLIQUEZ-VOUS LES RÈGLES RGPD:
Le principe de licéité: est-ce légal?
Le principe de conservation limitée des données: combien de temps je conserve les données?
Le principe de minimisation des données : Ces données sont-elles vraiment nécessaires?
Le principe de finalité des données: Le traitement de ces données a-t-il un objectif?