Connectez-vous

Accueil

Culture numérique

Publié le 26 nov. 2018 Modifié le : 4 déc. 2018

Écrire à l'auteur

Le  lundi 26 novembre 2018

Le RGPD

Le Règlement général sur la protection des données personnelles (RGPD) remplace l’ancienne directive du 14 octobre 1995 sur la protection des données personnelles. La loi française du 6 janvier 1978 dite « Informatique et libertés » est adaptée en conséquence.

  • RGPD

    https://urps-mk-ara.org/rgpd-quelles-obligations-pour-le-kinesitherapeute/





    Les données à caractère personnel sont soumises à un régime juridique qui a changé en France et dans l’Union européenne en mai 2018.

     


    Le Règlement général sur la protection des données personnelles (RGPD)remplace l’ancienne directive du 14 octobre 1995 sur la protection des données personnelles. La loi française du 6 janvier 1978 dite « Informatique et libertés » est adaptée en conséquence.

     


    Les données à caractère personnel sont toutes les informations relatives à une personne physique identifiée, ou qui peut être identifiée en croisant des données la concernant.

     

    Pour faire le point

     

    La Dane vous propose de vous former via le parcours Magistère de la DGESCO en inscription libre : https://magistere.education.fr/dgesco/course/view.php?id=1425

    Ce parcours est accessible par tous les personnels après authentification avec les authentifiants académiques.


    •  Réseau Canopé

     

    Guide : https://www.reseau-canope.fr/les-donnees-a-caractere-personnel/introduction.html

    Guide PDF : https://www.reseau-canope.fr/fileadmin/user_upload/Projets/RGPD/RGPD_WEB.pdf

     

     

     

     

    « Le responsable du traitement doit, avant et jusqu’à la fin du traitement, respecter six principes généraux. La violation d’un de ces principes est sévèrement sanctionnée. En voici la liste :

    1. Licéité, loyauté et transparence du traitement. Les données personnelles doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée ». Cela signifie que les données ne doivent pas avoir été collectées et ne doivent pas être traitées, sans que la personne concernée en ait connaissance. Ce principe nécessite de fournir aux personnes concernées plusieurs informations, sur la finalité du traitement, mais aussi sur leurs droits (voir plus bas).
    2. La limitation des finalités. Les données personnelles doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Le RGPD prévoit toutefois que des données personnelles peuvent être traitées « à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques », même si elles n’avaient pas été initialement été collectées à cette fin :  un tel traitement ultérieur n’est pas incompatible avec la finalité initiale de la collecte. C’est ce qui permet aux chercheurs de consulter des fonds existants contenant des données personnelles, sans enfreindre ce principe de limitation des finalités.
    3.  La minimisation des données. Seules doivent être collectées les données strictement nécessaires à la finalité du traitement.
    4. L’exactitude des données. Les données personnelles collectées doivent être « exactes et, si nécessaire, tenues à jour ». Elles doivent sinon être rectifiées ou effacées.
    5. La limitation de la conservation. Les données personnelles ne doivent pas être conservées au-delà de la durée nécessaire à la finalité du traitement.
    6. L’intégrité et la confidentialité des données. Enfin, et c’est la grande nouveauté du RGPD, le responsable du traitement doit prendre « les mesures techniques ou organisationnelles appropriées » pour garantir la sécurité des données personnelles, y compris la protection contre le traitement non autorisé ou la perte des données. Cette obligation de prendre les mesures techniques ou organisationnelles appropriées est la pierre angulaire du RGPD. Le responsable du traitement doit, pour garantir l’intégrité et la confidentialité des données personnelles traitées, vérifier que l’organisation (humaine) et les moyens techniques (souvent, informatiques) mis en œuvre sont suffisamment sûrs pour protéger les droits et libertés des personnes concernées. Cela nécessite de sensibiliser et de former les personnes chargées du traitement, de conclure si nécessaire des contrats avec plusieurs d’entre elles, de mettre en œuvre des moyens techniques robustes (authentification pour avoir accès, cryptage des données, etc.). Dans certains cas (les données sont sensibles, le traitement de données est mené à grande échelle…), le RGPD exige que soit également menée une étude d’impact approfondie. La CNIL a publié en octobre 2018 la liste des traitements nécessitant impérativement une analyse d’impact sur les données personnelles (AIPD).
      NB. Avant le 25 mai 2018, le responsable du traitement était simplement tenu d’informer la CNIL qu’il détenait un fichier de données personnelles. La procédure d’information à la CNIL était plus ou moins lourde selon le type de données traitées : dispense de déclaration, déclaration simplifiée, déclaration normale (voire même demande d’autorisation à la CNIL pour certains traitements considérés particulièrement à risque). Depuis le RGPD, le responsable du traitement n’a plus à informer la CNIL ;  il lui incombe en revanche de prendre les mesures appropriées de protection des données personnelles, pour être en conformité avec le RGPD. Le RGPD a remplacé la logique d’information à la CNIL par une logique de compliance. »

     

     

    Se préparer

     

    • La CNIL propose de se préparer en 6 étapes : désigner un pilote, cartographier vos traitements de données personnelles, prioriser les actions à mener, gérer les risques, organiser les processus, documenter la conformité.

    https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

     

    • Données numériques à caractère personnel au sein de l'éducation nationale

    Rapport conjoint IGEN / IGAENR - Février 2018. http://www.education.gouv.fr/cid129266/donnees-numeriques-a-caractere-personnel-au-sein-de-l-education-nationale.html

    « Ce rapport dresse un état des lieux de la gestion des données numériques à caractère personnel au sein de l’éducation nationale et fait une analyse des différentes problématiques qu’elle soulève à l’heure de la mise en œuvre du règlement européen sur la protection des données. Il s’appuie sur de nombreux entretiens en établissement scolaire ainsi que sur une large consultation des différents interlocuteurs directement concernés par cette question : organisations syndicales, associations de parents d’élèves, services de l’administration centrale et déconcentrée de l’éducation nationale, organismes en charge du numérique et des données personnelles, entreprises du secteur du numérique, associations de défense des droits de l’Homme, experts et chercheurs. »

     

     

    « le RGPD fait émerger un nouveau rôle au sein des établissements : celui du Data Privacy Officer (DPO), à la fois censeur et garde-fou indépendant chargé de s'assurer du bon respect de la législation et, dans le cas contraire, d'en alerter la direction de l'établissement. »