Le Règlement Général sur la Protection des Données (RGPD), qui constitue un jalon majeur dans la législation européenne sur la confidentialité, a été officiellement mis en application le 25 mai 2018. Cet ensemble de directives a une incidence directe sur les établissements scolaires ainsi que sur les instances territoriales de l’Enseignement catholique, qui se doivent d’aligner leurs pratiques avec les exigences de ce cadre réglementaire, élargissant et renforçant la loi Informatique et Libertés de 1978.
Le RGPD s'ancre dans une vision novatrice de la protection des données personnelle...
Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.
Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
les catégories de données trait...
La mise à jour des politiques de confidentialité de vos sites internet est une étape essentielle pour assurer la conformité avec le RGPD (Règlement Général sur la Protection des Données). Voici quelques règles à respecter :
Rédigez votre politique de manière simple et accessible, sans jargon juridique complexe, afin que les utilisateurs puissent facilement comprendre comment leurs données sont traitées.
Incluez des informations sur les droits des utilisateurs selon le RGPD (droit d'accès, de rectification, à l'effacement, à la limitation du traitement, à la portabilité des données, et ...
Afin d'évaluer précisément l'impact du Règlement Européen sur la Protection des Données Personnelles (RGPD) au sein de votre organisation, il est essentiel d'entamer une démarche structurée en commençant par recenser de manière exhaustive tous les processus au cours desquels vous collectez des données à caractère personnel.
Pour mener à bien cette analyse initiale, collaborez étroitement avec les membres de votre équipe responsables de la gestion des données. Profitez de l'outil pratique que nous mettons à votre disposition : un formulaire détaillé, joint à ce message. Ce document, complét...
Le Règlement Européen 2016/679, daté du 27 avril 2016, communément désigné sous le nom de « Règlement Général sur la Protection des Données » (RGPD), stipule clairement que la sauvegarde des données personnelles exige l'adoption de « mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité correspondant au risque encouru » (Article 32). Cette approche pragmatique favorise une prise de décision basée sur des critères objectifs et la mise en place de mesures précisément calibrées et ajustées aux spécificités de chaque situation.
Cependant, pour ceux qui ne sont...
Pour piloter la gouvernance des données personnelles de votre structure et mettre en oeuvre sa conformité, il sera nécessaire de désigner un chef d'orchestre qui exercera une mission d’information, de conseil et de contrôle en interne.
La CNIL a donné un nom officiel à cette fonction : le Délégué à la Protection des Données (DPD). Cette fonction n'est pas nouvelle puisqu'auparavant, elle s'appelait CIL (Correspondant Informatique et Liberté), mais son rôle est maintenant renforcé.
La nomination d'un DPD est obligatoire dans certains cas (voir conditions CNIL, deuxième lien) et il es...
Assurez-vous que les procédures de collecte de données sont conformes au RGPD.
Pour tous les traitements de votre registre, dont la base légale est le consentement, assurez-vous que les mécanismes de collecte sont conformes : consentement libre, spécifique, éclairé et univoque. Cela comprend l'obtention du consentement explicite là où il est nécessaire, et la mise en place de notices d'information claires.
Pour vous aider, voir la fiche de la Cnil sur le consentement.
La CNIL propose des fiches pratiques à destination des professionnels qui peuvent les aider à comprendre les bases légales et à choisir celles qui seront les plus adaptées à leurs traitements de données.
Les bases légales d'un traitement sont :
La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiquesLe traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ciLe traitement est nécessaire au respect d'...
Afin de protéger les données à caractère personnel de votre structure, il est primordial de vérifier que tous les contrats avec des fournisseurs tiers (par exemple, logiciels éducatifs ou services de cloud) soient conformes au RGPD, et que ces sous-traitants garantissent la protection des données.
Quelques exemples d'acteurs extérieurs, appelés sous-traitants par la CNIL :
votre prestataire informatique (qui a accès à vos postes de travail, qui remplacent des ordinateurs, ...)
l'éditeur des logiciels utilisés par votre structure
l'hébergeur de votre site internet
...
Les d...
Qu’est-ce qu’une analyse d’impact relative à la protection des données (AIPD) ?
L’AIPD est un outil important pour la responsabilisation des organisations : elle vous aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.
Vous trouverez la liste des traitements issus du site de la CNIL pour lesquels une AIPD est obligatoire :
Liste des types d’opérations de traitement pour les...