Quelles sont les obligations pour les organismes de la formation continue en matière de protection des données en 2018 ?
A partir du 25 mai 2018, les obligations en matière de protection de données sont renforcées. La déclaration à la Cnil ne suffira plus. Le règlement GDPR (General Data Protection Regulation) s’appliquera alors à toute entreprise européenne qui collecte, traite et stocke des données personnelles… ce qui est le cas des organismes de formation dans le cadre des sessions organisées.
L’objectif du GDPR ? Protéger au maximum les données personnelles ! Chaque entreprise devra être en mesure de prouver que les données à caractère personnel sont protégées et inexploitables en cas de vol.
Quel est le périmètre du GDPR ?
Le GDPR est un règlement européen : il s’applique dès le 25 mai 2018 à tous les Etats membres de l’Union européenne. Il s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.
Bon à savoir : le GDPR concerne les responsables directs du recueil de données personnelles mais aussi les sous-traitants auxquels ils peuvent faire appel pour la gestion ou l’analyse de ces données, par exemple.
Quels sont les impacts pour les entreprises ?
Le GDPR précise que “les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.”
Il couvre aussi le droit à la portabilité des données : “ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.”
Concrètement, chaque entreprise devra développer les outils suivants :
- La tenue d’un registre des traitements mis en œuvre ;
- La notification de failles de sécurité (aux autorités et personnes concernées) ;
- La certification de traitements ;
- L’adhésion à des codes de conduites ;
- Le DPO (délégué à la protection des données) ;
- Les études d’impact sur la vie privée (EIVP).
Comment un organisme de formation peut-il se mettre en conformité ?
Un organisme de formation recueille différentes données sur les stagiaires à ses formations : prénom, nom, date de naissance, coordonnées postales et électroniques, photo, employeur, données relatives aux connexions lors de sessions en ligne, etc.
A partir du 25 mai 2018, il devra obtenir le consentement éclairé du stagiaire et énoncer la finalité de chaque donnée recueillie. Par exemple, pour l’inscription à la newsletter de l’organisme de formation, l’OF devrait indiquer comment son mail pourrait être utilisé par la suite (démarchage commercial, etc.). Dans les formulaires en ligne, les cases pré-cochées seront désormais à bannir.
Sur le site de la CNIL, 6 étapes clés ont été identifiées pour être prêt à la mise en place du GDPR :
- Désigner un pilote des données personnelles pour votre structure ;
- Cartographie le traitement que vous faites des données ;
- Identifier et assigner des priorités aux actions à mener ;
- Faire une analyse d’impact pour chaque risque détecté ;
- Organiser des procédures internes pouvant garantir la protection des données personnelles à tout niveau de l’entreprise ;
- Réaliser la documentation justifiant de vos actions de conformité avec la GDPR.
Avec le nouveau règlement, vous devez être en mesure de justifier :
- qui intervient sur chaque traitement de données personnelles ;
- à qui et où les données sont transmises ;
- où sont stockées vos données ;
- combien de temps ces données sont conservées ;
- les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données.
Quels sont les risques encourus en cas de non conformité ?
Les autorités de protection pourront sanctionner chaque contrevenant par :
- Un avertissement ;
- Une mise en demeure l’entreprise ;
- La limitation temporaire ou définitive d’un traitement ;
- La suspension du flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
Des amendes administratives sont également prévues pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise.
Pour aller plus loin :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees