Conformité RGPD

Accueil Conformité RGPD

INFORMATION RELATIVE A LA CONFORMITE AU RGPD

Cette information a vocation à lister les actions mises en œuvre par l’AMIEM afin de respecter les principes fondamentaux du RGPD. Elles s’appliquent à l’ensemble des activités du service et s’inscrivent dans une démarche d’amélioration continue.

Définitions

Les termes et expressions utilisés ont la même signification que celle qui leur est attribuée par le règlement européen  n°2016/679 du 27 avril 2016 relatif à la protection des données (RGPD).

  • Commission Nationale de l’Informatique et des Libertés (CNIL) : désigne l’autorité chargée de veiller, en France, à la protection des données personnelles.
  • Délégué à la Protection des Données /DPO (Data Protection Officer) : désigne la personne en charge de conseiller et d’accompagner le service sur la mise en œuvre de la règlementation relative à la protection des données à caractère personnel (RGPD).
  • Donnée à caractère personnel / donnée personnelle : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement.
  • Donnée sensible : désigne toute information qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
  • Responsable de traitement : désigne la personne physique ou morale qui détermine la finalité et les moyens d’un traitement de données personnelles, c’est-à-dire l’objectif et la façon de le réaliser.
  • Sous-traitant : désigne la personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement dans le cadre d’une prestation.
  • Traitement de données personnelles : désigne toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé, notamment la collecte, l’enregistrement, l’organisation, l’utilisation et la suppression.

Application des principes fondamentaux du RGPD

Le RGPD vise à renforcer la protection des données personnelles à l’échelon européen en encadrant, notamment, la collecte, l’utilisation et la conservation des données personnelles et en fixant les obligations du responsable de traitement de ces données et de ses sous-traitants.

Dans le cadre de sa mission de prévention et de suivi de la santé au travail, le service est amené à traiter des données personnelles dont des données sensibles de santé. Il doit donc respecter les principes fondamentaux du RGPD parmi lesquels figurent notamment :

  • Le principe de licéité, de loyauté et de transparence : le traitement des données doit être conforme à la loi, éthique et transparent. Les personnes dont les données sont traitées doivent être informées du traitement de leurs données et des droits dont elles disposent ;
  • Le principe de finalité : les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
  • Le principe de minimisation des données : les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Le principe d’exactitude : les données traitées doivent être exactes et, si nécessaire, tenues à jour ;
  • Le principe de conservation limitée des données : Les données traitées doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Le principe de sécurité des données : des mesures doivent être mises en œuvre afin de garantir la sécurité des données traitées.

Afin de respecter ces principes fondamentaux, l’AMIEM a mis en place une démarche de conformité au RGPD impliquant la mise en œuvre des actions suivantes :

a

Désigner un Délégué à la protection des données

Principe général

Le délégué à la protection des données est chargé de piloter la mise en œuvre de la conformité au RGPD.

Sa désignation est obligatoire pour certains organismes.

Ces missions principales sont :

  • D’informer et de conseiller le responsable du traitement des données ainsi que ses salariés en matière de protection des données ;
  • De contrôler le respect de la règlementation en matière de protection des données ;
  • De conseiller le responsable de traitement sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • De coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci ;
  • D’être le point de contact des personnes concernées par le traitement de leurs données.

Principe appliqué au service

L’AMIEM se trouve dans l’obligation de nommer un DPO dans la mesure où son activité porte sur le traitement à grande échelle de données sensibles. Elle a donc désigné un DPO auprès de la CNIL.

a

Tenir un registre des traitements

Principe général

Chaque responsable de traitement tient un registre des activités de traitement effectuées sous sa responsabilité.

Ce registre constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de la conformité au RGPD.

Principe appliqué au service

Le service tient et met à jour son registre des activités de traitement de données personnelles.

a

Réaliser une analyse d’impact relative à la protection des données  

Principe général

Le RGPD prévoit l’obligation pour les responsables de traitement de mener une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre de tout traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Son objectif est de démontrer que le traitement est respectueux du RGPD et que les risques associés à ce traitement ont été identifiés et sont maitrisés.

Principe appliqué au service

Une AIPD doit être menée par le service si l’objectif poursuivi par le fichier ou la base de données suppose l’utilisation :

  • d’un volume important de données personnelles ;
  • de données sensibles ou hautement personnelles ;
  • d’informations relatives à des personnes considérées comme vulnérables, dans la mesure où l’utilisation des données intervient dans un environnement de travail.

Le service déploie les outils nécessaires à la réalisation des analyses d’impact relatives à la protection des données. Il identifie les traitements nécessitant une AIPD sur la base du registre des traitements, réalise l’AIPD et pilote les plans d’actions associés.

a

Garantir l’information des personnes concernées

Principe général

Le RGPD met à la charge du responsable de traitement une obligation générale de transparence vis-à-vis des personnes dont les données sont traitées.

Le respect de cette obligation permet aux personnes de connaître ce qui justifie la collecte de leurs données, de comprendre les conditions du traitement et de garder la maîtrise de leurs données notamment en permettant l’exercice de leurs droits.

Principe appliqué au service

Le service met à disposition une politique de protection des données personnelles sur son site internet.

Un premier niveau d’information est présent sur les formulaires de collecte de données personnelles ou sur les affichages. Cette mention d’information renvoie vers une information plus complète disponible dans la politique de protection des données personnelles.

Cette politique centralise sur un espace dédié du site internet, accessible à tous, l’ensemble des informations requises par le RGPD afin que les personnes puissent en prendre facilement connaissance.

a

Garantir le respect des droits des personnes concernées

Principe général

Les personnes concernées par des traitements disposent de droits sur leurs données personnelles.

Ces droits sont :

  • Le droit à l’information
  • Le droit d’accès et de copie
  • Le droit de rectification
  • Le droit à l’effacement
  • Le droit à la limitation du traitement
  • Le droit à la portabilité des données
  • Le droit d’opposition
  • Le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

Le responsable de traitement doit indiquer aux personnes concernées la manière dont elles peuvent exercer leurs droits.

Principe appliqué au service

Afin que les personnes concernées puissent exercer leurs droits, la politique de protection des données personnelles, présente sur le site internet du service, les informe des droits dont elles disposent et la manière de les exercer et notamment par l’intermédiaire d’une adresse électronique dédiée contactDPO@amiem.org

Concernant l’exercice du droit d’accès au dossier médical en santé au travail, un formulaire est transmis sur demande à toute personne souhaitant obtenir communication de son DMST et une procédure interne est mise en place afin de traiter ces demandes dans le respect de la règlementation applicable.

a

Traiter les éventuelles violations de données

Principe général

Une violation de données est un incident de sécurité, d’origine illicite ou accidentelle, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données personnelles.

En cas de violation de données personnelles, le responsable de traitement notifie la violation à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement communique la violation de données à ces personnes dans les meilleurs délais.

Le responsable de traitement documente toute violation de données personnelles, en précisant la nature de l’incident, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect de la règlementation.

 Principe appliqué au service

Le service a mis en place une procédure de gestion des violations de données personnelles. Tout incident impliquant des données personnelles fait l’objet d’une détection, d’une évaluation et, si nécessaire d’une notification à la CNIL et/ou aux personnes concernées.

Le personnel du service est sensibilisé aux différentes sources de risques portant sur les données personnelles et des moyens dont il dispose pour signaler un incident.

a

Sensibiliser les collaborateurs à la protection des données

Principe général

La sensibilisation permet de déployer une culture de la conformité au sein de  tout organisme et de faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de protection de la vie privée dès son arrivée et tout au long de son parcours professionnel.

Principe appliqué au service

Des sessions de sensibilisation aux principes posés par le RGPD et aux grands enjeux de protection et de sécurité des données sont proposées à l’ensemble du personnel ainsi qu’à tous les nouveaux arrivants dans le service. Ses sessions peuvent également porter sur des thématiques spécifiques.

L’intranet du service comporte une rubrique dédiée aux sujets RGPD.

a

Contractualiser la sous-traitance du traitement de données

Principe général

Le responsable de traitement peut faire appel à des prestataires pour sous-traiter une ou plusieurs opérations de traitement.

Le RPGD lui impose de choisir uniquement des sous-traitants qui offrent des garanties dans la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer la conformité du traitement aux exigences règlementaires.

Il appartient au responsable de traitement de conclure un contrat avec son sous-traitant permettant d’encadrer leur relation et leurs obligations respectives en matière de protection des données personnelles.

Principe appliqué au service

Le service veille à encadrer par un contrat toute nouvelle relation contractuelle qui impliquerait le traitement de données personnelles par un sous-traitant pour le compte du service.

a

Respecter le principe de protection des données dès la conception et par défaut  dans les projets

Principe général

Le RGPD met à la charge du responsable de traitement une obligation de protection qui se décline en deux obligations distinctes :

« Protection des données dès la conception » : les principes de protection des données personnelles doivent être intégrés dès la phase de conception d’un projet de traitement (produit ou service).

« Protection des données par défaut » : les paramètres les plus élevés pour protéger la vie privée des personnes doivent être intégrés par défaut dans la conception du projet.

Principe appliqué au service

Dans le cadre de sa démarche de  conformité au RGPD, le service veille à intégrer les principes de protection des données  et associe le DPO pour tout nouveau traitement de données personnelles.

A cet effet une procédure prévoit la consultation du DPO pour tout nouveau projet.

Le personnel du service y est sensibilisé lors des sessions de sensibilisation au RGPD.

a

Garantir la sécurité des données personnelles

Principe général

Le RGPD précise que la protection des données personnelles nécessite de prendre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque présenté par un traitement.

Ces mesures sont destinées à préserver la confidentialité, l’intégrité et la disponibilité des données personnelles traitées.

Principe appliqué au service

Selon les traitements concernés, le service met en œuvre les mesures de sécurité techniques et organisationnelles adaptées.

Version en vigueur : Conformité RGPD – AMIEM – 14/03/2025