Logo Dipeeo - Votre DPO externe

RGPD secteur social : les sujets clés

La conformité RGPD dans le secteur de l'ESS (Economie Sociale et Solidaire) a plusieurs spécificités. Découvrez-les ici.

RGPD secteur social

Qu’est-ce que le RGPD et les conséquences pour une ESS ?

Le Règlement Général sur la Protection des Données (RGPD) peut être divisé en plusieurs piliers fondamentaux. 

Le premier pilier est l’information des personnes. C’est tout ce qui est visible sur le site internet : Politique de confidentialité, politique cookies, politique RH, et également le recueil du consentement. Le deuxième pilier est la sécurité. C’est tout ce qui concerne les tests d’intrusion, la sécurité et les systèmes d’informations pour éviter les piratages notamment. 

Un autre pilier qui est très important qu’on développera beaucoup dans cet article, c’est le volet sous-traitant. En effet, nous allons aborder les points clés pour un logiciel d’accompagnement dans le secteur de l’ESS. Les structures qui utilisent ce type de logiciel sont considérées comme sous-traitant au sens du RGPD.

La différence entre sous-traitance et prestataires techniques

Sous-traitant au sens du RGPD

 

La notion de sous-traitance est un pilier essentiel du RGPD.  Tous les prestataires ne sont pas sous traitants au sens du RGPD. Par contre, tous les sous traitants au sens du RGPD sont prestataires.

Concrètement, un sous traitant au sens du RGPD, c’est un organisme qui traite vos données pour votre compte. Donc c’est comme prendre une balle de pâte à modeler, la mettre dans une boîte par exemple (hébergement des données) et  modifier un peu la forme de cette pâte pour le compte d’une structure.

Prestataires techniques

 

Il peut y avoir une confusion sur ce qu’est un prestataire qui n’est pas sous-traitant. Dipeeo est prestataire mais pas sous-traitant au sens du RGPD parce que Dipeeo va prendre la pâte à modeler, et va l’utiliser pour son compte afin de fournir un service, une prestation qui lui est propre (service de DPO externalisé et accompagnement RGPD);

Par exemple, les hébergeurs, les prestataires qui s’occupent de la sécurité pour votre compte, les outils métiers, notamment RH, ou gestion de paye, sont considérés comme sous-traitants au sens du RGPD.

L’importance de la notion de sous-traitance

La notion de sous-traitance est importante car c’est une question de responsabilité. Par exemple, si vous utilisez un outil comme Siham, qui est un logiciel d’accompagnement social, on va vous qualifier de responsable de traitement. Vous êtes donc responsable de tous les traitements de données personnelles. C’est à vous de décider quels traitements de données vont être mis en œuvre, pour combien de temps, etc.

L’une des choses qui est très importante dans le RGPD, c’est que vous êtes responsable de sélectionner des prestataires techniques conformes aux RGPD. Notamment quand vous êtes une entreprise d’insertion, par exemple, vous avez besoin d’un outil métier de suivi de l’insertion qui va traiter des données avec une forte sensibilité. Et ça, beaucoup de gens l’ignorent.

Si vous ne vérifiez pas la conformité de vos prestataires techniques, vous mettez en danger les données personnelles en votre possession. En effet, c’est pour ça que l’accord de protection des données est un élément lié  à la conformité puisque c’est un contrat qui vous lie avec votre prestataire. Cela va l’engager sur des aspects de protection des données. Vous mettez en gage votre responsabilité et donc c’est important d’avoir un outil, d’avoir des prestataires qui sont conformes.

RGPD secteur social - Dipeeo

Quelles sont les obligations au sens du RGPD d'un sous traitant et du responsable traitement ?

L’habilitation : élément fondamental dans la confidentialité des données

L’habilitation est parfois négligé, mais est fondamentale. Tout le monde ne peut pas avoir accès à toutes les informations. Il faut mettre en place une hiérarchie verticale et horizontale qui permet de bien structurer l’accès aux informations (simple utilisateur, administrateur, super administrateur, …)

C’est également une question de responsabilité. Cela évite les violations de données et les fuites de données. Tout le monde n’a pas le même niveau de sensibilisation ou la même formation. Donc, le fait de pouvoir choisir les habilitations et de pouvoir choisir ce à quoi  les utilisateurs ont accès est fondamental et permet de réellement contrôler ce qui se passe. Parce que si vous n’avez pas ça, c’est impossible pour vous de savoir ce que vont faire vos employés qui vont utiliser le logiciel.

Le privacy by design : Conformité de vos outils/applications

Le privacy by design, c’est s’assurer et vérifier lors de la mise en place d’un outil ou d’une application les écarts par rapport au RGPD. Et s’il y a des écarts, il faut corriger et  développer tout ce qui était nécessaire par rapport à ce qui a été fait pour être parfaitement conforme.

Et cela inclut notamment l‘aspect de la minimisation des données. La minimisation des données est un point très important du RGPD qui est normalement très compliqué à mettre en place.

Vous n’avez le droit d’utiliser que les données nécessaires. Si vous utilisez plus de données, et notamment des données inutiles, ça pose un problème de sécurité. En effet, ce n’est pas évident et c’est la raison pour laquelle la minimisation des données n’est pas forcément facile.

Respecter le droit d’accès des personnes

Le droit d’accès, c’est un droit que possède chaque utilisateur. Ce droit permet de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur vous dans leurs fichiers.

Si vous êtes responsable du traitement et qu’un bénéficiaire du programme d’insertion a besoin de connaître des informations, ou a besoin de se plaindre sur un sujet de données, vous êtes responsable du traitement, donc c’est à vous de traiter ces sujets.

Aujourd’hui, de plus en plus, le RGPD devient quelque chose de natif en France. Les demandes d’accès explosent et ça peut constituer un danger pour une structure qui répond mal à une demande d’accès : Il y a certaines informations qu’il ne faut pas partager. 

RGPD secteur social - Dipeeo

Le danger des zones de commentaires libres

Lorsque vous mettez une zone de commentaires libre dans votre outil ou votre application, vous ne pouvez pas contrôler ce que disent vos utilisateurs. Et il est très difficile de mettre en place un système qui empêche de mettre des mots spécifiques dans les commentaires libres. Cela peut donc arriver qu’un utilisateur mette des commentaires désobligeants et subjectifs sur une personne.

La seule solution a ce genre de problème est de sensibiliser vos équipes et les utilisateurs. Cela va permettre de réduire ces commentaires. Il est important de noter que vous êtes responsable de votre outil donc il est de votre responsabilité de gérer ces sujets.

La durée de conservation des données

En tant que responsable du traitement, vous avez l’obligation de respecter la durée de conservation des données personnelles. Vous ne pouvez pas conserver les données pour une durée illimitée. Il y a toujours une durée limitée de conservation des données notamment parce que si vous avez une violation de données, vous prenez des risques ! Il y aura un volume de données plus important. Donc un risque de sanction plus fort. 

Comment faire ? Il faut que l’outil permette de supprimer ou d’archiver les données personnelles. Il y a beaucoup d’outils qui ne permettent que d’archiver. C’est important parce que c’est quelque chose de très dur à respecter.

Play Video about RGPD secteur social - Dipeeo

La durée maximale de conservation

Il existe plusieurs durée de conservation des données personnelles. Pour vous donner un ordre d’idée, une donnée peut avoir des durées différentes. Par exemple, la prospection commerciale vous permet de garder des données personnelles pendant 3 ans. Si vous obtenez un client, vous pouvez utiliser ces données pendant toute la durée de votre activité.

Vous pouvez consulter notre article sur la durée de conservation des données pour avoir plus d’informations à ce sujet.

La différence entre l’archivage, la suppression et l’anonymisation des données personnelles

Lorsque vous supprimez des données personnelles, vous pouvez éventuellement restaurer les données ou les supprimer définitivement. Tandis que l’archivage des données permettra une restauration des données. Les données ne sont pas supprimées.

Par contre l’anonymisation permet de rendre toutes les données personnelles anonymes et donc non identifiables, mais cette action est définitive. Si vous anonymiser les données, elles ne seront plus visibles dans les logiciels évidemment.

L'intérêt de l'anonymisation

Pour savoir quelles est l’intérêt de l’anonymisation, il faut comprendre qu’est-ce qu’une donnée personnelle. C’est une donnée d’une personne, une donnée d’une société, et c’est une donnée qui permet d’identifier directement ou indirectement une personne.

L’anonymisation permet donc de rendre non identifiable ces données et à caractère définitif. Si ce n’est pas définitif, c’est de la pseudonymisation et pas de l’anonymisation. Par exemple, la plaque d’immatriculation, c’est un pseudonyme qui met un numéro à la place de votre personne. Par contre, si vous aviez une plaque d’immatriculation anonyme, on ne pourrait pas vous retrouver.

Et donc, en résumé, l’anonymisation, cela permet de conserver des données à des fins statistiques pour une longue durée. Parce que si l’on a plus une donnée personnelle en possession, on est plus soumis au RGPD et donc plus soumis à la durée de conservation. L’intérêt de la fonction d’anonymisation est de pouvoir conserver des données à des fins statistiques.

Différence entre droit à l’oubli et suppression

Attention, le droit à l’oubli, ça ne veut pas dire suppression, c’est une grosse erreur. Lorsqu’une personne demande un droit à l’oubli, vous avez quand même des obligations de garder les données. Par exemple, j’ai acheté quelque chose sur une plateforme. Je demande le droit à l’oubli : ça veut juste dire qu’ils ont plus le droit de me prospecter, de m’envoyer des messages, etc. Par contre,  ils ont bien l’obligation de garder la facture avec mes données sinon en cas de contrôle fiscal, ils ne pourront plus justifier l’achat.

Donc le droit à l’oubli ne veut pas dire suppression. Vous avez toujours des données à conserver pendant un certain temps à des fins de prescription. Et quand la durée de prescription est totalement finie, vous pouvez anonymiser les données à des fins de statistiques.

Les bonnes pratiques par rapport aux utilisateurs

En tant que responsable du traitement, vous avez l’obligation de respecter la durée de conservation des données personnelles. Vous ne pouvez pas conserver les données pour une durée illimitée. Il y a toujours une durée limitée de conservation des données notamment parce que si vous avez une violation de données, vous prenez des risques ! Il y aura un volume de données plus important. Donc un risque de sanction plus fort. 

Comment faire ? Il faut que l’outil permette de supprimer ou d’archiver les données personnelles. Il y a beaucoup d’outils qui ne permettent que d’archiver. C’est important parce que c’est quelque chose de très dur à respecter.

RGPD secteur social - Dipeeo

✨ Siham : Logiciel d’accompagnement social ✨

Le logiciel Siham  a été créé et développé par RézoSocial. Le logiciel aide les associations et acteurs de l’ESS sur leurs missions de suivi de parcours (formation, handicap, justice…), d’hébergement, de service civique, de maraudes… C’est un logiciel qui fait le suivi des bénéficiaires, des tâches administratives automatisées, etc.

Cet article a été réalisé grâce au webinar du Mardi 15 Novembre 2022 réalisé par Anne-Marie M., Responsable pédagogique de RézoSocial et Raphaël Buchard, CEO de Dipeeo : votre DPO externalisé 

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Le label "RGPD Conforme" délivré

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Les ressources disponibles

Dpo rgpd - Dipeeo

Comment choisir son DPO externe ?

Comment choisir son DPO externe ? DPO et RGPD Les grands types d’acteurs et les points clés pour trouver l’accompagnement DPO adapté pour être conforme...

Read More
Sous traitant RGPD - Dipeeo

Sous traitant RGPD

Qu’est-ce qu’un sous traitant RGPD ? Sous traitant RGPD Un sous traitant RGPD au sens du Règlement Général sur la Protection des Données est une...

Read More

Témoignages de nos clients

Play Video about Témoignage client Leadjet

Startup Tech

Play Video about Temoignage3-BGE-PaRIF-dpo-externe

Association

Play Video about Temoignage2-Econhomes-dpo-externe.png

Startup Immobilier

Play Video about Temoignage-Tour-dArgent-dpo-externe.png

Groupe de restauration

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.