FAQ – RGPD

1. Obligations du partenaire opérateur du PRIF dans le cadre du RGPD

  • Quelles sont les obligations du partenaire opérateur du PRIF vis-à-vis du PRIF en termes de RGPD ?
  • Le partenaire opérateur du PRIF doit veiller à respecter la réglementation RGPD, sécuriser les données qui lui sont confiées, et informer le PRIF en cas de violation de données ou de demande d’exercice de droit.
  • Le partenaire opérateur du PRIF doit signer une annexe RGPD, une clause RGPD doit également être insérée dans le cahier des charges établi avec le PRIF et dans tout contrat futur.
  • Le partenaire opérateur du PRIF doit obtenir l’accord du PRIF en cas de recours à un sous-traitant ultérieur.
  • Le partenaire opérateur du PRIF a une obligation de confidentialité des données confiées ou récoltées. Il doit prendre toutes les mesures nécessaires pour garantir un niveau de sécurité optimal au niveau informatique et organisationnel.
  • Au terme de la prestation, le partenaire opérateur du PRIF doit restituer les données personnelles au PRIF puis les supprimer. Les données papier peuvent être détruites par le partenaire opérateur du PRIF ou restituées au PRIF deux fois par an.
  • Le partenaire opérateur du PRIF doit maintenir un registre de traitement pour les données du PRIF et le transmettre à ce dernier.

Pour plus d’informations :

  • Quelles sont les obligations des partenaires opérateurs du PRIF en termes de transparence avec les participants aux ateliers en cas de recueil de données ?

Le partenaire opérateur du PRIF a une obligation de transparence envers les participants aux ateliers :

  • Il doit obtenir le consentement des participants pour tout recueil de données.
  • La finalité des données collectées doit être clairement expliquée aux participants au début de l’atelier.
  • Les mentions d’information et de consentement doivent être compréhensibles.
  • Il doit mettre à disposition de participants une adresse e-mail pour toute demande d’exercice de droits.

Pour plus d’informations :

  • Le responsable de traitement et le DPO peuvent-il être la même personne ?

Selon la réglementation, non. Cependant, vous pouvez contacter la CNIL pour avoir des informations supplémentaires au cas par cas (exemple : société de composée de 1 ou 2 personnes). Un retour écrit de leur part servira de justificatif.

  • Est-il obligatoire de déclarer un DPO ?

Selon la CNIL, la désignation d’un Délégué à la Protection des Données (DPO) est obligatoire si :

  • Vous êtes un organisme public,
  • Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Si vous n’avez pas de DPO, vous devez tout de même disposer d’un référent RGPD qui gère les demandes d’exercice de droit et les registres de traitement. Ses coordonnées sont à transmettre au PRIF.

Pour plus d’informations :

  • Dans quels cas est-il obligatoire d’avoir un Délégué à la Protection des Données ?

Le Délégué à la Protection des Données est obligatoire pour :

  • Les sociétés dont les activités principales nécessitent la surveillance à grande échelle (banques, assurances, régies publicitaires…),
  • Les organismes publics,
  • Les sociétés de plus de 250 salariés,
  • Les sociétés qui gèrent des données sensibles.

Pour plus d’informations :

  • Le DPO peut-il être externe à la société ?

Le DPO peut être interne ou externe à la société.

Pour plus d’informations :

  • Est-il obligatoire de désigner un RSSI (Responsable de la Sécurité des Systèmes d’Information) ?

Ceci n’est pas obligatoire, mais fortement recommandé.

  • Comment contacter la CNIL ?

Le standard de la CNIL est ouvert tous les jours de 9h30 à 17h au 01 53 73 22 22.

Pour plus d’informations :

2. Animations d’ateliers

  • Comment transmettre les justificatifs des ateliers au PRIF ?

Les justificatifs doivent être transmis au PRIF via l’adresse mail pole.partenatiats@prif.fr.  Ces envois doivent s’effectuer depuis une adresse e-mail professionnelle et sécurisée.

  • Faut-il obligatoirement ajouter une mention RGPD dans les invitations des ateliers à distance ?

Oui, ceci est important afin de dégager la responsabilité des partenaires opérateurs et du PRIF de la collecte des données par l’outil de visioconférence.

Ci-dessous vous pouvez trouver un exemple de formule :

« En participant à cette visioconférence, vous acceptez la politique de Confidentialité de Microsoft Teams ; (Nom de votre société) et le PRIF déclinent toute responsabilité du traitement de vos données par l’outil Microsoft Teams). »

  • Pendant combien de temps devons-nous conserver les données (feuilles d’émargement, questionnaires d’évaluation…) ?

Le partenaire opérateur doit supprimer les données numériques et scans immédiatement après le transfert au PRIF (pole.partenariats@prif.fr). Pour rappel, les données en format papier doivent obligatoirement être scannées.

Les données au format papier peuvent être soit restituées au PRIF deux fois par an, soit détruites après scan et transfert au PRIF (pole.partenariats@prif.fr).

Tout éventuel changement de processus vous sera notifié par le PRIF.

Pour plus d’informations :

  • Que faire si l’on recueille une donnée de santé ?

2 décrets autorisent le PRIF à recueillir les données de santé : Décrets n°88.1034 du 7 novembre 1988 et n°2006-413 du 6 avril 2006.

Nous essayons de limiter au maximum les données de santé récoltées par les partenaires opérateurs du PRIF.

Si une donnée de santé vous est fournie dans un champ libre, vous devez relayer l’information au PRIF (rgpd-prif@prif.fr). Si le PRIF constate trop de recueil de données de santé, des procédures supplémentaires seront mises en place.

  • Dans le cadre d’échange internes, les animateurs d’ateliers et sous-traitants doivent ils procéder au transfert des justificatifs de manière sécurisée ?

Oui, ceci est obligatoire et ils doivent utiliser une adresse professionnelle et non personnelle.

  • Comment obtenir un consentement en distanciel/par téléphone ?

Si possible, envoyer un mail en amont pour recueillir le consentement. Sinon, lors de l’atelier Bien sur Internet par exemple, il sera possible de réaliser un exercice pour fournir le consentement.

Un projet de rajout du consentement est prévu dans les demandes d’inscription ou dans les feuilles d’émargement dans le futur.

Il sera tout de même obligatoire de fournir une adresse mail pour toute demande d’exercice de droits.

Tout consentement doit être donné au préalable.

  • Devons-nous obligatoirement utiliser Microsoft Teams comme outil de visio-conférence ? Pouvons-nous utiliser Zoom par exemple ?

Une liste de logiciels autorisés vous sera transmise après discussion avec la DSI du PRIF. Il faut toujours penser à rajouter une mention : « en participant à cette réunion, vous acceptez la politique de confidentialité de (nom du logiciel). Ni le partenaire opérateur ni le PRIF ne sont responsables du traitement des données collectées ».

  • Pouvons-nous toujours utiliser WeTransfer dans le cadre du transfert des justificatifs ?

L’utilisation de WeTransfer ou d’autres plateformes n’est pas interdite tant que celles-ci sont déclarés dans la liste des logiciels utilisés.

  • Nos sous-traitants ultérieurs doivent-ils également utiliser une adresse mail professionnelle ? Que faire en cas de refus de leur part ? Peuvent-ils déposer les documents sur un espace Teams par exemple ?

L’utilisation d’une adresse mail professionnelle est obligatoire, et vous devez les encourager à en créer une pour plus de sécurité. Si vos sous-traitants ultérieurs refusent, vous pouvez leur proposer de déposer les documents sur un espace Teams, avec une gestion des habilitations d’accès. Le sous-traitant ultérieur devra supprimer les données une fois les avoir déposées sur cet espace.

  • Pourquoi devons-nous éviter d’utiliser les outils américains comme Google ?

Le risque quant à l’utilisation de Google par exemple est que les données du PRIF, organisme lié à l’Etat et gérant des données de santé, soient stockées au Etats-Unis et accessibles par le Gouvernement américain via le Cloud Act. C’est la raison pour laquelle la CNIL et le Contrôleur européen de la protection des données recommandent d’éviter autant que faire se peut, d’avoir recours à des outils américains.

 

Pour plus d’informations :

 

3. Participation aux forums et salons

  • En cas de participation à un forum ou un salon, quelle est la démarche à faire pour recueillir les coordonnées d’une personne intéressée par les activités du PRIF ?

Lors du recueil des coordonnées, le partenaire opérateur du PRIF doit obtenir le consentement de la personne intéressée et l’informer du transfert de ses coordonnées aux partenaires à des fins de prospection de la part du PRIF.

Ces données doivent être conservées de manière sécurisée, scannées et transférées au PRIF via l’adresse pole.partenariats@prif.fr puis supprimées.

  • Le partenaire opérateur du PRIF peut-il prendre une photo de sa participation à un événements (forum, salon…)?

Oui, mais les participants visiteurs ne doivent pas être directement reconnaissables ou floutés (ou doivent donner leur consentement écrit).

Pour plus d’informations :

4. Demande d’exercice de droit et violation de données

  • Que faire en cas de demande d’exercice de droits ?

Il faut accuser réception de la demande.

Il faut informer le PRIF par mail (rgpd-prif@prif.fr) en précisant le type de demande en objet.

S’il s’agit d’une demande relative aux données que le partenaire opérateur du PRIF a en sa possession, il doit appliquer la procédure qu’il a définie en demandant une pièce d’identité au demandeur (ceci n’est pas obligatoire s’il s’agit d’un Délégué à la Protection de Données ou d’un Avocat).

S’il a déjà transféré les données à l’équipe RGPD du PRIF, il précise la situation dans son mail au PRIF, et la demande sera traitée par le PRIF.

Pour rappel, les principaux droits relatifs aux données personnelles des participants aux ateliers sont :

  • Le droit à l’information préalable : le participant a le droit d’être informé du responsable des données, de leur finalité, des destinataires, de la durée de conservation,
  • Le consentement préalable requis : le participant doit donner son consentement libre, spécifique, éclairé et univoque,
  • Le droit d’accès, de rectification et d’opposition : le participant doit avoir le moyen d’accéder à ses données, en obtenir une copie, les rectifier, compléter ou supprimer,
  • Le droit à la portabilité des données : le participant a la possibilité de récupérer ses données pour les donner à un tiers.

Pour plus d’informations :

  • Que faire en cas de violation des données ?

Selon la CNIL, pour qu’il y ait violation, 2 conditions doivent être réunies :

  • Vous avez mis en œuvre un traitement de données personnelles.
  • Ces données ont fait l’objet d’une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).

Vous devez immédiatement informer le PRIF (rgpd-prif@prif.fr).

Dans tous les cas, vous devez documenter en interne l’incident en déterminant :

  • La nature de la violation,
  • Si possible, les catégories et le nombre approximatif de personnes concernées par la violation,
  • Les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
  • Décrire les conséquences probables de la violation de données,
  • Décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

Le document récapitulatif de votre notification à la CNIL permet de répondre à l’obligation de documentation interne.

En collaboration avec l’équipe RGPD du PRIF, vous déterminerez si l’incident constitue un risque au regard de la vie privée des personnes concernées, auquel cas vous devrez notifier l’incident à la CNIL : Notification (cnil.fr).

Il faut donc prévoir une procédure spécifique en cas de violation de données et fournir au PRIF une description de cette procédure : Qui traite la situation, quelles actions sont mises en place, sous quels délais.

 

Pour plus d’informations :

5. Documents à fournir au PRIF dans le cadre du conventionnement

  • Peut-on utiliser notre propre modèle de registre de traitement ?

Oui il est possible d’utiliser votre propre modèle de registre de traitement tant que les informations essentielles y figurent :

  • Finalités du traitement,
  • Responsable du traitement,
  • Type de données collectées,
  • Personnes concernées,
  • Présence de sous-traitants ultérieurs,
  • Période d’effacement,
  • Durée de conservation,
  • Mesures de sécurité prises,
  • Cartographie de la données (identification des traitements de la donnée),
  • Obligations légales (exemple : obligation de durée de conservation d’une facture).

Les partenaires opérateurs du PRIF doivent fournir au PRIF le registre des données pour les données relatives à leurs activités de sous-traitance (animation d’ateliers, participation aux forums et aux salons professionnels…)

Pour plus d’informations sur le registre de traitements :

  • Que doit contenir la politique de confidentialité ?

La politique de confidentialité doit être conforme au Règlement Général sur la Protection des Données (RGPD). Ainsi, la politique de confidentialité a pour but de garantir une information concise, transparente et compréhensible aux participants/retraités/utilisateurs. Elle permet donc aux personnes concernées de :

  • connaître les raisons de la collecte d’information personnelle ;
  • s’informer sur les procédés de traitement appliqués à leurs données ;
  • vérifier la sécurité de leurs données sensibles ;
  • faciliter l’exercice de leurs droits.

Pour être conforme au RGPD, cette déclaration doit contenir notamment :

  • L’identité et les coordonnées de l’organisme et du responsable du traitement de données,
  • Le but de la collecte,
  • Les bases légales : elles donnent droit à l’organisme de collecter et de traiter les renseignements personnels de l’utilisateur (contrat, consentement de la personne concernée…),
  • Le caractère obligatoire ou facultatif de la collecte des données,
  • Les catégories de destinataires des données : toutes les personnes et organismes qui ont besoin d’accéder aux données (responsables informatiques, sous-traitants, associations…),
  • Le délai de conservation des données et les conditions de suppression,
  • Le droit des personnes concernées, notamment le droit d’accès, de modification, de suppression et de portabilité des données,
  • Les coordonnées du délégué à la protection des données (adresse e-mail),
  • Les droits de réclamation auprès de la CNIL.

En cas de collecte indirecte, la déclaration de protection doit également contenir la catégorie des données recueillies et les sources utilisées pour la récupération.

Il n’y a pas de modèle type attendu.

Pour plus d’informations :

  • Faut-il envoyer les articles du RGPD signés par chacun de nos sous-traitants ?

Oui, ceci est nécessaire. Si vous n’avez pas eu un accord écrit du PRIF de cette sous-traitance, vous devez le demander. Dans ce cas, ce texte accompagnateur est à transmettre avec les articles signés :

« Nous souhaitons faire appel à un prestataire (nom et prénom + nom de la société) dans le cadre de la convention de partenariat et nous vous demandons votre accord. Nous nous engageons à ce qu’il respecte la règlementation relative au RGPD. Nous vous joignons les articles signés. »

Pour rappel, en tant que partenaire opérateur du PRIF, vous êtes responsables de la conformité RGPD de vos sous-traitants.

  • Quels certificats informatiques faut-il fournir au PRIF ?

Il faut préciser sur quel système d’information vous travaillez et fournir la liste des logiciels utilisés.

Selon les éléments à votre disposition/mis en place, vous pouvez également fournir :

  • Certifications de produits/services agréés par la CNIL ou l’ANSSI,
  • Antivirus utilisé sur les postes de travail (les mises à jour doivent être réalisées régulièrement),
  • Normes ISO (par exemple la norme ISO 22701 qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles),
  • Diplôme du responsable informatique,
  • Assurance cyber-risque.

Nous vous recommandons de suivre le MOOC de l’ANSSI sur la cybersécurité : Bienvenue | SecNumacadémie (secnumacademie.gouv.fr), une attestation de réussite vous sera délivrée.

  • Est-ce que la CNIL a émis des recommandations en termes de logiciels à utiliser ?

Oui, la CNIL recommande de limiter l’utilisation des outils américains (données hors UE). Pour plus d’exemple, consulter le MOOC de l’ANSSI sur la cybersécurité : Bienvenue | SecNumacadémie (secnumacademie.gouv.fr).

  • Faut-il vous envoyer nos contrats de sous-traitance avec nos sous-traitants ultérieurs ?

Non, nous ne demandons pas les contrats de sous-traitance. Nous demandons uniquement la liste de vos sous-traitants ultérieurs ainsi que les articles 28 et 46 du RGPD signés par leurs soins. Nous vous recommandons tout de même de vous assurer que vos contrats sont formalisés et conformes au niveau RGPD en cas de contrôle de la CNIL.

  • Sous quel format devons-nous présenter les procédures en cas de demande d’exercice de droit ?

Il n’y a pas de format précis attendu. Vous devez décrire votre procédure en cas de demande d’exercice de droits :

  • A quelle adresse mail le participant envoie-t-il la demande ?
  • Qui traite la demande ? Quelles actions sont mises en place ? Sous quel délai ?

N’oubliez pas d’accuser réception de la demande.

Vous devez également décrire votre procédure en cas de violation de données :

  • Quels acteurs, quelles actions et quels délais ?

Pour rappel, la CNIL doit être informée sous 72h de la violation des données. Vous devez également informer le PRIF.

  • Une analyse d’impact est-elle demandée par le PRIF ?

Non, elle n’est pas demandée à ce jour. En revanche, si un jour la CNIL nous le réclame lors d’un contrôle, nous comptons sur vous pour travailler avec nous pour l’établir dans les délais.

Pour plus d’informations :

  • Devons-nous obligatoirement mettre en place toutes les certifications recommandées ? Avons-nous besoin d’une certification HDS ?

Nous ne pouvons que vous les recommander pour assurer une sécurité et une conformité maximale. Une certification HDS n’est pas obligatoire à ce jour.

Pour plus d’informations :

  • Les sous-traitants ultérieurs doivent-ils également fournir un registre de traitements au PRIF ?

Non, ceci n’est pas demandé à ce jour.

6. Définitions :

  • Qu’est-ce qu’une donnée personnelle ?

Il s’agit de toute donnée directe ou indirecte liée à une personne physique qui permet de l’identifier (nom, prénom, âge, numéro de sécurité sociale, email, numéro de téléphone, adresse…).

Pour plus d’informations :

  • Qu’est-ce qu’une donnée sensible ?

Il s’agit d’une donnée personnelle informant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques ou biométriques, données de santé…).

  • Qu’est-ce qu’un Délégué à la Protection des Données ?

Il est le garant de la conformité en termes de protection des données. Il est indépendant, non responsable (la responsabilité est portée par le responsable du traitement). Il a une obligation de confidentialité. Il informe et conseille le responsable de traitement, sensibilise les collaborateurs, contrôle la conformité des activités et vérifie la bonne tenue des documents de contrôle. Il est également l’interlocuteur avec la CNIL. Il doit avoir de solides bases juridiques tout en maitrisant les process métier de son organisation.

  • Qui est le responsable de traitement ?

Il s’agit de la personne en charge du traitement de la donnée. Il est responsable des traitements de données. Il s’agit du PRIF dans le cas de la sous-traitance avec les partenaires opérateurs.

  • Qu’est-ce que le traitement de données personnelles ?

Il s’agit de toute opération qui porte sur la donnée personne (collecte, saisie, communication, extraction). Ceci peut incorporer : le remplissage de la feuille d’émargement, du questionnaire d’évaluation (ou d’autres questionnaires), le recueil de coordonnées dans le cadre d’un salon ou d’un forum…

  • Qu’est-ce qu’une donnée de santé ?

Selon la CNIL, les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

  1. les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  2. les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
  3. les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

Pour plus d’informations :

  • Qu’est-ce qu’un sous-traitant ultérieur ?

Un sous-traitant ultérieur est une personne morale ou physique à laquelle le partenaire opérateur du PRIF a recours dans le cadre de la convention de partenariat signée avec le PRIF pour réaliser ses activités. Concrètement, il peut s’agir de coach, d’animateur, de nutritionniste, avec qui le partenaire opérateur du PRIF a un contrat de sous-traitance. 

Le partenaire opérateur du PRIF doit obligatoirement demander l’autorisation préalable et écrire du PRIF pour avoir recours à un sous-traitant ultérieur dans le cadre des activités proposées (animation d’atelier, participation aux salons/forums…).

 

Certains éléments de réponses aux questions posées dans cette FAQ proviennent du site internet de la CNIL, qui en détient les droits d’auteur : https://www.cnil.fr/.