RGPD comment aborder la mise en conformité des activités de votre structure avec ce règlement
RGPD et médiateurs numériques dans une structure
Dans une structure, la tentation est grande pour la direction, les collègues... de considérer que "le numérique" c'est le boulot, la responsabilité, "le truc" du médiateur numérique.Et que tout ce qui implique d'avoir recours à un ordinateur ou internet c'est de fait "du numérique".
Par conséquent, il n'est pas inenvisageable que parfois, on refile la question de la mise en conformité de la structure avec le RGPD au médiateur numérique...
SAUF QUE OUI MAIS NON...
La mise en conformité au RGPD c'est avant tout une question juridique, qui implique toute la structure et ses pratiques quant à la gestion des données personnelles.
S'il est souhaitable que le médiateur numérique de la structure soit associé à la démarche, à différent niveaux, il n'est pas juriste, ni responsable des pratiques de ses collègues, ni détenteur de suffisament de pouvoir au sein de sa structure pour pouvoir les faire changer d'habitudes/d'outils.
Démarche, idées reçues
"Oui, mais c'est conforme #RGPD, cet outil, au moins ?" ➡ debunking point par point de quelques idées reçues trop souvent répétées. Un thread #MythesRGPD #enseignement . pic.twitter.com/OzNDhMOygZ
— Monsieur Relou (@MonsieurRelou) February 8, 2021
Pour une bonne compréhension de ce qui suit :
- DCP = Données à Caractère Personnel
- RT = Responsable de Traitement
https://twitter.com/MonsieurRelou/status/1358731472425918465?s=20
La conformité n’est pas celle d’un outil, mais celle d’un traitement de DCP lié à une tâche (administrative ou pédagogique). Un même outil peut engendrer des traitements très différents, selon les finalités recherchées ou le régime contractuel privilégié, par exemple.
L’entrée par outil n’est pas pertinente, car centrée sur les usages visibles et non sur les conditions (souvent invisibles pour l’enseignant) auxquelles les traitements de DCP sont opérés. Or, c’est précisément là que se joue cette fameuse conformité.
La conformité n’est pas "constatable sur pièces”. Elle doit pouvoir être démontrée : respect de standards techniques (par l’opérateur), souscription d’un régime contractuel protecteur (par le RT), mise en place de dispositions locales spécifiques (CGU, registre, info public).
La conformité RGPD ne peut pas faire l’économie de sa propre démonstration. Les textes imposent qu’elle soit construite, documentée et assumée par le responsable de traitement, au nom du principe de “redevabilité” (accountability).
La conformité n’est pas “déclarative”, au sens d’annoncée par le prestataire et réputée démontrée (hop pouf). C’est le résultat d’un process interne (et actif !) de responsabilisation, au sein de la structure souhaitant contractualiser avec le sous-traitant.
Les décisions de conformité ont une portée locale, limitée à la structure pilotée par le RT ayant validé le déploiement. La décision d’une académie (par exemple) ne peut pas préjuger de celle des autres.
L’entrée par outil n’est pas pertinente, car centrée sur les usages visibles et non sur les conditions (souvent invisibles pour l’enseignant) auxquelles les traitements de DCP sont opérés. Or, c’est précisément là que se joue cette fameuse conformité.
La conformité n’est pas "constatable sur pièces”. Elle doit pouvoir être démontrée : respect de standards techniques (par l’opérateur), souscription d’un régime contractuel protecteur (par le RT), mise en place de dispositions locales spécifiques (CGU, registre, info public).
La conformité RGPD ne peut pas faire l’économie de sa propre démonstration. Les textes imposent qu’elle soit construite, documentée et assumée par le responsable de traitement, au nom du principe de “redevabilité” (accountability).
La conformité n’est pas “déclarative”, au sens d’annoncée par le prestataire et réputée démontrée (hop pouf). C’est le résultat d’un process interne (et actif !) de responsabilisation, au sein de la structure souhaitant contractualiser avec le sous-traitant.
Les décisions de conformité ont une portée locale, limitée à la structure pilotée par le RT ayant validé le déploiement. La décision d’une académie (par exemple) ne peut pas préjuger de celle des autres.
Voir aussi
Explications détaillées de la CNIL avec des exemples de bonnes et mauvaises pratiques, pour comprendre les 4 critères (cumulatifs) de la définition du consentement en matière de traitement des données personnelles.- Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ? (FranceNum, Le portail de la transformation numérique des entreprises)
- Mettre son site internet en conformité avec le RGPD
- Incendie OVHcloud : les entreprises découvrent leur absence de sauvegardes (...) "La mise en œuvre des sauvegardes, mais surtout des plans de reprise d’activité est de la responsabilité du directeur informatique chez le client et de son PDG ! Mettre tout en œuvre pour garantir la sécurité de ses données est une obligation réglementaire, écrite noire sur blanc dans le RGPD. Ceux qui n’ont pas souscrit à une offre de PRA ou qui n’ont pas mis en place eux-mêmes un tel dispositif ne peuvent s’en prendre qu’à eux-mêmes", lance Christophe Bertrand, analyste au cabinet de conseil ESG."
Juridique PANA RGPD