1. Accueil
  2. RGPD et utilisation des services du GIP ARNia par ses adhérents

RGPD et utilisation des services du GIP ARNia par ses adhérents

Cette page s'adresse aux adhérents du GIP ARNia pour leur rappeler comment faire un usage des services de la plateforme respectueux des obligations du RGPD quand ils décident de lancer un traitement, et en particulier, quand ils décident de façon indépendante quelles seront les données à traiter.

Vos obligations concernant le RGPD

En tant qu’adhérent du GIP ARNia vous avez accès aux services de plateforme. Ces services peuvent traiter des données à caractère personnel et vous décidez au cas par cas de les utiliser ou pas.

Certains services vous permettent de définir de manière autonome les données que vous allez collecter et traiter. C’est le cas de services comme « Enquête en ligne » ou les télé-formulaires des « Démarches en ligne » pour ne citer que deux exemples.

Le GIP ARNia vous rappelle quelles sont les obligations du RGPD pour que l’utilisation des services de la plateforme soit respectueux de la vie privée des personnes concernées par les données traitées.

Vous devez vous assurer que les données à caractère personnel que vous traitez avec les services de la plateforme du GIP ARNia sont :

  • Traitées de manière licite, loyale et transparente au regard de la personne concernée
  • Collectées pour des finalités déterminées, explicites et légitimes. Les données ne doivent pas être traitées ultérieurement de façon incompatible avec cette finalité initiale.
  • Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
  • Traitées en base à l'un des fondements juridiques prévus par la loi :
    • Le consentement de la personne concernée,
    • Le traitement est nécessaire à l'exécution du contrat
    • Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis
    • Le traitement est nécessaire à la sauvegarde des intérêts vitaux d'une personne physique
    • Le traitement est nécessaire à l'exécution d'une mission d'intérêt public.
  • Pertinentes par rapport aux finalités pour lesquelles elles sont traitées et à jour. Le principe de proportionnalité doit exister entre vos intérêts (les raisons pour lesquelles vous collectez les données) et ceux de la personne concernée (les droits dont elle bénéficie).
  • Conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités.

Nous vous rappelons que les services qui vous permettent de décider quelles données seront traitées doivent limiter la collecte aux données strictement nécessaires à la finalité poursuivie.

Nous vous informons également que les utilisateurs ont des droits (voir le détail ci-après) par rapport à leurs données à caractère personnel et que vous, en tant que responsable des traitements que vous effectuez, vous devez garantir leur exercice effectif.

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

L’exigence de transparence du RGPD doit être satisfaite en donnant une série d’informations aux personnes concernées.

Nous avons créé une page qui fournit ces informations pour les services qui prédéterminent les données traitées. Lorsque vous utilisez des services qui vous permettent de définir vous-mêmes les données traitées, il vous incombe de fournir ces informations (par exemple dans les parties éditables du service lui-même).

Les informations à communiquer sont les suivantes :

  • L'identité et les coordonnées du responsable du traitement;
  • Les coordonnées du délégué à la protection des données;
  • Les finalités du traitement ;
  • La base juridique du traitement;
  • Les intérêts légitimes poursuivis s’ils ont été invoqué comme base juridique ;
  • Les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent;
  • Le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale;
  • La durée de conservation des données à caractère personnel ;
  • Les droits des personnes concernées mentionnés dans le point suivant (Droits des personnes concernées) ;
  • Des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • L'existence d'une prise de décision automatisée, y compris un profilage, et des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Droits des personnes concernées

Les personnes dont vous traitez leurs données à caractère personnel, ont les droits suivants :

  • Le droit d’obtenir des informations sur les données que vous détenez sur elles et les traitements mis en œuvre;
  • Dans certaines circonstances, le droit de recevoir des données sous forme électronique et /ou de vous demander de transmettre ces informations à un tiers lorsque cela est techniquement possible (veuillez noter que ce droit n’est applicable qu’aux données que vous avez collectées) ;
  • Le droit de modifier ou corriger leurs données (veuillez noter que des dispositions légales ou réglementaires ou des raisons légitimes peuvent limiter ce droit) ;
  • Le droit de demander la suppression de leurs données dans certaines circonstances (veuillez noter que des dispositions légales ou réglementaires ou des raisons légitimes peuvent nous imposer à vous ou à nous de conserver ces données et de ne pas les supprimer) ;
  • Le droit de demander de restreindre ou de s’opposer au traitement de leurs données, dans certaines circonstances (veuillez noter que des dispositions légales ou réglementaires ou des raisons légitimes peuvent limiter ces droits) ;
  • Le droit de déposer une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés. Pour cela, ils peuvent adresser un courrier à l’adresse suivante : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 Paris - Cedex 07.

Exercice des droits des personnes concernées

Nous vous informons que les personnes concernées ont le droit de vous solliciter pour faire effectifs ces droits.

Traitement portant sur des catégories particulières de données à caractère personnel

Nous vous rappelons qu’il est interdit le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

L’article 9 du RGPD permet quelques dérogations à ce principe, comme le cas où la personne concernée a donné son consentement au traitement, ou les cas où le traitement est nécessaire pour des motifs d’intérêt public importants. Nous vous invitions à consulter le texte de l’article dans son intégralité à cette adresse : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9

Traitements pour lesquels une analyse d’impact est requise

Dès qu’un traitement concerne 2 ou plus des critères issus des directrices du Contrôleur européen de la protection des données (CEPD), les traitements doivent faire l’objet d’une analyse d’impact sur la vie privée des personnes concernées.

Les types d’opération de traitement sont les suivants :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
  • Traitements de profilage faisant appel à des données provenant de sources externes
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
  • Instruction des demandes et gestion des logements sociaux
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
  • Traitements de données de localisation à large échelle

La CNIL vous propose une page dédiée et un document à télécharger ici : https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour

Démarches en ligne

Informations par rapport aux déclaration de télé-formulaires à la CNIL

Faut-il encore effectuer des déclarations à la CNIL ?
Non.

La quasi-totalité des formalités déclaratives auprès de la CNIL est supprimée depuis l'entrée en application du Règlement européen sur la protection des données le 25 mai 2018.

Pour en savoir plus sur les formalités qui resteraient à accomplir auprès de la CNIL consultez la page suivante : https://www.cnil.fr/fr/declarer-un-fichier

Vous devez donc vous concentrer sur le respect de vos obligations de fond (finalité, pertinence, durée de conservation, droits des personnes, sécurité, documentation).

RGPD

Mentions relatives à la protection de données personnelles 

Les informations relatives à la protection des données à caractère personnel sont structurées comme suit :

1.- La page Le RGPD et la plateforme de services de l'ARNia, vous donne une information détaillée de la façon dont cette plateforme traite les données à caractère personnel ainsi que toutes les informations obligatoires exigées par ce règlement.

2.- Vous pouvez prendre connaissance des cookies utilisées par ce portail sur la page Cookies - politique de confidentialité. Cette page vous permet aussi de gérer si vous voulez ou pas être suivi par notre outil de statistiques de fréquentation.

3.- Nos adhérents sont des acteurs de la protection des données à caractère personnel. A ce titre, nous avons créé la page RGPD et utilisation des services du GIP ARNia par ses adhérents, qui donne leur conseils nécessaires pour un usage conforme au RGPD de la plateforme de services de l'ARNia BFC.

4.- Vous pouvez avoir un aperçu des mesures de sécurité mises en place sur notre plateforme sur la page Sécurité de la plateforme de services du GIP ARNia.

Finalement, nous vous informons que les principes du du RGPD sont désormais intégrés au processus de conception des nouveaux services et que nos équipes et partenaires sont sensibilisés aux enjeux et opportunités de ce règlement.