Règlement Général sur la Protection des Données

Aller à : navigation, rechercher

Présentation

L'objet de cette page est de présenter le Règlement Général sur la Protection des Données également appelé RGPD.

Le logiciel OpenFlyers contient des fonctionnalités en lien avec le RGPD. Elles sont regroupées dans Admin > Structure > Données > Conservation des données.


Le Règlement Général sur la Protection des Données (RGPD) encadre le traitement des données personnelles sur le territoire de l'Union Européenne. Il a été adopté le 14 avril 2016 par le Parlement européen. Il responsabilise les organismes à la collecte et au traitement des données personnelles et renforce le droit privé. Il renforce le contrôle par les citoyens de l'utilisation qui peut être faite des données les concernant. Il est entré en vigueur le 25 mai 2018.

Ce règlement européen est retranscrit dans la loi française au travers de la Loi française Informatique et Libertés de 1978 qui a été révisée en conséquence. Voir la version en vigueur.

Base légale

Chaque traitement de données personnelles doit reposer sur l'une des 6 bases légales définies dans le RGPD :

  • Consentement : la personne dont on traite les données personnelles a consenti librement, c'est à dire sans y être contrainte, au traitement de ses données
  • Contrat : le traitement est rendu nécessaire pour permettre l'exécution d’un contrat
  • Obligation légale : le traitement est rendu nécessaire par une réglementation
  • Intérêt public : le traitement est rendu nécessaire pour l’exécution d’une mission d’intérêt public
  • Intérêt légitime : le traitement est rendu nécessaire pour la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées
  • Intérêts vitaux : le traitement est rendu nécessaire pour la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers

Voir la page Les bases légales de la CNIL pour plus de précisions

Conditions générales

Pour respecter le RGPD, les mentions suivantes doivent figurer dans les conditions générales de vente ou le règlement intérieur :

  • L'identité et les coordonnées du responsable du traitement des données personnelles
  • La finalité de la collecte
  • Le fondement juridique du traitement ; c'est à dire ce qui donne le droit à l'organisme de traiter les données, par exemple le consentement de l'utilisateur
  • Le destinataire des données, ceux qui y auront accès une fois les données collectées
  • La durée de conservation des données
  • Les droits d'une personnes sur ses données
  • Le droit d'introduire une réclamation auprès de la CNIL

Référence documentaire :

Conservation des données

Des données personnelles ont une durée de conservation qui doit être déterminée par le responsable du traitement en fonction de l'objectif de la collecte.

Cycle de vie des données

Pour un traitement de données, les données poursuivent des phases successives, c'est ce qu'on appelle le "cycle de vie" des données personnelles. Il existe trois phases :

Conservation en base active

Il s'agit de la durée nécessaire à la réalisation de l'objectif ayant justifié la collecte. Pendant cette phase les données doivent être facilement accessibles dans l'environnement. La durée du traitement est définie par la règlementation et par le responsable du traitement des données.

Archivage intermédiaire

Pendant cette phase, les données ne sont plus utilisées pour atteindre l'objectif fixé, mais présentent encore un intérêt administratif, ou doivent être conservées pour une obligation légale. Ces données peuvent être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.

Archivage définitif

Certaines données peuvent être archivées sans limitation de durée. Cela ne doit concerner que des traitements de données mis en œuvre dans l'intérêt public (pas scientifique, statistique ou historique). Cela concerne essentiellement le secteur public.

Ces deux étapes d'archivage ne sont pas obligatoires pour les données personnelles, une donnée peut passer directement de la conservation en base active à la suppression.

L'archivage doit isoler les données de leur base d'utilisation. La séparation peut se faire de manière physique en extrayant les données de la base et en les conservant dans une base d'archivage, ou bien elle peut se faire de manière logique et les données peuvent rester sur la base active à condition qu'elles soient clairement identifiées et isolées. Dans les deux cas, leurs accès doit être restreint aux seules personnes habilitées.

Référentiel de durée de conservation

Les référentiels répertorient, par secteur, les durées de conservation en base active et en archivage intermédiaire résultant des textes (législatifs ou réglementaires), ainsi que les durées recommandées par la CNIL.

Lors des travaux d’identification des durées applicables aux traitements, les référentiels constituent un outil d’aide à la prise de décision qui oriente l’organisme vers les durées obligatoires ou recommandées pour ses traitements.

Le renvoi aux référentiels participe également à la documentation « RGPD » de l’organisme en ce qu’ils précisent les fondements justifiant les choix opérés en matière de conservation des données collectées.

Les référentiels couvrent uniquement les deux premières phases de vie des données personnelles.

Durées de conservation

La durée de conservation pour chaque phase doit être définie au préalable et doit être choisie selon plusieurs critères :

  • Est ce qu'il y a des règles juridiques définie par le RGPD sur ce type de données (par exemple pour la comptabilité) ?
  • Pendant combien de temps ces données doivent-elles être traitées pour atteindre leur but ?
  • Est-ce que ces données doivent être conservées afin de protéger la structure (par exemple en cas d'accident ou d'incident, de fraude fiscale, de transport illicite, etc.) ?

C'est au responsable du registre de traitement de données de définir ces durées. Il peut s'aider des documents fourni par la CNIL, comme ce guide sur les durées de conservations.

Le plus souvent, il faut supprimer les données personnelles des personnes inactive depuis 3 ans. Il est possible de les anonymiser pour garder les valeurs statistiques. Les anonymiser c'est supprimer assez d'information pour ne pas pouvoir identifier une personne avec ses données. Cependant, pour l'aéronautique, nombre de données sont nécessaires et doivent être conservées au-delà de cette durée pour protéger la structure ou respecter des règles de conservation (données comptables, carnets de route, suivi de la maintenance, livrets de progression, etc.)


Chez OpenFlyers

Au sein d'OpenFlyers les durées de conservations sont à définir par le responsable de traitement des données de la structure. OpenFlyers établi des valeurs par défaut et des valeurs minimales

Durée de conservation
Catégorie métier Durée de conservation par défaut Durée de conservation minimale Commentaire
Compte 10 ans 10 ans Cf chapitre Pièce comptable
Entrée comptable 10 ans 10 ans Cf chapitre Pièce comptable
Formation 3 ans 1 an OpenFlyers impose une durée minimale de 1 an faute de référentiel *
Réservation 3 ans 1 an OpenFlyers impose une durée minimale de 1 an faute de référentiel *
Utilisateur 3 ans 1 an OpenFlyers impose une durée minimale de 1 an faute de référentiel *
Validités 3 ans 1 an OpenFlyers impose une durée minimale de 1 an faute de référentiel *
Vols 3 ans 1 an OpenFlyers impose une durée minimale de 1 an faute de référentiel *

(*) OpenFlyers encourage fortement les responsables de traitement de données à garder une durée de conservation moyenne, similaire à celle mise par défaut. La durée minimale imposée est présente pour poser une limite basse et non pour donner un exemple.

Droits des personnes sur leur données

Chaque individu possède des droits sur ses données personnelles. Il est important de donner un moyen aux personnes d'exercer leur droit.

Référence documentaire : https://www.cnil.fr/fr/respecter-les-droits-des-personnes

Droit d'accès

Pour une donnée partagée, l'utilisateur doit pouvoir accéder à ce qu'il a divulgué.

Sur la plateforme OpenFlyers, l'utilisateur peut consulter sa fiche personnelle et accéder à toutes les données liées à lui par les rapports

Droit d'effacement

Le droit d'effacement ou le droit à l'oubli est au cœur du RGPD. Cela consiste à supprimer les données personnelles d'un utilisateur au cours du temps quand ces données deviennent obsolète, qu'elles arrivent à expiration.

Sur OpenFlyers, ce droit est mis en place avec la page de gestion des données.

Droit à l'information

Lorsqu'une collecte de données personnelles est faite, il faut informer les personnes concernées et laisser des mentions d’information qui doit comporter les éléments suivants :

  • Pourquoi ces données sont collectées ?
  • L’autorisation que l'entreprise a pour les collecter (juridique, consentement de la personne)
  • Ceux qui ont accès aux données
  • La durée de conservation des données
  • Modalité des droits des personnes concernées
  • Précisez le pays si ces données sont échangées à l’extérieur de l’UE.

Les mentions peuvent être regroupés dans un document que l’utilisateur pourra consulter et il faut le renvoyer vers ce document sur l'interface où la collecte se fait. Si ces conditions sont remplies, l’obligation de transparence est validée.

Ces informations sont regroupés dans les conditions générales d'OpenFlyers et doit également figurer sur le règlement intérieur, ou les conditions générales de ventes propre à chaque entreprise.

Droit de limitation du traitement

L'utilisateur peut demander à ce que ses données ne soient pas traiter, tout en laissant l'entreprise les conserver. Ce droit peut être utilisé lorsque les personnes contestent l'exactitude de leurs données et de la façon dont elles sont traitées, ou bien si elles souhaitent les supprimées, mais que l'entreprise doit conserver les données pour des raisons légales.

Droit d'opposition

Toute personne peut s'opposer à ce que ses données à caractère personnel soient utilisées à des fins commerciales et ce sans avoir à se justifier.

Droit de portabilité

Ce droit permet aux personnes de récupérer leur données personnelles dans un format lisible par machine en vue de les exploiter à des fins personnelles ou de les transmettre à un concurrent.

Droit de rectification

Pour une donnée collectée, l'utilisateur propriétaire de cette donnée doit pouvoir la modifier.

La rectification est possible via la fiche personnelle de l'utilisateur

Lexique anglais français

La CNIL a un lexique complet des équivalences anglophones du vocabulaire sur le RGPD disponible sur ce lien.

Procédures pour être en conformité avec le RGPD

Pour être en conformité avec le RGPD, il faut :

Registre de traitement des données

Le terme officiel est "registre des activités de traitement". Il permet de recenser les traitements de données et de disposer d'une vue d'ensemble de ce qui fait avec les données personnelles. Il participe à la documentation de la conformité RGPD. Il est prévu par l'article 30 de la règlementation RGPD.

Ce document de recensement et d'analyse doit refléter la réalité des traitements des données personnelles et permet d'identifier pour chaque traitement de données personnelles :

  • La base légale du traitement
  • les parties prenantes qui interviennent dans le traitement des données (représentant, sous traitants)
  • les catégories de données traitées
  • La finalité, c'est à dire à quoi servent les données (ce qu'on en fait)
  • qui accède aux données
  • à qui les données sont communiquées
  • combien de temps elles sont conservées
  • comment elles sont sécurisées
  • Ce registre peut servir d'outil de pilotage et de démonstration de la conformité au RGPD d'une entreprise. Il permet de documenter le traitement des données et de se poser les bonnes questions sur l'utilité des données au sein de son entreprise.

Le registre permet de faire l'état des lieux sur les données et d'établir un plan d'action de mise en conformité des traitements selon les règles de protections des données.

Tout organisme public ou privé, peu importe sa taille, doit tenir un tel registre si cet organisme traite des données personnelles. Pour les organismes de moins de 250 salariés, une dérogation peut leur être apporté sur la tenue de leur registre. Ils ne peuvent inscrire sur leur registre de traitements de données les informations suivantes :

  • les traitement non occasionnels (gestion de la paie, gestions des clients, des fournisseurs etc...)
  • les traitements susceptibles de comporter un risque pour les droits et les libertés des personnes (systèmes de géolocalisation, vidéosurveillance etc...)
  • les traitements qui portent sur des données sensibles (données de santé par exemple)

Relation avec le sous-traitant

Un sous traitant traite des données personnelles sur instruction et sous l’autorité d’un responsable de traitement.

Le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE. Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.

En tant que sous-traitant, il est essentiel d'offrir au client les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. C'est au rôle du sous traitant d'assister et conseiller le client dans la conformité de certaines obligations.

Les différents éléments à mettre en place vis à vis de l'entreprise cliente sont :

  • Etablir dans un contrat les obligations de chaque partie selon l'article 28 du règlement européen
  • Recenser à l'écrit les instructions pour que le client respecte le RGPD
  • Préciser si l'entreprise sous-traitante fait elle même appelle à un sous traitant
  • Proposer les outils nécessaires pour mettre ne œuvre le traitement de données en respectant les exigences du règlement européen
  • Garantir la sécurité des données traitées (confidentialité des employés, détruire les données au terme du contrat)
  • Proposer un assistance d'alerte et de conseil

L'organisme sous traitant doit désigner un délégué à la protection des données selon l'article 37 du RGPD. Il doit le faire si :

  • C'est une autorisé ou un organisme public
  • L'organisme réalise pour le compte du client un suivi régulier et systématique des personnes à grandes échelles
  • L'organisme traite à grande échelle, pour le compte du client, des données dites sensibles ou relatives à des condamnations pénales et infractions

L'article 28

Dans cette partie se trouve les informations principales de l'article 28 du RGPD concernant les sous traitants.

  • Un traitement pour le compte d'un responsable du traitement exécuté par un sous traitant doit respecter les exigences du RGPD
  • Le sous traitant ne peut recruter un autre sous traitant sans l'autorisation écrite du responsable du traitement.
  • Le traitement par un sous traitant doit être régi par un contrat (ou autre acte juridique) qui lie le sous traitant du responsable de traitement. Ce contrat dit contenir l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées. Le sous traitant doit :
    • traiter des données à caractères personnelles uniquement sur instruction du responsable de traitement
    • veiller à ce que les personnes autorisées à traiter ces données s'engagent à respecter la confidentialité des données
    • tenir compte de la nature du traitement.


https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Sources

https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

https://www.cnil.fr/fr/respecter-les-droits-des-personnes