Afin de répondre au RGPD de l’UE et à la Loi informatique et libertés de la CNIL, les données à caractère personnel sont des données sensibles qui ne peuvent être collectées uniquement si elles sont nécessaires à la réalisation de votre activité.
Les 5 grands principes de la RGPD :
Licéité : informez les personnes sur le traitement de leurs données en vous appuyant sur une base légale (ex. : demander le consentement avec la signature d’un contrat)
Proportionnalité et pertinence : ne collectez que les données vraiment nécessaires pour atteindre votre objectif
Durée de conservation : ne conservez les données que le temps nécessaire à la réalisation de votre objectif
Respect des droits des personnes (information, accès, rectification, opposition, non-profilage, limitation, portabilité, oubli) : organisez des modalités permettant aux personnes d’exercer leurs droits et d’y répondre dans les meilleurs délais
Sécurité et confidentialité : prenez toutes les mesures utiles pour garantir la sécurité des données (ex. techniques ou organisationnelles telles que des armoires fermées à clés)
Pour en savoir plus, consultez le site de la CNIL.
Quelques bonnes pratiques à mettre en place dans votre structure :
Identifier le responsable du traitement des données personnelles et le désigner DPO auprès de la CNIL ;
Identifier les sous-traitants qui traitent des données personnelles (prestataire informatique, expert-comptable, agence de communication, ...) et vérifier qu’une clause de confidentialité est mentionnée dans le contrat ;
Réaliser une cartographie du traitement des données nécessaires (ex. admission/retrait d’un bénéficiaire, embauche/départ d’un salarié) et mettre en place une procédure de traitement des données (définir les finalités du traitement, la durée de conservation, le niveau de sécurité en place) ;
Tenir un registre des traitements des données (ex. classeur avec les données RH, classeur avec les données des prestataires).
Pour rappel, dans le cadre de la Démarche Qualité, les SAD doivent répondre aux critères suivants :
Le critère 2.2.7 "L’ESSMS garantit la confidentialité et la protection des informations et données relatives à la personne accompagnée."
Le critère 3.15.2 "L’ESSMS définit et déploie sa stratégie numérique."
