Objectif 1 : Appréhender les enjeux en matière de traitements de données à caractère personnel
Comprendre les enjeux de la protection des données à caractère personnel
- Quoi ? Pour qui ? Quand ?
- Les acteurs de la protection des données à caractère personnel
- Les nouveaux paradigmes
Identifier les situations et connaître le déroulement d’un contrôle de la Cnil
- Augmentation des sanctions de la Commission Nationale de l’Informatique et des Libertés (Cnil) : plaintes et réclamations, contrôles de la Cnil, sanctions encourues (typologie et quantum),…
- Procédures de la Cnil appliquées au secteur du logement social
- Mise en situation : les actions à déployer suite à un contrôle de la Cnil
Objectif 2 : Initier une démarche de mise en conformité et organiser et documenter ses processus
Désigner un responsable en charge de la protection des données à caractère personnel
- Opportunité ou nécessité de désigner un data protection officer (ou DPO)
- Désignation interne ou externalisation, possibilité de mutualisation, etc.
- Qui peut être désigné ? Quelles doivent être ses missions ?
- Nouvelle démarche et organisation d’entreprise : vers une gouvernance de la « donnée »
Réaliser un recensement / audit de conformité des traitements
- Déterminer le type d’audit approprié en fonction de la maturité et des besoins de l’organisme concerné
- Cartographier les traitements (attribution, gestion locative, contentieux,…)
- Analyser le niveau de conformité et le niveau de risque associé de chaque traitement au regard des principes essentiels du RGPD appliqués au secteur du logement social
- Chek-list : planifier les actions et chantiers prioritaires
Définir et formaliser une politique de gouvernance de la donnée
- Organisation interne
- Elaboration du (des) registre(s) des traitements
- Choix de l’outil adéquat
- Complétion du registre (contenu obligatoire ? facultatif ?)
- Actualisation du registre
- Documentation
- Atelier : identifier le référentiel documentaire à déployer à politique de protection des données, code de bonne conduite, politique de sécurité des données, procédure de gestion des failles de sécurité, politique de conservation, d’archivage et de purge des données, procédure d’analyse d’impact, politique de sensibilisation – information – formation, monitoring des zones de commentaires libres
Objectif 3 : Comprendre et maîtriser les éléments clés d’une mise en conformité concrète et adaptée aux contraintes et obligations en matière de traitements de données à caractère personnel
Comprendre les principes directeurs en matière de protection des données
- Les principes directeurs à analyser pour chaque traitement
- L’accountability : mettre en place les mesures adéquates, et pouvoir démontrer leur effectivité et leur efficacité
- La privacy by design et by default : tenir compte de la protection des données « dès la conception »
Analyser la conformité des traitements de données à caractère personnel
- Licéité et loyauté de la collecte de données à caractère personnel
➢ Focus sur les traitements licites identifiés par la Cnil dans le secteur des logements sociaux
➢ Les hypothèses et les modalités de recueil du consentement des personnes concernées
➢ Focus sur les modalités d’information des personnes concernées (locataires, salariés, etc.) du traitement de leurs données à caractère personnel
- Limitation des finalités et minimisation des données
➢ Minimisation et proportionnalité des données
➢ Focus sur les spécificités des traitements visant à assurer la sécurité et la sûreté du parc locatif (vidéosurveillance, contrôle d’accès,…)
➢ Focus sur les spécificités des traitements de gestion du contentieux et données relatives à des infractions et condamnations
➢ Focus sur les zones de commentaires libres, le suivi des échanges avec les locataires, les réclamations,…
➢Atelier : identification des finalités poursuivies par les traitements mis en œuvre par les bailleurs sociaux (gestion des candidats, gestion des locataires, gestion des salariés,…)
➢Check-list : les données sensibles, précautions et réflexes
➢Mise en situation : les fichiers de travail, risques associés et bonnes pratiques
- Vigilance quant aux traitements particuliers
- Pratique des listes négatives
- Proportionnalité des durées de conservation
➢ Focus sur les recommandations de la Cnil en matière de durées de conservation des données à caractère personnel
➢ Cas pratique : application au secteur du logement social,
- Justification des destinataires et spécificités liées au logement social
- Relations avec les organismes publics et les administrations
- Atelier : savoir répondre à une demande de communication des données émanant d’un tiers
Respecter les droits des personnes concernées
- Formaliser les droits des personnes concernées (locataires, membres du personnel, ….) : information et recueil du consentement, droits préexistants (interrogation, accès, effacement, rectification, opposition), nouveaux droits (droit à l’oubli, droit à la portabilité, droit à la limitation, etc….)
- Cas pratique : savoir répondre à une demande d’accès à ses données présentée par une personne concernée (ex : salarié, locataire,…)
Assurer la sécurité et la confidentialité des données
- Mesures techniques et opérationnelles
- Atelier : sensibilisation – la sécurité est l’affaire de tous !
- Analyses d’impact
- Failles de sécurité (ou violations de données)
- Check-list : réagir en cas de violation de données
Organiser et contractualiser les relations entre les différents acteurs
- Avec les membres du personnel
- Avec les sous-traitants
- Avec les autres responsables de traitement : l’hypothèse de la coresponsabilité
- Encadrement des flux transfrontières de données vers des Etats non-membres de l’Union européenne
- Modèle : savoir utiliser les clauses contractuelles types élaborées par la Commission européenne
