Retrouvez ci-dessous le dernier article du blog et ceux qui l'ont précédé, classés par thèmes.
Plusieurs d’entre vous ont participé à l’une des trois rencontres organisées par la MONA avec un cabinet juridique pour en savoir plus sur la mise en conformité avec le RGPD. Tout le monde n’en revient pas rassuré quant aux exigences de ce Règlement Général pour la Protection des Données, intégré dans la loi française le 21 juin dernier (mise à jour de la Loi dite informatiques et libertés).
Sans sous-estimer le travail à faire ni notre responsabilité, il y a malgré tout de quoi se rassurer.
Beaucoup de membres du réseau SIRTAQUI ne font pas de traitement à grande échelle, ne gèrent pas de données personnelles sensibles (information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique). Les mesures à prendre sont donc relativement simples et demandent du bon sens et de l’organisation.
La nomination d'un DPO (Data Protection Officer ou Délégué à la protection des données) peut être obligatoire, elle est en tout cas recommandée, à titre de bonne pratique, pour les organismes privés chargés d’effectuer des missions de service public ou exerçant l’autorité publique. Désigner un interlocuteur dédié permet en effet de mieux se mettre en conformité puisqu'une personne va pouvoir se former, suivre et coordonner les actions à mener.
Il y aura de l’aide pour cela, en souscrivant à la proposition de la MONA d’un travail commun avec un cabinet juridique, en profitant de la mutualisation qui devrait se mettre en place entre institutionnels du tourisme, ou encore grâce à la CNIL qui met en ligne une documentation très complète pour bien démarrer.
Voici les 6 étapes proposées :
- désigner un pilote (vous devez donc nommer une personne chargée de ce dossier et lui accorder du temps pour cette mission, même si elle ne devient pas DPO),
- cartographier vos traitements de données personnelles (rencontre de chaque membre de votre personnel, des RH au service accueil) en élaborant un registre pour chaque jeu de données (modèles disponibles en ligne),
- prioriser les actions en identifiant les actions à mener pour la mise en conformité, en commençant par tout ce qui se voit (mentions légales sur les formulaires de contacts ou de commandes de brochures, charte de confidentialité des sites internet, …),
- gérer les risques (si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées !),
- organiser les processus internes, ce qui passe notamment par des actions de sensibilisation simples (communiquer des règles de base comme écrire un mèl en copie cachée (Cci) quand les destinataires n’ont pas besoin de se connaître entre eux, fermer sa session quand on quitte le bureau, ne pas diffuser un fichier comprenant des données personnelles sans, s’il y a doute, s’être assuré qu’on y est bien autorisé, …),
- documenter la conformité, soit constituer et regrouper la documentation nécessaire.
Et côté SIRTAQUI ?
Les données à caractère personnel contenues dans le SIRTAQUI se trouvent dans la rubrique Qui contacter ?, que le Réseau s’est toujours engagé à garder pour son seul usage (voir la note ci-dessous).
Ce sont aussi des identifiants de connexion :
- les vôtres à Tourinsoft, que Faire-Savoir va rendre totalement personnel (vous régénérerez votre mot de passe automatiquement, sans passer par l’administrateur général de votre département) ;
- ceux des socios-professionnels au VIT, qui vont aussi faire l'objet d'une évolution.
Prenez connaissance des engagements de Faire-Savoir, notre sous-traitant.
Voici l'adresse du flux RSS de ce blog :
http://sirtaqui-aquitaine.jimdo.com/rss/blog/