La nouvelle obligation de protection des données personnelles en crèche
Le RGPDE
La réforme de la protection des données
L’informatisation des données personnelles en crèche, qu’elle concerne les familles ou les salariés, faisait déjà l’objet d’une réglementation encadrée par la CNIL (Commission Nationale Informatique et Liberté).
L’Union Européenne travaillait depuis 4 ans à l’uniformisation du traitement de ces données et a publié au Journal Officiel (2016) un nouveau règlement qui est entré en vigueur le 25 mai 2018 en France.
Les objectifs visés sont :
Le renforcement des droits des personnes :
- Information claire et accessible, y compris en direction des mineurs de – de 16 ans
- Consentement renforcé (par le parent pour les mineurs)
- Portabilité des données
- Recours collectifs
- Réparation des dommages
La responsabilisation les acteurs traitant des données :
- Minimisation du nombre de données
- Protection des données
- Alerte en cas de violation des données
- Mise en place d’outils de conformité
Le renforcement de la coopération transnationale :
- Amélioration de la régulation entre les autorités nationales
- Sanctions renforcées : elles passent de 300 000 € d’amende à un forfait de 2 à 4 % du chiffre d’affaires
Les démarches à effectuer
- Désigner un pilote : responsable de la gouvernance des données, il informe, conseille et contrôle en interne le Délégué à la Protection des Données. Ce DPO, obligatoire pour les organismes publics et en cas de traitement à grande échelle de données sensibles, est vivement recommandé pour assurer le suivi de la mise en conformité au règlement européen.
- Tenir un registre sur le traitement des données. Une version excel est disponible ici.
- Prioriser les actions de mises en conformité au règlement européen à mener :
- collecte strictement nécessaire à la poursuite de vos objectifs,
- base juridique (consentement, contrat, obligation légale)
- mentions d’information conformes
- modalités d’exercice des droits d’accès, de rectification, de portabilité et de retrait de consentement
- Vérifier les mesures de sécurité
- Gérer les risques des données susceptibles de provoquer des risques élevés pour les droits et libertés des personnes, par une analyse d’impact
- Organiser les processus internes (traitement des réclamations, alerte en cas de failles informatiques)
- Documenter la conformité pour prouver le respect de la réglementation
La réglementation impose des procédures d’archivage des données. Un guide pratique sur la conservation des données est téléchargeable.
Accédez aux ressources en cliquant :
Besoin d’un coup de pouce ?
Le registre du RGPDE est compris dans le kit RH 🙂