Etat des lieux conformité RGPD

Préambule

Tout organisme de logement social est amené à gérer des données à caractère personnel qui, sont toutes les informations concernant une personne ou relatives à cette personne :

  • Données directement identifiantes : nom/prénom, numéro de sécurité sociale, photo, empreinte, …
  • Données indirectement identifiantes (qui permettent, d’une manière ou d’une autre, de « remonter » à une personne) : numéro unique demandeur, numéro de locataire, numéro de téléphone, …
  • Toutes les données relatives à une personne : contrats et abonnements, horaires effectués, notes de frais, images, situation sociale, données de santé, …

Ces données vont concerner tout autant les salariés des organismes, que les demandeurs de logements, et les locataires. Le fait de posséder de telles données impose le respect de la loi dite « Informatique et Libertés » et, depuis le 25 mai 2018, du Règlement Général sur la Protection des Données (dit RGPD).

Ces textes édictent des principes et des règles ; leur non-respect peut entraîner des sanctions lourdes (suite à une plainte ou encore un contrôle de la CNIL), sanctions qui peuvent être rendues publiques (avec ce que cela implique en termes d’image).

De par ses métiers, les organismes de logements sociaux recueillent, gèrent et échangent de nombreuses données à caractère personnel, dont des données dites sensibles (au sens de la Loi « Informatique et Libertés » ou encore appelées Catégories particulières de données au sens du RGPD (données de santé par exemple).

Aussi, l’ensemble des organismes ci-dessous identifié, a souhaité faire appel à une société de conseil spécialisée afin de réaliser un état des lieux de leur situation au regard de la Réglementation.

Finalité

La finalité de cet état des lieux est d’effectuer un inventaire des traitements (gestion du personnel, gestion de la clientèle, gestion du contentieux, vidéosurveillance, …) mis en œuvre, de détecter les non-conformités (les écarts par rapport aux principes du RGPD).

Méthodologie proposée

L’état des lieux de conformité sera effectué dans les locaux de chaque organisme afin :

  • d’identifier l’ensemble des traitements relevant de la règlementation applicable sur les données à caractère personnel ;
  • d’identifier le niveau de maturité RGPD actuel de chaque organisme ;
  • de déterminer les points de non-conformité et de proposer des actions correctives ; ∙ de construire un plan d’actions.

Il pourra notamment consister en une série d’entretiens avec les personnes en charge des différents traitements et/ou responsables des différents services.

Ces entretiens permettront non seulement d’identifier les traitements et leurs caractéristiques mais également de présenter la démarche et de sensibiliser aux aspects de la réglementation sur les données à caractère personnel. Ils se déroulent sous un mode déclaratif et, si nécessaire, sont suivis d’échanges (par mail principalement) afin de préciser certains points.

Chaque traitement est alors analysé afin d’obtenir les éléments nécessaires au contrôle de la conformité :

  • Finalité ;
  • Personnes concernées ;
  • Catégories de données ;
  • Catégories de destinataires ;
  • Durée(s) de conservation ;
  • Respect des droits des personnes :
    • Information des personnes (mentions) ;
    • Consentement / Opposition ;
    • Accès ;
  • En cas de sous-traitance : présence et pertinence d’une clause de sous-traitance ;
  • Localisation des données / Transferts hors U.E. ;
    • Mesures de sécurité techniques et organisationnelles.

Le Titulaire du marché proposera un planning détaillé des rendez-vous (service concerné, durée d’entretien) préparé en amont et adapté pour chaque organisme selon leur taille et organisation (présence d’agences ou non, domaines d’activités,…).

Pour mener à bien ses missions, un certain nombre de documents nécessaires au bon déroulement de celle-ci pourront être communiqué (principalement par mail au format PDF) au Titulaire du marché en amont, en cours ou suite aux entretiens : bail, contrat de travail, fiche d’entretien, contrats avec des prestataires ou sous-traitants, procédures mises en place, registre des traitements, charte informatique, politique d’habilitations,…

Le rapport d’état des lieux

Suite à l’état des lieux de conformité, le soumissionnaire rédigera un rapport contenant les éléments suivants :

  • Informations générales :
    • Axes de mise en conformité ;
    • Préconisations transverses à plusieurs ou tous les services ;
    • Liste des traitements avec, pour chaque :
    • Non conformités éventuelles avec tous les éléments nécessaires de justification ;
    • Préconisations : ▪ actions à mettre en œuvre ;
      ▪ mention à ajouter sur tel ou tel documents ;
      ▪ durées de conservation à respecter
      ▪ mesures de sécurité à ajouter ;
      ▪ Convention ou clause à faire signer ;
      ▪ Éléments communiqués sans base légale ;
      ▪ nécessité d’une Étude d’Impact sur la Vie Privée (EIVP, art. 35) ;
      ▪ formalités CNIL réalisées avant le 25 mai 2018.
  • De manière transversale, et si nécessaire, gestion de la problématique des données hébergées en dehors de l’Union Européenne.

S’ajouteront à ce rapport 4 documents :

  • Le registre des activités de traitement ;
  • Le plan d’action (traitement, action, priorité, recommandations, commentaires, …), véritable « feuille de route » de mise en conformité. Le plan d’actions sera donc pragmatique et donnera les préconisations réalisables et adaptées à l’environnement de travail de chaque organisme ;
  • Une analyse des documents transmis dans le cadre de l’état des lieux de conformité qui permet de s’assurer de la conformité de chacun aux principes de réglementation (et en particulier la conformité des mentions d’information, article 48 de la Loi « Informatique et Libertés », articles 12 à 14 du RGPD) ;
  • Des fiches conseils permettant à chaque organisme, au regard du plan d’actions qui lui sera remis, de disposer des éléments nécessaires et utiles pour se mettre en conformité au RGPD (modèles de mentions légales d’information, modèles de formulaire de recueil de consentement, précisions sur les zones de commentaires libres, utilisation des mots de passe, clauses de sous-traitance, durée de conservation, bases juridiques,…).

Réunion de restitution

Le rapport produit sera explicité au sein de chaque organisme et mettra en avant, notamment via un support de projection (diaporama,…) le résultat du diagnostic et les préconisations pour explications auprès de la Direction et/ou du personnel concerné.

Catégories:

RGPD