Étape 2 / 12
La suite de la série vous donnera des réponses à des questions pratiques concernant des sujets essentiels au RGPD qui vous aideront à devenir conforme.
Responsabiliser les acteurs concernés est l’un des enjeux majeurs du RGPD. On entend par le principe de « responsabilisation » ou « accountability » en anglais, le fait de documenter la conformité d’une organisation en matière de protection des données à caractère personnel des personnes physiques, à travers la mise en place d’une gouvernance des données personnelles.
Il s’agit d’une étape cruciale vers la mise en conformité au RGPD.
Pour cela, il faut faire l’inventaire de toutes les données personnelles que vous détenez et les examiner en se posant, entre autres, les questions suivantes :
- Pourquoi je détiens ces données et pour quelles raisons je les ai recueillis à l’origine ?
- Comment les ai-je obtenues ?
- Combien de temps je vais les conserver ?
- Quel est leur degré de sécurité (ex. chiffrement, gestion des accès) ?
- Est-ce que je compte partager ces données avec des tiers ? Sont-ils situés en dehors de l’Union européenne ? Si oui, comment m’assurer que ces tiers garantissent des mesures de sécurité suffisantes ?
- Sur quelle(s) base(s) légale(s) repose le traitement de mes données ?
Disposer d’un inventaire de toutes les données que vous détenez, au travers d’un registre des traitements, permet également aux organisations de maintenir à jour les données ou de modifier les données incorrectes.
Qui est concerné par ce principe ?
En tant que principe fondamental du RGPD, la mise en œuvre de ce principe fait partie du rôle attribué au responsable du traitement, conformément à l’article 5 du RGPD.
Quels types de données collectées par les structures d’accueil pour enfant au Luxembourg doivent faire l’objet d’un traitement particulier ?
En tant que structure d’accueil, vous collectez et traitez les données des parents (ex. nom, prénom, adresse, numéro de téléphone, données financières etc.) mais principalement les données des enfants, telles que leur nom, prénom, sans doute leurs données de santé (ex. carnet de santé, allergies, maladies et médicaments à prendre), les photos ou vidéos que vous prenez d’eux lors des différents types d’activités proposées.
En tant que personne mineure et d’après le considérant 38 du RGPD, les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel puisqu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.
Combien de temps pouvons-nous conserver les données personnelles collectées ?
Les données personnelles ne doivent pas être conservées plus longtemps que ce qui est nécessaire pour la réalisation des finalités pour lesquelles elles ont été collectées et traitées.
Il appartient donc au responsable de traitement de déterminer une durée de conservation proportionnée.
Pour cela, chez kids.clouds, nous vous laissons choisir vous-même la durée pour laquelle vous souhaitez que nous gardons vos données, par exemple si vous souhaitez que nous conservons les photos des enfants pour une durée maximale de 6 mois, 1 an, etc. N’hésitez pas à nous contacter à l’adresse email : info@kids.cloud pour de plus amples informations à ce sujet.
Un logiciel similaire à kids.cloud peut-il aider dans la mise en conformité au RGPD ?
Bien sûr, ce genre de logiciel permet de vous aider à respecter vos obligations en tant que responsable de traitement de plusieurs manières ; par exemple :
- En chiffrant les fichiers de données de votre base de données ;
- En prévoyant un système de journalisation et de gestion des accès au logiciel ;
- En mettant en place une politique stricte d’authentification ;
- En respectant le principe de minimisation des données et en supprimant régulièrement et/ou automatiquement les données que nous collectons.
En complément de ces actions, kids.cloud vous propose également :
- Une sauvegarde quotidienne et sécurisée de vos données ;
- Le stockage de vos données dans des datacenters situés au sein de l’Union européenne ;
- Un accès sécurisé à notre logiciel ;
- Une remise en route rapide en cas de pannes informatiques de notre côté ;
- Une notification dans les 48 heures en cas de violation ou de fuite de données.
Est-il sûr de demander aux parents d’envoyer des copies de documents par e-mail ? Les messageries électroniques ne constituent pas à proprement parler un moyen de communication sûr pour transmettre des données personnelles, du moins sans l’utilisation de mesure complémentaire. Chez kids.cloud, nous recommandons de chiffrer les pièces sensibles à transmettre, par exemple en transformant les pièces jointes en un fichier zip protégé par mot de passe, et d’envoyer le mot de passe correspondant dans un email séparé, ou mieux encore, via un autre canal distinct (ex. par téléphone).
On ne peut jamais être sûr à 100% de l’envoi de documents plus ou moins confidentiels par email. Pour en être sûr il faut envoyer les documents plutôt confidentiels de manière cryptée par un mot de passe, envoyé par la suite par un autre moyen ou dans un email séparé.
Peut-on publier des photos sur les réseaux sociaux ou utiliser une application de messagerie instantanée pour partager des photos ou des informations importantes ?
Nous sommes ici face à une question en matière de droit à l’image. Tout est question de consentement. Encore faut-il distinguer le « consentement à la prise de vue » du « consentement à la publication » qui sont deux choses distinctes : Le consentement à la prise de vue est le fait d’accepter d’être pris en photo. Nous pouvons donc accepter d’être pris en photo pour les recevoir de manière privée par la suite, mais refuser toute publication sur les réseaux sociaux ou internet en général.
En principe (et sauf exceptions), le consentement à la publication est nécessaire pour procéder à la publication d’un cliché d’une personne identifiable. Cela peut se faire par le biais d’un formulaire de consentement. Par exemple, une crèche qui souhaiterait poster des photos prises lors des activités des enfants qu’elle accueille sur sa page Facebook devrait donc demander le consentement des parents ou des personnes titulaires de l’autorité parentale de l’enfant avant de pouvoir poster des photos où ce dernier apparait.
A noter que le consentement peut être retiré à tout moment ; un parent ayant donné son consentement pour la publication de photos de son enfant sur internet peut changer d’avis, il appartiendra alors à la structure concernée de supprimer ces photos dans les meilleurs délais.
Concernant les messageries instantanées, il n’est pas interdit d’utiliser ce type d’application pour partager des photos, vidéos ou autres informations ; encore faut-il s’assurer que l’application que vous voulez utiliser garantisse une protection des données de manière suffisante, ce qui n’est pas toujours le cas. L’utilisation d’un logiciel comme kids.cloud permet d’avoir toutes ces informations de manière sécurisée et simplifiée en un seul et même endroit. Que vous décidez de transmettre les informations via une messagerie instantanée ou un logiciel comme le nôtre, il faudra informer les personnes concernées sur l’utilisation de l’outil choisit et leur demander s’ils sont d’accord de recevoir des informations via cet d’outil.
Si vous décidez d’utiliser notre logiciel, nous vous fournirons le formulaire de consentement à destination des personnes concernées.
Les prochaines étapes suivront bientôt.
Si vous avez des questions concernant le RGPD pour votre crèche, club ou école, n'hésitez pas à contacter les experts de notre partenaire à:
