Jour 1 - Sécuriser et maîtriser les données de votre structure

9h00 - Pour bien commencer

9h30 - À propos des Données Personnelles

11h00- RGPD : Pour qui

  • Découverte des différentes parties-prenantes :
    • Utilisateur manipulant ou gérant des données,
    • Responsable d’un traitement de données,
    • Sous-Traitant
    • DPO

12h00 - Atelier "Vos données personnelles"

  • Identifier et lister les données personnelles que vous traitez
    • Fichiers d’adhérents, bénévoles, bénéficiaires, salariés
    • Base pour diffusion de newsletter
    • Base de donateurs
    • Base de partenaires
    • Site web, si on enregistre des données

13h00 - Pause déjeuner


14h00 - RGPD : Pour quoi

15h30 - Des données Personnelles chez vous

D’après votre expérience, à quels dangers sont exposées les données dee vos associations ?

(choix des données à conserver, pseudonimisation, anonymisation, etc.)

16h30 - Présentation de ressources utiles

16h45 - Clôture

17h00 - Fin de la journée

Jour 2 - RGPD et vie associative

9h00 - Accueil

  • Tour de table
  • Retour sur la journée de la veille
  • La mise en œuvre de la réglementation en milieu associatif
  • Atelier ressources et outils

9h30 - Anticiper les impacts

  • Comprendre les impacts de la mise en place de la RGPD sur l’organisation de la vie associative.
  • Comprendre les changements d’organisation qu’ils peuvent impliquer

10h00 - Comment : Les principales étapes

12h00 - Pause déjeuner


14h00 - Atelier de co-construction de plan d’action

Ateliers sous format WorldCafé
  • En se basant sur les retours des interviews du module précédent

15h30 - Votre plan d’action

  • Définition des plans d’action
  • Planification
  • Mise en place d’un suivi

16h30 - Clôture

17h00 - Fin de la journée

Définition des accords de groupe


  • Confidentialité
  • règle des deux pieds
  • compte-rendu collectif
  • ponctualité

Animation d’un brainstorming autour des enjeux de la sécurité des données pour une association

Compte-Rendu collaboratif

Lien vers le pad (s'il ne s'ouvre pas)
Error Action Include : Reading of the included page CreationSession not allowed.

Atelier « DCP ou pas DCP ? » sur la définition d’une donnée à caractère personnel


Un prénom

ET un nom


une date de naissance


Un n° INSEE


une adresse email


une adresse IP


un numéro de téléphone


Un numéro de facture

ET les coordonnées de l'émetteur

La formation en ebook


Pages disponibles

Sélectionnez vos pages pour l'Ebook en cliquant sur .

Pages

  •   Jour 1 - Sécuriser et maîtriser les données de votre structure
  •   Jour 2 - RGPD et vie associative
  •   Définition des accords de groupe
  •   Animation d’un brainstorming autour des enjeux de la sécurité des données pour une association
  •   Compte-Rendu collaboratif
  •   Création d'une nouvelle session
  •   Atelier « DCP ou pas DCP ? » sur la définition d’une donnée à caractère personnel
  •   La formation en ebook
  •   EbookTestDeLaGenerationDebook
  •   EbookTestDeLaGenerationDebook2
  •   Exercice d’identification des données à caractère personnel à partir du support de formation
  •   L’histoire des données personnelles
  •   La lettre de vos cauchemars post-RGPD
  •   Rassemblement de ressources utiles
  •   Choisir son pilote RGPD et créer son registre de traitement
  •   «Quoi et pourquoi collecter ?»
  •   Ressources Informatives
  •   Rassemblement de ressources utiles
  •   Sensibilisation des bénévoles
  •   6 étapes pour entrer en conformité RGPD
  •   Tour de table & énergiseur
  •   Videos d'informations et sensibilisation
  •   Les devoirs des responsables de traitement
  •   Ateliers WorldCafé

Votre Ebook

Déplacez les pages pour les mettre dans l'ordre qui vous convient.



Exercice d’identification des données à caractère personnel à partir du support de formation


Comment rendre ce support de formation conforme au RGPD en minimisant la responsabilité ?

  • Framapad
nettoyer le nom sur le framapad
supprimer le pad
Durée de conservation des données de 1 mois

  • Anonymiser le tour de table et ne conserver que les informations non personnelles

- minimiser

- notifier l'utilisation de cookies et l'usage d'adresse IP
Lancer le diaporama

L’histoire des données personnelles


10 août 1539

Ordonnance de Villers-Cotterêts

Mise en place du registre civil

image Ordonnance_de_Villers_Cotterets_Page_1__Archives_Nationales__AEII1785.jpg (0.2MB)
« art. 51. Aussi sera faict registre en forme de preuve des baptesmes, qui contiendront le temps de l'heure de la nativite, et par l'extraict dud. registre se pourra prouver le temps de majorité ou minorité et fera plaine foy a ceste fin. »









Octobre 1940

Fichier Tulard

Fichage des juifs de France

image 527pxYellow_star_Juif.gif (0.2MB)
Sous la Troisième République, le policier André Tulard fiche les communistes ; il fait de même pour les juifs sous Vichy. Ce « fichier Tulard » a été transmis à Theodor Dannecker, chef de la Gestapo à Paris. Les coordonnées des Juifs de la zone occupée qui se sont fait recenser sont enregistrées par la police française. Ce fichier sera principalement utilisé pour l'organisation de la rafle du Vélodrome d'Hiver, les 16 et 17 juillet 1942.







Mars 1974

Fichier SAFARI

« SAFARI ou la chasse aux Français »

image safariina1292608012thumbnail.jpg (11.0kB)
Le Système automatisé pour les fichiers administratifs et le répertoire des individus (dont l'acronyme est SAFARI) désignait un projet d'interconnexion des fichiers nominatifs de l'administration française, notamment par le biais du numéro INSEE. Le projet est révélé le 21 mars 1974 par le quotidien Le Monde, dans l'article intitulé «SAFARI ou la chasse aux Français» de Philippe Boucher. Les informations provenaient d'informaticiens du Ministère de l'Intérieur soucieux de la préservation des libertés individuelles1. Cela entraina une vive opposition populaire, incitant le gouvernement à créer la Commission nationale de l'informatique et des libertés. Le projet, lancé lors de la présidence de Georges Pompidou, n'a finalement jamais vu le jour.





6 janvier 1978

Loi Informatique et Libertés

loi française fondant la protection des données à caractère personnel

image cnil78.png (0.1MB)
Article 1 : "L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.''






28 janvier 1981

Convention 108

image convention108.png (48.3kB)
La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe de 1981 adoptée en 28 janvier étend la protection du citoyen et de ses libertés fondamentales plus particulièrement au droit du respect de sa vie privée, en prenant en compte l'augmentation des flux, nationaux et internationaux, de données personnelles au travers de traitement automatisés. Aujourd’hui 53 pays ont ratifiés cette convention y compris tous les États membres du Conseil de l'Europe.







24 octobre 1995

Directive européenne 95/46/CE

Directive sur la protection des données personnelles

image fotolia_50c01ca5050c2eb4b65e46e7509cf9fc.jpg (40.5kB)
La directive 95/46/CE est une directive de l'Union européenne qui constituait le texte de référence en matière de protection des données à caractère personnel. Publiée au Journal officiel de l'Union européenne du 23 novembre 1995, elle est officiellement intitulée « directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».








6 août 2004

Transposition de la Directive 95/46/CE

Transposition de la Directive 95/46/CE dans le droit français via la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Mieux vaut tard que jamais









Début 2011

Étude d'une évolution de la Directive 95/46/CE

Début des réflexions au Parlement Européen sur la mise en œuvre d'une nouvelle directive sur les données personnelles.









Juin 2013

Affaire Snowden

Le scandale de la surveillance généralisée mondiale par les USA


Un ancien agent du renseignement, Edward Snowden accuse les Etats-Unis d'utiliser un programme d'espionnage généralisé concernant le monde entier.










Règlement Général sur la Protection des Données

14 avril 2016

Adoption du RGPD

27 avril 2016

Promulgation du RGPD

24 mai 2016

Entrée en vigueur du RGPD

25 mai 2018

Le RGPD est applicable !
(et c'est l'alerte générale...)





20 juin 2018

LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

Transposition dans le droit français des dispositions du RGPD

= Quitter le diaporama

La lettre de vos cauchemars post-RGPD

Madame, Monsieur,

Je suis l’un de vos clients, je formule la présente requête pour accéder aux données à caractère personnel me concernant afférentes à l’article 15 du Règlement Général sur la Protection des Données (RGPD).
Je pense avec inquiétude que la gestion des informations, telle que pratiquée par votre entreprise, pourrait exposer mes données personnelles à des risques certains.
Je joins à la présente une copie des documents vous permettant d’attester de mon identité. Si vous avez besoin de plus d’informations, je vous prie de me contacter à l’adresse ci-dessus.
Je tiens à vous signaler que j’attends une réponse à ma requête sous un mois comme exigé dans l’article 12. A défaut, je me verrai contraint de saisir la Commission Nationale de l’Informatique et des Libertés.

Merci d’adresser les points suivants :
  • 1. Merci de confirmer si, oui ou non, mes données personnelles sont traitées par votre entreprise. Dans l’affirmative, merci de me transmettre les catégories de données personnelles que vous détenez sur ma personne, que ce soit dans vos fichiers ou dans vos bases de données.
    • a. Plus particulièrement, merci de me dire ce que vous savez de moi dans vos systèmes d’information, que ces informations soient contenues ou pas dans des bases de données, incluant la messagerie électronique, les documents, les fichiers audio ou tout autre média que vous employez.
    • b. Par ailleurs, merci d’aviser quant aux pays où mes données sont stockées, ou à partir desquels elles sont accessibles. Si vous utilisez des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois).
    • c. Merci de me fournir une copie des, ou un accès aux, données personnelles me concernant que vous détenez ou que vous traitez.
  • 2. Merci de me fournir une liste détaillée des finalités des traitements, passés, en cours ou prévus, sur mes données personnelles.
  • 3. Merci de me fournir une liste de tous les tiers auprès desquels vous avez partagé ou auriez pu partager mes données personnelles.
    • a. Si vous n’êtes par en mesure d’identifier avec certitude les tierces parties auprès desquelles vous avez dévoilé mes données personnelles, merci de me fournir une liste des tiers auprès desquels vous auriez pu dévoiler ces données.
    • b. En cas de transfert de mes données personnelles à des tiers, merci d’aviser comme dans 1(b) quant aux pays où mes données sont stockées, ou à partir des quelles elles sont accédées. Si les tiers concernés utilisent des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois). Merci d’éclairer également les fondements juridiques sur lesquels reposent ces transferts. Là où cela est déjà effectué, ou est en passe de l’être, sur les bases de protections appropriées, merci d’en fournir une copie.
    • c. De plus, je souhaite connaître les mesures de protection mises en place en lien avec les tierces parties identifiées ci-dessus.
  • 4. Merci de préciser les durées de stockage de mes données personnelles, et dans le cas où la durée de rétention est fonction de la catégorie de données personnelles, merci de préciser la durée de rétention par catégorie.
  • 5. Si vous collectez des données personnelles me concernant à partir d’autres sources que moi-même, merci de me fournir toutes les informations afférentes, comme stipulé dans l’article 14 du RGPD.
  • 6. Si vos traitements prennent des décisions automatisées me concernant, incluant le profilage, que ce soit ou pas sur la base de l’article 22 du RGPD, merci de me préciser les fondements logiques de ces décisions automatisées, ainsi que la finalité d’un tel traitement.
  • 7. Je souhaiterais savoir si, oui ou non, mes données personnelles ont été accidentellement divulguées par votre entreprise dans le passé, ou suite à un incident de sécurité.
    • a. Dans l’affirmative, merci d’aviser quant aux détails de chaque situation de ce genre, et dans le cas d’incidents de la sorte, merci de me communiquer :
      • i. une description générale de ce qui s’est produit.;
      • ii. la date et l’heure de l’incident (ou l’estimation la plus approchante);
      • iii. la date et l’heure de découverte de l’incident;
      • iv. l’origine de l’incident (que ce soit au sein de votre propre entreprise, ou au sein d’une tierce partie auprès de laquelle vous avez transféré mes données personnelles) ;
      • v. les détails des données personnelles impactées par cet incident ;
      • vi. l’évaluation, par votre entreprise, des risques impactant ma personne, suite à cet incident ;
      • vii. une description des mesures qui ont été prises ou qui seront prises pour prévenir d’autres accès non autorisés à mes données personnelles ;
      • viii. les informations de contact me permettant d’obtenir de plus amples informations et une assistance en lien avec de tels incidents, et
      • ix. des informations et des conseils sur ce que je dois entreprendre afin de me protéger de telles atteintes, y compris l’usurpation d’identité et la fraude.
    • b. Si vous n’êtes pas en mesure d’affirmer avec certitude si une telle exposition a eu lieu, et au travers de l’utilisation de techniques appropriées, merci d’aviser quant aux mesures de traitement du risque que vous avez prises, comme :
      • i. Le chiffrement de mes données personnelles ;
      • ii. Les stratégies de minimisation des données ; ou,
      • iii. L’anonymisation ou la pseudonymisation;
      • iv. Tout autre procédé.
  • 8. Je voudrais connaître les politiques et les normes que vous mettez en place pour la protection de mes données personnelles, à l’instar de la norme ISO 27001 pour la sécurité de l’Information, et plus particulièrement, les pratiques suivantes :
    • a. Merci de me préciser si vous avez sauvegardé mes données personnelles sur bande, disque ou tout autre média, l’emplacement de ces sauvegardes et les mesures de sécurisation mises en place, y compris celles prises pour protéger mes données de la perte ou du vol, et si celles-ci emploient du chiffrement.
    • b. Merci d’aviser quant à votre utilisation de technologies vous permettant, avec un degré raisonnable de certitude, de savoir si, oui ou non, mes données personnelles ont été divulguées, incluant, sans être limité à, ce qui suit :
      • i. Systèmes de détection d’intrusion ;
      • ii. Technologies de filtrage des flux ;
      • iii. Technologies de gestion des identités et des accès ;
      • iv. Audit de bases de données et/ou outils de sécurité; ou,
      • v. Outils d’analyse comportementale, d’analyse de logs, ou d’audits;
  • 9. En rapport à vos collaborateurs et prestataires, merci d’aviser si :
    • a. Vous disposer d’une charte d’utilisation des moyens informatiques et des outils numériques, précisant que les échanges électroniques de vos collaborateurs avec le monde extérieur (messagerie électronique ou instantanée, Webmail, etc.) peuvent être surveillés pour détecter des fuites délibérées ou accidentelles de données à caractère personnel.
    • b. Vous avez connu des situations où des collaborateurs ou prestataires ont été licenciés, et/ou ont été inculpés pour accès non autorisé à mes données personnelles, ou bien si vous n’êtes pas en mesure de le déterminer, pour aucun de vos clients, sur les douze derniers mois.
    • c. Merci d’aviser quant aux formations et mesures de sensibilisation que vous avez entreprises afin de vous assurer que votre personnel et vos prestataires accèdent à, et traitent, mes données personnelles en conformité avec le Règlement Général sur la Protection des Données.

  • Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

  • Bien cordialement,

Rassemblement de ressources utiles


Registre de données


PIA by la CNIL

Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.
L'outil PIA par la CNIL

Choisir son pilote RGPD et créer son registre de traitement


Mise en place d'une commission qui désigne un "chef d'orchestre" en interne, une lettre de mission est établie et un DPD externe par un organisme type SNAECSO pour un contrôle tous les 3 ans.
Possibilité de faire appel à un stagiaire sur la mission de saisie des fiches d'activité.
Le rôle du chef d'orchestre est de conseiller et d'informer aux utilisateurs des données, des sous traitants ainsi que leurs employés, contrôler le respect du règlement (droit d'ouverture), coopérer avec l'autorité de contrôle, vérification de la destruction des données (1 journée par an pour archivage et destruction)
Pour le registre (ODT) plus facile à lire et à comprendre pour tout le monde.
Recensement et états de toutes les données. Désigner les activités création de la fiche de l'activité (indiquer la fonction - organigramme)

«Quoi et pourquoi collecter ?»


Minimiser la demande de données personnelles
Il faut revoir les données demandées et voir ce qui est vraiment nécessaire pour notre fonctionnement par exemple : profession des parents, situation familiale...
Pour les actions sociales voir les éléments demandés et voir qu'est ce qui est utile au professionnel et / ou au financeurs et voir ensuite ce qui doit être gardé et combien de temps.
Vérifier ce qui est vraiment nécessaire pour la DDCS au niveau fiche sanitaire et se poser la question la question sur les vaccins faut il faire des photocopies ou faire notifier un engagement écrit des parents sur ce sujet.

En conclusion faire un inventaire de toutes les données personnelles par secteur d'activités - voir ce qui est utile ou pas et la durée d'archivage. Puis indiquer aux usagers le protocole de gestion de ces données. Donc sur le registre, noter tout par secteur d'activité.

Ressources Informatives


Bonnes pratiques informatiques

Charte informatique

image guide_elaboration_charte_info.png (0.1MB)
Lien vers: https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf

Hygiène numérique



Les règles d'Instagram expliqué à un enfant de 8 ans

https://www.businessinsider.fr/une-avocate-a-reecrit-les-conditions-dutilisations-dinstagram-comme-si-elles-etaient-expliquees-a-un-enfant-de-8-ans/

Concernant le RGPD

5 points pour être conformes au RGPD par Solidatech

https://www.solidatech.fr/utiliser/ressources/infographie-5-points-pour-etre-conforme-au-rgpd
image etre_conforme_avec_le_rgpdassociationsnonprofit.png (0.3MB)
Lien vers: https://www.solidatech.fr/utiliser/ressources/infographie-5-points-pour-etre-conforme-au-rgpd

se préparer en 6 étapes par la CNIL

Cliquez ici pour en voir plus

image 6tapes.png (47.0kB)
Lien vers: https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

Tout le RGPD en une feuille A3

image RGPDmodlis.jpg (0.3MB)

Rassemblement de ressources utiles

Sensibilisation des bénévoles

[mm]

6 étapes pour entrer en conformité RGPD


image 6tapes.png (47.0kB)
Lien vers: https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf
cliquez pour en savoir plus !

Tour de table & énergiseur


9 personnes
Centre sociaux / Petite enfance / Crèches
Secteur associatif

Videos d'informations et sensibilisation


Vidéo présentation du RGPD

Pour les responsables de traitement de données à caractère personnel

  • RGPD expliqué en emojis (version 6 minutes)


  • RGPD expliqué en emojis (version 15 minutes) avec FAQ


  • 6 minutes pour comprendre le RGPD (Génération Mouvement)


  • RGPD d'accord, mais concrètement ?


  • Le RGPD les enjeux de la nouvelle réglementation pour le secteur associatif (par Solidatech)


Pour les bénéficaires (grand public)

  • Comprendre le RGPD en cinq minutes (Le Monde)


  • 2 minutes pour comprendre le RGPD : Galère ou opportunité ?

Les devoirs des responsables de traitement


[mm]

Ateliers WorldCafé


Les Ateliers


Mode d'emploi

  • Créer 4 groupes et se répartir sur les différents points
  • désigner un hôte qui restera sur sa table
  • 20 minutes pour travailler sur le sujet
  • au top, tout le monde se répartir sur d'autres tables
  • 5 minutes de présentation par l'hôte de table
  • 10 minutes de retour, adjonction de contenu par les "voyageurs"
  • Au top, retour sur les tables originelles
  • 10 minutes de Synthèse
  • Restition : 5 minutes par groupe
Contenu en ligne sur la page : http://lecloudestdanslepre.com/rgpd/?EbookTestDeLaGenerationDebook .pdf