Cette boîte à outils, qui reprend l’ensemble des conseils, recommandations et fiches pratiques élaborés par la CNIL et publiés sur son site à destination des professionnels du secteur social et médico-social comprend :
- Un rappel sur :
- les bons réflexes à adopter par les professionnels du secteur social et médico-social
- les notions clés du RGPD (qu’est-ce qu’une donnée personnelle, un traitement, une finalité etc.)
- le décret « cadre NIR » qui définit les conditions d’utilisation du numéro d’inscription des personnes (NIR)
- 3 fiches pratiques pour les professionnels du secteur social afin de mieux protéger les données personnelles et la vie privée de leurs usagers :
- Un kit pour les intervenants du secteur social et de la médiation numérique qui accompagnent les usagers dans leurs démarches en ligne
- 12 conseils pour utiliser un ordinateur public en toute sécurité
- Un kit d’information à l’attention des travailleurs sociaux qui recueillent les données des bénéficiaires d’un service social
- Un lien vers les anciennes autorisations uniques pour protéger les données personnelles des enfants, des personnes âgées et des personnes en situation de handicap ou en difficulté, pouvant servir de guide de bonnes pratiques s’agissant de ces traitements et de modèle pour la constitution du registre des activités de traitement.
Pour rappel, toute association gestionnaire d’établissement et service sociaux et médico-sociaux doit être considérée comme responsable de traitement et est donc tenue, en application du RGPD, aux obligations suivantes :
- Tenir un registre des activités de traitement ;
- Désigner un DPO si ses activités de base l’amènent à traiter à grande échelle des données sensibles, et notamment des données de santé ;
- Respecter les principes de « Protection des données dès la conception et protection des données par défaut » (« Privacy by design & by default »), qui l’obligent, dès la mise en œuvre d’un traitement, à collecter le moins de données possible et à ne les conserver que le temps strictement nécessaire ;
- Réaliser une analyse d’impact avant la mise en œuvre du traitement lorsque ce dernier est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ;
- Garantir un niveau de sécurité adapté au risque, par la mise en place de mesures telles que la sécurisation physique des postes de travail, la sécurisation des accès informatiques et des mots de passe, l’installation d’antivirus, le chiffrement, la mise en place de sauvegardes, l’engagement de confidentialité des collaborateurs et prestataires, etc. ;
- Informer les personnes concernées de l’utilisation qui est faite de leurs données, recueillir le cas échéant leur consentement ;
- Répondre aux demandes des personnes concernées d’exercice de leurs droits (accès, rectification, effacement, portabilité, opposition) ;
- Avoir recours à des sous-traitants présentant des garanties de sécurité suffisantes quant au traitement des données personnelles et signer avec eux un contrat écrit comprenant l’ensemble des mentions légales prescrites par le RGPD ;
- Encadrer les transferts de données hors Union européenne par des garanties appropriées ;
- Constituer une base documentaire démontrant le respect de toutes ces obligations.