RGPD

Le Règlement Général sur la Protection des Données, RGPD, est entré en vigueur dans l’Union Européenne depuis le 25 mai 2018. ”Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. [Il] accroît sensiblement les droits des citoyens en leur donnant plus de maîtrise sur leurs données.” (www.cnil.fr, RGPD : comment la CNIL vous accompagne dans cette période transitoire ?, 2018).

Remera fait de la conformité à ce règlement une de ses priorités. Conformément aux recommandations de la Commission Nationale Informatique et Liberté, CNIL, Remera suit le processus de mise en conformité en 6 étapes :

  1. Choix d’un délégué à la protection des données (DPD, ou Data Protection Officer, DPO) : Il est l’interface entre le responsable des données de Remera et l’organisme de contrôle, la CNIL. Il a pour rôle d’informer et conseiller le responsable du traitement et de contrôler le respect du règlement. Remera est actuellement en recherche d’un DPD.
  2. Cartographie des traitements de données personnelles. Remera a effectué un schéma des processus du recueil et du traitement des données : les catégories de données et les données à risque, les personnes qui y auront accès, le but des traitements et les lieux de stockage ont été identifiés. Remera a pris les mesures de sécurité ad hoc. Remera tient aussi un registre des traitements.
  3. Priorisation des actions. Remera ne collecte que les données essentielles à sa mission de surveillance épidémiologique et limite les accès aux données de manière stricte. Seules les données nécessaires, anonymisées et/ou agrégées, non directement identifiables peuvent être transmises et la demande de données doit être motivée. Il n’y a pas de sous-traitants amenés à travailler sur les données. Les parents sont informés de la collecte des données et peuvent à tout moment, par simple contact avec Remera et sans justification, demander le retrait des données du registre. Les données sont définitivement anonymisées à la majorité de l’enfant.
  4. Gestion des risques. Remera a effectué une étude d’impact sur la protection des données, qui présente la vraisemblance des risques en fonction de leur impact sur les personnes concernées, de manière à orienter son plan d’action. Pour cela, Remera a utilisé le logiciel PIA mis à disposition par la CNIL.
  5. Organisation du processus en interne. Tous les collaborateurs sont sensibilisés à la protection des données. Des mesures ont été mises en place pour répondre le plus rapidement possible au retrait des données sur simple demande dans le cadre d’un droit à l’oubli. En cas de violation des données, la CNIL est informée dans les 24/48 heures ainsi que les personnes concernées.
  6. Documentation des actions. Remera tient une documentation précise des traitements et met à disposition de l’organisme de contrôle l’analyse d’impact et le registre des traitements. Il y a deux registres pour chacun des deux traitements : un pour la mission principale de Remera (recueil, analyse des données pour une surveillance épidémiologique) et un registre des demandes de retrait.