RGPD,

Que ce soit pendant l’année ou durant la période des camps, tu es amené à gérer des données personnelles (par exemple : nom, prénom, adresse postale et électronique). La gestion de ces données peut amener des dangers, comme le vol de données ou la divulgation d’informations à des personnes tierces.

Dans ce cadre, un règlement est là pour venir protéger les données des individus : le Règlement Général de Protection des Données (RGPD). Ce texte européen a pour but de protéger les données des personnes physiques à l’égard des traitements qui sont effectués par certaines personnes (qu’elles soient physiques ou morales). (Par exemple : la gestion des données lors de l’inscription des animés au début de l’année.)

Comment dois-je gérer ces données personnelles ?

Dans le traitement des données, il y a sept principes à respecter :

Principe de licéité, loyauté et transparence

Tant les parents que les animés eux-mêmes doivent savoir ce qui est fait avec leurs données. Rien ne doit être caché ou secret. De plus, tu dois respecter les lois et règlements et donc pour gérer des données, tu dois être dans une des situations suivantes :

Avoir le consentement de la personne (libre, ayant eu une information préalable, spécifique à chaque point et certain). Ce consentement peut être donné à partir de 13 ans. Si l’enfant n’a pas 13 ans, c’est à son représentant de le donner pour lui ;
Le traitement est nécessaire au respect d’obligations légales (par exemple : les données sont nécessaires à l’ONE) ;
Le traitement est nécessaire à la sauvegarde de l’intérêt vital (par exemple : prélever du sang pour savoir le groupe sanguin).

Limitation des finalités

Lorsque tu traites des données, tu dois toujours le faire avec un ou plusieurs objectif(s) déterminés. Ceux-ci doivent donc être déterminés, explicites, et légitimes. Une fois que ces finalités sont clairement énoncées, il est nécessaire d’avoir une utilisation compatible avec la finalité édictée. Toute utilisation incompatible avec la finalité est interdite.

Responsabilité

Tu es responsable du respect de tous ces principes. Tu dois être en tout temps capable de démontrer qu’il les respecte bien.

Minimalisation des données

Avant de demander des données, tu dois te demander si celles-ci sont adéquates, pertinentes et utiles. En effet, il faut essayer de limiter la récolte des données à celles qui sont nécessaires au regard des finalités pour lesquelles elles sont traitées. Ainsi, on ne traite pas une donnée si elle n’est pas nécessaire.

Limitation de la durée de conservation

Les données doivent être conservées pour une juste durée, c’est-à-dire celle nécessaire à leur utilisation. Ainsi, il ne faut pas conserver pour conserver.

Exactitude des données

Les données doivent être exactes et si nécessaire être mises à jour. Attention, tu as une obligation de moyen, c’est-à-dire que tu dois tout mettre en œuvre pour avoir des données actualisées et exactes, mais que tu n’as pas l’obligation qu’elles le soient réellement.

Intégrité et confidentialité

Les données doivent être traitées d’une façon à garantir leur sécurité contre les traitements non autorisés ou illicites, mais aussi contre la perte, la destruction ou les dégâts d’origine accidentelle.

Quels sont les droits des personnes ?

Le RGPD accorde plusieurs droits aux personnes qui donnent leurs données :

Droit à l'information

Droit à l’information sur ce qui est fait avec les données, à qui elles sont communiquées et qui les traitent. Cette information doit répondre à certaines normes, elle doit être :

- Communiquée au moment où les données sont récoltées ;
- Concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (particulièrement pour les informations à destination des patronnées) ;
- Fournie par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique.

Droit d'avoir accès à ses données

Droit de rectifier toutes les données inexactes

Droit d’obtenir l’effacement

Il existe d’autres droits, mais ceux-ci sont plus spécifiques et s’appliquent moins à la réalité du Patro. N’hésite pas à contacter la Fédération si tu as la moindre question.

Étape par étape

Maintenant que tu connais un peu plus les différentes règles entourant la protection des données, tu vas pouvoir les appliquer dans ton Patro. Pas de panique, on te propose t’avancer par étape pour que cela se passe de la manière la plus facile possible :

Faire un registre de traitement ;
Analyse d’impact ;
Prévoir une Politique générale de protection de données ;
Information et accord des membres et de leurs parents ;
Sous-traitance

Tous ces termes peuvent sembler compliqués, reprenons les choses étape par étape.

Étape n°1 - Faire un registre de traitement

Un registre de traitement, qu’est-ce que c’est ?

Le registre de traitement est un document reprenant l’ensemble des traitements (c’est-à-dire, toutes les utilisations de données personnelles).

Par exemple : Listing des animés, fiches médicales ou encore prises et conservation de photos lors des animations.

Comment dois-je faire le registre de traitement ?

Il est bon que tu réfléchisses avec les autres membres de l’équipe de cadres à déterminer tous les traitements que vous effectuez.
Il est nécessaire de remplir pour chaque traitement le document en annexe. Pas de panique, tu verras cela ne prend pas beaucoup de temps. Si tu as des difficultés pour le faire, n’hésite pas à contacter le Conseiller juridique de la Fédération.

La réflexion que cette étape amène va être utile pour les étapes prochaines. N’aie donc pas peur de prendre un peu plus de temps, ce sera ça de gagné pour la suite.

Annexes

Fiches de registre de l'activité

Étape n°2 - Analyser l’impact

Traiter des données cela peut avoir des conséquences pour la vie privée des patronnées, notamment en cas de vol de données. Pour prévoir un maximum ce type de situation, le RGPD demande de faire une analyse d’impact. Cette analyse ne doit pas être faite pour tous les traitements. En effet, dans le cas du Patro, cela doit être fait essentiellement pour les traitements des données médicales. Toutefois, si tu le souhaites, tu peux le faire pour tous vos traitements. Cela va permettre de développer votre réflexion autour de la question de la protection des données.

Comment effectuer l’analyse ?

Pour ce faire, il faut mener une réflexion en quatre phases :

Remarque : Ce qui est inscrit dans l’analyse est là pour te donner une idée de ce qui doit être inscrit. Ceci n’est pas complet et doit être adapté suivant votre réalité.

Première phase : Décrire l’opération

Pour les fiches médicales : prise d’informations médicales en vue de la participation à un évènement ou à un séjour organisé par le Patro. Celle-ci se fait via un formulaire papier qui est remis et gardé par l’équipe de cadres durant le temps de l’évènement ou du séjour.

Deuxième phase : Évaluation quant aux buts poursuivis

Pour les fiches médicales : L’objectif de la prise d’informations médicales est le bon déroulement des activités avec le maximum de sécurité pour l’ensemble des personnes présentes. De plus, les fiches médicales permettent d’adapter les activités en fonction des régimes alimentaires ou des contraintes physiques ou psychologiques des participants. Ce traitement est donc indispensable à l’élaboration et à la conception des activités.

Troisième phase : Évaluation des risques

Pour les fiches médicales : Il y a plusieurs risques liés aux fiches médicales :

Risque de perte ou de vol des données ;
Risque de perte de confidentialité des données ;
Risque de piratage si les fiches sont reprises sur un ordinateur.

Quatrième phase : Mesures de sécurité

Pour les fiches médicales : Pour chaque risque, une ou plusieurs mesures de sécurité peuvent être prises.

Pour les risques de perte ou de vol des données:
- Si c’est sous format papier, placer les fiches dans un endroit sous clef avec un accès limité ;
- Si c’est sous format électronique, prendre des mesures de sécurité pour que l’accès à ces fiches soit limité aux personnes pouvant avoir l’accès (par des codes).
Risque de perte de confidentialité des données: Limiter l’accès aux fiches à des personnes déterminées, informer ces personnes du caractère confidentiel des fiches et de leurs responsabilités quant à leur devoir de confidentialité.
Risque de piratage si les fiches sont reprises sur un ordinateur: Mettre en place des antivirus et des systèmes de sécurité pour protéger l’accès aux fiches médicales.

Étape n°3 - Prévoir une politique générale de protection des données

Le RGPD est une législation qui a pour objectif de développer la transparence. Pour se faire, il est nécessaire de prévoir un document de « Politique générale de protection des données ». Ce document doit expliquer le RGPD et la manière dont il est mis en œuvre dans l’association.

Remarque : Pour vous aider, la Politique générale de protection des données mise en place par la Fédération est un bon canevas. Tu peux trouver notre version sur notre site internet https://patro.be/politique-de-confidentialite/ En annexe, tu trouves une version adaptable à ta réalité.

Ce document peut se retrouver sur le site Internet de ton Patro si vous en avez un ou cela peut être un document que vous donnez à tous les membres (et leurs parents).

Annexe

Politique générale en matière de protection des données personnelles

Étape n°4 - Information et accord des membres et de leurs parents

Une fois que tout le travail d’analyse est réalisé et qu’une Politique générale est mise en place, il est temps de passer à l’étape de récoltes données. Cette récolte ne se fait pas n’importe comment. En effet, il y a lieu d’informer et d’avoir le consentement de la personne. Pour cette étape, il y a lieu de fonctionner en deux temps :

Premier temps : l’étape d’information

Lorsque vous demandez des informations aux membres du Patro, il est nécessaire de les informer sur ce qui est fait avec leurs données. Pour que l’information soit complète, il y a lieu de répondre à quelques questions :

Qui gère les données ?	Déterminer une ou plusieurs personnes qui sont les responsables de traitement. Il est nécessaire de noter l’identité et l’adresse.
Pourquoi les données sont récoltées ?	Citer les différentes finalités pour lesquelles le traitement a lieu.
À qui sont transmises les informations ?	Dans le cas où les informations sont transmises à une autre association (ou autres organismes), il y a lieu de le dire.
Combien de temps les données sont-elles conservées ?	Il y a lieu de déterminer une durée de conservation et le dire aux membres du Patro.
Y a-t-il des informations supplémentaires ?	Toute information utile doit être communiquée s’il y a des spécificités aux informations ou à leur traitement

Les informations doivent être reprises de la manière la plus pédagogique. Cela peut se faire sous forme de tableau ou de petit texte simple et clair.

Deuxième temps : l’étape de consentement

Après avoir donné des informations sur le traitement des données, il y a lieu d’avoir l’accord de la personne. Pour cela il faut respecter plusieurs conditions :

Le consentement doit être volontaire: Il est nécessaire que la personne puisse donner son consentement de manière libre et en connaissance de cause. Cet accord peut être donné à partir de 13 ans. Avant cet âge, ce sont les personnes détenant l’autorité parentale qui doivent le donner.
Le consentement doit être actif: Pour que le consentement soit valable, il est nécessaire qu’il soit réalisé par un acte volontaire par la personne. Dans les différents formulaires qui sont donnés aux patronnés, il est nécessaire de mettre une case à cocher pour que la personne pose un acte qui matérialise son accord ;
Le consentement doit être spécifique et sans ambiguïté: Suivant les informations qui sont données, il est nécessaire que le consentement soit spécifique à chaque prise d’informations.

Exemple de ce qui doit être noté lorsqu’on récolte des données

« Les informations que tu inscris dans ce formulaire ne sont connues que de [fonction des personnes ayant accès aux fiches médicales] et un éventuel service de santé. Ces données, traitées informatiquement, sont utilisées pour :

Transmettre ton dossier médical aux personnels soignantes en cas de souci ;
Aider dans la gestion de tes soins (prise de médicaments, etc.) ;
Élaborer les menus respectant allergies et régimes alimentaires ;
Adapter les activités pour qu’elles soient accessibles à tous. Ton animateur, dans ce cadre, sera mis au courant des données concernant ta condition physique.
Avoir une personne de référence.

Passé [délai de conservation], ces données sont supprimées de la base de données de [nom du patro].

Si tu te poses des questions sur la gestion de tes données au sein de [nom du patro], tu peux consulter notre Politique générale en matière de protection des données (qui est en annexe) ou nous contacter à l’adresse : [adresse de référence].

Après avoir pris connaissance de l’ensemble de ces informations, es-tu d’accord que les données reprises dans cette fiche médicale soient traitées par [nom du Patro] :

O Oui, je marque mon accord.

O Non, je ne suis pas d’accord et je désire que la [nom du Patro] me recontacte concernant le traitement de mes données. »

Étape n°5 - Sous-traitance

Dans la vie de l’association, il n’est pas toujours possible de gérer chaque élément. Ainsi, certaines données sont transmises à d’autres organismes pour qu’elle puisse réaliser certaines actions pour l’association. Dans ce cadre, il est nécessaire que tu écrives un contrat avec ces organismes (cf. annexe).

Par exemple : Certaines informations sont envoyées à la Fédération Nationale des Patros pour permettre à chaque membre d’être assuré. (Remarque : Pour ce qui est des données que tu nous transfères sur monpatro.be, pas de panique, rien ne change ! Pour être réglo, tu peux nous renvoyer le document en annexe).

ANNEXE

Contrat de sous-traitance