top of page

CR de la Réunion du 20/01/2021 RGPD et le Rotary dans l’EU

Roger Lhors, administrateur des zones 13 et 14, présente la task-force qu’il a constituée à la demande des DG pour étudier comment respecter le RGPD dans la gestion des clubs et des districts : les Past- Gouverneurs Francis Jacob, 1790, Serge Dupont 1690, et Nicole Darmency, 1710, qui ont sollicité un Rotaractien, 1710 : Adrien Chambade, expert en cybersécurité.
Adrien propose de parler du RGPD tel qu’appliqué aux clubs.
Capture d’écran 2021-03-09 à 19.36.54.
La loi d’origine sur la protection des données date de 1978 en France. Depuis, elle a été complétée. Le cadre actuel est fixé depuis 2016  et depuis 2018 pour son application avec la transposition de la directive qui l’accompagne.
Il nous rappelle ce que sont les données personnelles :
  1.  Directement identifiantes (nom, prénom...)
  2. Indirectement identifiantes (profession, courriel, téléphone...)
Certaines catégories de données sensibles, (ex : origine ethnique, croyance religieuse, santé...) ne doivent normalement pas être traitées, sauf dans des cas que l’on doit pouvoir justifier !

I - Comment Traiter l’Information (Traitement : ensemble d’opérations de gestion du fichier des membres, donateurs, prospects, visiteurs de nos actions,...)

Nommer un responsable qui détermine :
  • la finalité de la collecte de données (pour une soirée-théâtre, pour une réunion...)
  • Les moyens de les traiter (ex : classeur Excel, Google drive..)
    ATTENTION au sous-traitant (ex : google drive opère un transfert des données aux USA, hors de l’espace UE). Informer la personne, et baser ce transfert sur un levier valable.
    Ceci ne s’applique pas pour nos traitements persos, mais s’applique au traitement que fait une Association des données à caractère personnel.
    Pour le traitement il faut
  • Une base légitime (un contrat, être consenti, présenter un intérêt légitime, reposer sur des obligations légales)
  • Respecter le Privacy by design/default (collecte limitée, conservation limitée, sécurité assurée)
  • Informer des Transferts – ex : transfert à Zurich, parce que Etat hors UE dont les règles RGPD ne sont pas celles de l’UE, et aussi de Zurich à Evanston – et obtenir le consentement ou faire un
    contrat, mettre à jour le règlement intérieur,...)
  • Respecter les Droits de la personne : lui donner accès à ses données, avec droit de rectification, d’effacement et d’opposition lorsqu’elle le demande.
    Mais pour faire cela, il faut avoir prévu la procédure, qui le fait, où chercher les données,... ?

II - Comment mettre en Conformité :

  • Ne pas conserver plus de 3 ans après le dernier lien avec la personne (recommandation CNIL) si on veut faire de la prospection. Au-delà, sans retour clair de sa part, on supprime.
  • Assurer la Sécurité (danger de ransomware qui peut faire fuiter les données, piratage des courriels, compromission de l’espace cloud)
  • Informer sur la durée de conservation des données, signaler les transferts possibles. Un bon moyen de gérer le droit d’opposition (à la prospection), c’est le bouton « se désinscrire » que vous devriez intégrer à tous les emails de prospection (vente de vin, soirée théâtre,...). Privilégier alors des outils de mailing conformes, de préférence hébergés en France.

III - Que faire ? Comment procéder ?

Acquérir des réflexes :
Attention à l’envoi d’une liste Excel par Dropbox ; préférer les outils locaux : Smash, Bluefiles, FramaDrop, FramaCalc, Open Source
(NB: un Compte Google Sheet Pro intègre les «Claures Contractuelles» pouvant répondre aux exigences du RGPD, pas un compte Google Sheet privé. Doodle est suisse donc hors UE mais dans un pays bénéficiant d’une décision d’adéquation)
Si je transfère, informer l’intéressé de tout transfert (Suisse, USA,...).
Actions à prendre:
  • Trier les archives papier / les espaces de stockage
  • Créer des procédures RGPD
  • Eviter les outils non-conformes
  • Se former : e-learning de my.rotary (https://learn.rotary.org/members/learn/course/590)” « protection des informations personnelles”.
  • Consulter /utiliser les livrables du site (modèle de politique de confidentialité du club/district l’Union Européenne.doc)
 
INDIQUER CLAIREMENT CE QU’ON FERA DES DONNEES AU MOMENT DE LA COLLECTE ADRIEN SE TIENT A VOTRE SERVICE
via la plateforme sécurisée d’échange, hébergée en France. 
 
Après mûre réflexion, pour que l’impact soit plus visuel, Adrien a mis à votre disposition personnelle le PDF de la présentation. Il reprend des éléments qu’Adrien utilise d’ordinaire dans sa vie professionnelle, il compte sur le cadre rotarien pour en faire bon usage et ne pas le diffuser".
 
Nicole Darmency, Rotary Club Lyon Nord, DRFC 2019 - 2020,
Gouverneur 2017 - 2018

Propriété Rotary District 1780

Les marques et photos appartiennent à leurs propriétaires respectifs

Informations légales

A des fins de statistiques sur ce numéro 8, l'information sur le RGPD a été volontairement supprimée.

Nous nous engageons à respecter la Politique de Confidentialité.

Réalisation Rotary District 1780 

Contact

logo 2019 Rotary District 1780 transpare
bottom of page