Règlement général sur la protection des données : les conseils de Resamania

Depuis le 25 mai 2018, la nouvelle réglementation européenne sur la protection des données (RGPD) est entrée en vigueur et remplace la loi informatique et liberté.

Pour vous simplifier la tâche et vous accompagner dans ces démarches, Resamania vous fournit des conseils, les actions nécessaire à mener et des trames de documents que vous pourrez utiliser pour vous mettre en conformité.

 

La RGPD c’est quoi ?

L’objectif du règlement général sur la protection des données (RGPD) est de toujours mieux protéger les données personnelles. Terminé, la déclaration simplifiée à la CNIL, c’est maintenant un règlement structurant qui va s’appliquer à tous, de la TPE à la multinationale en passant par les associations et les institutions publiques.

Pour en savoir plus : RGPD : 7 règles à respecter pour les clubs

 

Dans quel cas nommer un DPO (Responsable de la protection des données) et comment procéder ?

 

Est-ce obligatoire de nommer un DPO ?

L’obligation de nommer un DPO va dépendre de 2 points : le volume de données traitées et la sensibilité de ces données.

Pour les TPE, donc pour beaucoup de clubs, la nomination d’un délégué n’est pas obligatoire. Cependant, pour les groupes possédants plusieurs clubs, il est très fortement conseillé d’en désigner un.

Par ailleurs, quelle que soit la taille de la structure, les données biométriques devenant des données sensibles avec la nouvelle réglementation, tous les clubs qui possèdent ce type de contrôle d’accès seront aussi amenés à en nommer un, notamment pour faire l’étude d’impact des traitements qui sera obligatoire.

Disposer d’un DPO dans sa structure n’est donc pas forcément obligatoire, mais il va constituer une preuve forte pour l’administration d’une bonne mise en place du règlement sur la protection des données. Sa nomination est très simple, c’est pourquoi nous vous conseillons d’en nommer un dans tous les cas.

responsable de la protection des données club sport resamania

Comment nommer un DPO ?

Vous pouvez nommer votre DPO en ligne, en moins de 2 minutes ICI

 

Plan d’action : Canevas et explications sur la cartographie des données

 

La RGPD impose à tous les responsables des traitements de tenir un registre de tous les traitements de données effectués dans les clubs.  

Pour être exhaustif, il faut réaliser une cartographie des données pour : 

  • connaître l’ensemble des entrées de données personnelles dans l’entreprise
  • détecter quels en sont les traitements effectués et leurs finalités 
  • modifier les éléments non conformes à la RGPD.


Pour vous aider dans cette démarche, nous mettons à votre disposition notre dossier Excel permettant de tenir à jour votre registre. N’hésitez pas à nous le demander en nous écrivant à l’adresse suivante : contact@resamania.fr

Concernant le plan d’action :

Au remplissage du registre détectez tous les éléments non sécurisés, non anonymisé, afin de créer le plan d’action.

Ce plan d’action prend la forme que vous souhaitez : cela peut-être un tableau : action à mener / personne en charge / date de mise en place / mise en place : OUI/NON

Vous aurez certainement à énumérer les actions suivantes :

  • Mettre les dossiers du personnel dans une armoire fermée à clé
  • Détruire les CV reçus au bout de 3 ans
  • Créer des sessions personnelles sur les ordinateurs / Mettre des mots de passe sur les ordinateurs
  • Différencier les accès aux logiciels en fonction des personnes
  • Changer les mots de passe lorsqu’un salarié quitte le club
  • Mettre en place le consentement de mes clients pour la transmission de leurs informations à des partenaires qui ne sont pas nécessaires au bon fonctionnement de la prestation.
  • Anonymiser mes données fournisseurs au bout de 3 ans après l’arrêt des commandes
  • Mettre en place un process en cas de violation des données personnelles
  • Supprimer les exports contenant des données personnelles une fois utilisées ou les conserver dans un fichier sécurisé
  • Mettre en place un process en cas de demande de rectification ou de suppression (droit à l’oubli)
  • Vérifier la conformité ou la démarche de mise en conformité de mes prestataires, sous-traitant

protection des données resamania

 

L’anonymisation de vos clients sera proposée dans le logiciel. En revanche si vous conservez ces données par ailleurs vous devez mettre en place un process d’anonymisation sur vos autres éléments.

Pour la RGPD il est conseillé de n’avoir qu’une seule base de données compilant l’ensemble des données, votre logiciel est fait pour cela.

 

Le plan d’action dans le logiciel

 

Les grands principes de la RGPD sont déjà pris en compte dans le logiciel Resamania, cependant notre rôle en tant que partenaire est de vous offrir un logiciel qui vous permettra de vous mettre en conformité sur le règlement général de la protection des données encore plus facilement.


Resamania intègre déjà des éléments forts pour respecter la RGPD

Les éléments déjà disponibles dans la version actuelle sont :

  • L’anonymisation manuelle des membres non actifs, afin de respecter le droit à la modification et le droit à l’oubli
  • La conservation des données : Le contenu des exports effectués ne sont disponibles dans l’historique que pour un temps donné.
  • La possibilité pour vos clients de retirer leur consentement pour la réception d’e-mail promotionnels / informatifs
  • L’export, à la demande d’un de vos clients, de toutes ses données pour la « portabilité »
  • L’existence de rôles pour accéder à l’outil (admin, desk, coach)  permet de contrôler et de segmenter le périmètre d’accès aux données.
  • La sécurisation des données sur des serveurs dédiés et protégés.

Resamania-logiciel-plan-action

 

Quelles sont les nouvelles modifications à venir pour la RGPD ?


Les nouveaux éléments permettant une mise en œuvre facilitée de la RGPD seront livrés par lot.
 
Début septembre 2018 : 1er lot

  • La demande d’anonymisation de vos anciens clients directement depuis leur espace membre. Aujourd’hui, le client peut le faire en vous contactant
  • L’anonymisation automatique de vos anciens clients après une période d’inactivité. Vous aurez la possibilité d’activer ou non cette option et d’en choisir la durée, nous paramétrerons par défaut une durée de 36 mois maximum. Aujourd’hui, vous avez la possibilité de le faire manuellement.

 
Début novembre : 2ème lot

  • Les clients pourront récupérer leurs données, directement depuis leur espace en ligne, pour offrir un meilleur service de « Portabilité des données ». Aujourd’hui vos clients peuvent vous faire la demande et vous pouvez faire des exports.

Cet export, sous forme de fichier, permettra au client de ressortir ses données d’utilisation dans Resamania :
– information personnelles (nom, prénom, adresse, etc.)
– historique des passages
– historique des réservations
– abonnement et carnets actifs ou passés
– informations bancaires

  • Les profils non administrateurs ne pourront plus faire d’exports de vos données Resamania.
  • La validation des CGU de votre club et du logiciel Resamania sera mise en place directement sur l’espace membre.