Vos outils: le RGPD (*) à l'AI ISEN

Cet article ne détaille pas ce qu'est le RGPD (voir les nombreux tutoriaux ou articles sur le Net). Il n'aborde pas non plus les querelles techniques ou éthiques, à débattre dans un contexte approprié. Il a pour seul objet de vous informer sur la mise en place du RGPD par votre association.

En bref, le RGPD impose des obligations à notre association, comme à toute entreprise ou organisation recueillant, stockant et traitant des données personnelles. Et, tout en encadrant les traitements autorisés sur  ces données,  il reconnaît  prioritairement des droits fondamentaux aux propriétaires des informations personnelles, à savoir les individus eux-mêmes.

En pratique, votre Association a lancé en 2018, et poursuit un plan d'actions pour se mettre en conformité avec le RGPD.

Contrairement à la relation avec des acteurs commerciaux (e-commerce), ou avec des géants du Net (les "GAFAM"), impersonnels et distants, nous appartenons à une même communauté privée. Son principe est  a priori  de partager au moins une partie de nos informations. Là où nous sommes déjà, et serons d'autant plus  vigilants, c'est lorsque ces données sont extraites et communiquées à des tiers, pour des actions toujours légitimes et conformes à nos souhaits, mais qu'il faut soigneusement encadrer.

De même, les quelques personnes, bénévoles ou permanents, qui animent les activités de l'Association, le font depuis longtemps  dans le respect du cadre antérieur de la CNIL (Loi Informatique et Libertés de 1978, directives,…) et dans l'esprit de l'objet social de notre association.

Le fait que nous nous reposions très majoritairement sur un seul fournisseur nous facilite aussi en partie l'approche RGPD: nous travaillons étroitement avec lui sur la mise en place de nos obligations respectives. Par ailleurs,  nos stockages et traitements reposent essentiellement sur une poignée de fournisseurs, et principalement, l'hébergeur de notre site Web et éditeur de notre application smartphone. Avec chacun, nous avons conclu des contrats leur imposant déjà des obligations sur l'usage de ces données. Nous revoyons soigneusement ces obligations avec eux.

En termes concrets, nous avons déjà

nommé un DPO (Data Protection Officer) au sein du Bureau. Ce poste bénévole est tenu aujourd'hui temporairement par Roger Delattre (Lille 1973,  ancien Président de l'AI ISEN). constitué un (trop petit) groupe de travail. Tout renfort de votre part sera bienvenu, que ce soit pour nous aider sur certaines actions, ou simplement nous "challenger" sur la base de votre expertise. renforcé significativement la sécurité d'accès à notre site, en rendant obligatoire la connexion en mode sécurisé ("https"). Nous avons évoqué ce point dans notre newsletter de Mai dernier. re-sensibilisé les personnes faisant fonctionner l'association. Le réflexe "RGPD" est ainsi intégré à chacune des actions quotidiennes, qu'il s'agisse de répondre à la demande d'un tiers, pour obtenir une liste d'Ingénieurs, ou d'un membre, pour modifier ses coordonnées ou ses codes d'accès au site.

Nous travaillons activement sur la suite, et vous en serez les premiers informés dans les semaines qui viennent.

• documentation et identification de nos schémas de données personnelles et des traitements associés,
• mise à jour de documents destinés à nos utilisateurs, en premier lieu nos membres: conditions générales d'utilisation, explications sur l'utilisation, demandes de consentement,…

La partie la plus visible, prochainement, se concrétisera par une demande à l'ensemble de nos membres et utilisateurs de revalider les conditions d'utilisation de leurs données personnelles.

Soyez persuadés que notre approche vise à établir le meilleur équilibre possible entre l'objet de notre association (visibilité, réseautage, échanges,…) et le respect légitime des droits de chacun au respect de ses données personnelles dans le cadre de ce tout nouveau RGPD.

Pour le Bureau,

Laurent MOUSSU (Lille, 1977), Vice-Président Communication, Emploi et Réseaux

 *: RGPD: Règlement (européen) Général pour la Protection des Données, ou GDPR (General Data Protection Regulation), règlement no 2016/679 publié en mai 2016. Entré en vigueur le 25 Mai 2018.