Organisme |
|
Représentant légal |
|
Contrôleur / Délégué à la Protection des Données |
|
Désignation | Missions de l'association |
Finalité(s) | Crée en 1985, l'association Perce-Neige Pyrénées, indépendante du Comité National Perce-Neige, trouve son fondement dans l'accompagnement de personnes adultes handicapées dans les domaines éducatif, pédagogique, thérapeutique et social. Cet accompagnement s'exerce comme une démarche, qui doit placer la personne au cœur des préoccupations et de l'action en lui donnant une place de citoyen. Etablissement d'accueil non médicalisé pour personnes handicapées (EANM), la Maison Perce Neige Pyrénées s'intègre dans le projet associatif, au niveau des valeurs portées par l'association. |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Statuts de l'association | Convention juridique par laquelle les membres mettent en commun leurs connaissances ou leur activité dans un but désigné, autre que celui de partager des bénéfices | |
Référentiel | Charte associative | Définit les finalités et les objectifs de l'association | |
RGPD | Référentiel pour les établissements ESMS | Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap | Adopté le 11 mars 2021, JO de la CNIL n° 2021-028 |
Référentiel | Guide pour les établissements sociaux et médico-sociaux | Le dossier de la personne accueillie ou accompagnée. Recommandations aux professionnels pour améliorer la qualité |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers EANM | 66 Santé (médico-social) : évaluation domaine Handicap | Oui |
15 Fournisseurs, partenaires, cotraitants | 01 Identifiants | Oui |
20 Employés de l'association | 70 Données RH | Oui |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | L'association recueille le consentement des personnes chaque fois que nécessaire |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'association diffuse les informations générales via des documents remis aux destinataires contenant des informations spécifiques lors de chaque traitement |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant directement à la direction, Mr Caeenave, au DPO Mr Jean Christophe Lairie, par téléphone, mail ou en se rendant dans les locaux de l'organisme. Pour tout recours, elles peuvent s'adresser à la CNIL |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Il n'y a pas de procédure automatique prévue pour la récupération des données traitées par notre association, celles-ci étant déjà transmises le plus souvent au travers des documents échangés avec les personnes concernées. |
Destinataires |
Type |
Commentaire |
---|---|---|
Educatif | Groupe | |
Médical | Groupe | |
Administratif | Groupe |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Consciente de l'impact potentiel d'une violation de données, l'ITEP forme régulièrement ses employés au meilleur usage des données et confie le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme. |
Désignation |
Contenu |
Type |
Commentaire |
---|
Désignation | perce-neige-pyrenees.org |
Finalité(s) | Site mise en place dès le mois de juin 2023 (Hébergé par Blueconfig Informatique) |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
1 an (RH : bulletins édités, horaires et éléments variables du salaire) | -- | -- | Art 3171-16 |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|
Désignation | Gestion et suivi des communications entrantes et sortantes |
Finalité(s) | - Gestion des correspondances avec les tiers non usagers (partenaires, fournisseurs, ...) : courriers, mails, appels téléphoniques suivi des visites à l'accueil - Répondre et conserver une copie des réponses - Transmettre aux destinataires, suivre les réponses jusqu'à conclusion - L' établissement doit être en mesure de démontrer la conformité aux exigences du RGPD en traçant toutes les démarches entreprises. |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Secret des correspondances privées | Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées | Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
03 La personne enregistrée | 02 Identifiants : domicile privé (adresse postale) | Non |
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Non |
03 La personne enregistrée | 03 Identifiants : téléphone privé (portable, fixe) | Non |
03 La personne enregistrée | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
3 mois après la réponse à la demande ou la fin de de la communication (messages et mails de correspondances) | -- | -- | ou suppression si archivage inutile |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données" |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | La personne pourra s'adresser directement à la direction par tél, mail ou physiquement, ou bien remplir le formulaire de demande de droit disponible depuis le site internet. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, la personne dispose déjà des données car elle est partie prenant des échanges |
Destinataires |
Type |
Commentaire |
---|---|---|
ACCUEIL | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La divulgation d'une demande à une personne non autorisée peut entrainer des désagréments. En conséquence, l'accès aux informations est restreint aux seules personnes habilités grâce à une application sécurisée et des codes d'accès distincts ont été crées afin de cloisonner l'information. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesure physique | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Répondre aux demandes d’accueil : notifications mdph & liste d'attente d’arrivée |
Finalité(s) | - enregistrer et transmettre les demandes reçues par la plateforme ViaTrajectoire, par téléphone ou emails - Transmettre aux destinataires, le cas échéant, suivre les réponses jusqu'à conclusion - Conserver une copie des réponses et les candidatures non abouties |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Référentiel | Code de l'action sociale et des familles - art L311-4 | relatif au droit des usagers concernant la représentation à la personne ou son représentant légal d'un livret d'accueil conforme au modèle établi par décret (Mars 2020) | |
Référentiel | Code de l'action sociale et des familles : art. L. 311-3 | relatif à l'exercice des droits et libertés individuels garanti à toute personne prise en charge par des établissements et services sociaux et médico-sociaux. | https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041721294 |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Candidats à l'admission | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Candidats à l'admission | 02 Identifiants : domicile privé (adresse postale) | Oui |
11 Candidats à l'admission | 03 Identifiants : adresse de messagerie personnelle | Oui |
11 Candidats à l'admission | 03 Identifiants : téléphone privé (portable, fixe) | Oui |
11 Candidats à l'admission | 31 Vie personnelle : fratrie (entourage) | Oui |
11 Candidats à l'admission | parcours institutionnel, soins, scolarité, contexte familial, origine de la demande | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
3 ans après la demande (demande d'admission) | 01 Base active | Suppression |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, pour les informations déjà transmises par la personne elle-même. Oui, pour les motivations concernant les décisions prises |
Destinataires |
Type |
Commentaire |
---|---|---|
Administratif | Groupe |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Autorités administratives compétentes | 02 Information d'une partie prenante |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Accès aux données via une double authentification | L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification | Mesure technologique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Protection des documents par le chiffrement | Les documents sont taggués lors de leur création ce qui entraine leur chiffrement lors de l'enregistrement et détermine les droits d'accès. | Mesure technologique | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique |
Désignation | Gestion et accès au dossier unique contenant les informations nécéssaires à la prise en charge de l'usager |
Finalité(s) | - Récolter les informations nécessaires à la prise en charge complète et adéquate de la personne accueillie. - un volet administratif (contrat de séjour, DIPC, ordonnance du juge, relevé de décision d'orientation..) - un volet technique (comptes-rendus et synthèses des réunions, le projet individuel, évaluations, courriers échangés avec l’usager et les familles, etc.) - Les centraliser dans un dossier unique papier ou informatisé - Donner l'accès à ces informations aux services intéressés - Mettre à jour ces informations tout au long de son séjour |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 | rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation... | |
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées. |
Référentiel | Code de l'action sociale et des familles - art L311-4 | relatif au droit des usagers concernant la représentation à la personne ou son représentant légal d'un livret d'accueil conforme au modèle établi par décret (Mars 2020) | https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041721298 |
Référentiel | Code de l'action sociale et des familles : art. L. 311-3 | relatif à l'exercice des droits et libertés individuels garanti à toute personne prise en charge par des établissements et services sociaux et médico-sociaux. | https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041721294 |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers EANM | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
10 Usagers EANM | 02 Identifiants : domicile privé (adresse postale) | Oui |
10 Usagers EANM | 03 Identifiants : adresse de messagerie personnelle | Oui |
10 Usagers EANM | 10 Identifiants : signature (manuscrite, numérique) | Oui |
10 Usagers EANM | 12 Identifiants : NIR (numéro sécurité sociale) | Oui |
10 Usagers EANM | 15 Caractéristiques personnelles : date et lieu de naissance | Oui |
10 Usagers EANM | 16 Caractéristiques personnelles : nationalité | Oui |
10 Usagers EANM | 31 Vie personnelle : fratrie (entourage) | Oui |
10 Usagers EANM | 33 Vie personnelle : intérêts et attentes de la personne | Oui |
10 Usagers EANM | 62 Santé : comptes rendus et prescriptions médicales | Oui |
10 Usagers EANM | 66 Santé (médico-social) : évaluation domaine Handicap | Oui |
10 Usagers EANM | Mandataire assermenté de l'usager | Oui |
12 mandataires assermentés (anciennement tuteurs) | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | Oui, l'usager ainsi que ses représentations signent initialement le contrat de séjour. |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Le contrat de séjour comporte un article "données personnelles" |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en adressant un écrit à la direction, ou via le formulaire d’exercice des droits transmis Délégué à Protection des Données de l'ITEP. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Il n'y a pas de procédure globale pour la récupération des données ajoutées au dossier unique : les informations initiales sont issues de la personne elle-même ; pour les informations ajoutées durant la présence de l'usager, chaque rubrique fait l'objet d'une procédure spécifique |
Destinataires |
Type |
Commentaire |
---|---|---|
ACCUEIL | Groupe | |
06 POLE THERAEUTIQUE | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Pour la DGAS, « le dossier traite de données personnelles, d’informations nominatives précieuses devant être protégées, avant d’être éventuellement consignées, conservées et communiquées au nom de leur utilité pour une action professionnelle légitime dans l’intérêt des personnes accompagnées ». |
Désignation |
Contenu |
Type |
Commentaire |
---|
Désignation | Gérer les relations avec les familles et partenaires, organiser des moments d'échanges et des réunions |
Finalité(s) | Pour gérer les relations avec les familles et les partenaires, organiser des moments d’échanges et des réunions dans un établissement médico-social, il est important de mettre en place une communication efficace et transparente: - Établir une relation de confiance : Il est important d’établir une relation de confiance avec les familles et les partenaires. Cela peut être réalisé en étant à l’écoute de leurs besoins et en répondant rapidement à leurs préoccupations. - Organiser des rencontres régulières : Organiser des rencontres régulières avec les familles et les partenaires peut aider à renforcer la communication et à résoudre rapidement les problèmes. -Utiliser des outils de communication modernes : Les outils de communication modernes tels que les applications de messagerie instantané. Sans oublier, l'envoi et la réception des courriers aux partenaires, aux familles. |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées. |
Référentiel | Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 | rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation... | |
Référentiel | Secret des correspondances privées | Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées | Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale. |
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers ITEP ou SESSAD | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
10 Usagers ITEP ou SESSAD | parcours institutionnel, soins, scolarité, contexte familial, origine de la demande | Oui |
12 Ayants droit (parents, responsables légaux) | 01 Identifiants : état civil (nom, prénom, civilité) | Non |
12 Ayants droit (parents, responsables légaux) | 03 Identifiants : adresse de messagerie personnelle | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
3 mois après la réponse à la demande ou la fin de de la communication (messages et mails de correspondances) | -- | -- | |
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) | -- | -- | |
20 ans après le dernier départ du titulaire (archive dossier usager) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant au secrétariat de l'ITEP, le cas échéant à à la direction, Mme Courrèges,ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | L'usager peut recueillir les correspondances versées au dossier unique, les autres ayant été supprimées |
Destinataires |
Type |
Commentaire |
---|---|---|
04 POLE SOCIO-EDUCATIF | Groupe | |
ACCUEIL | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Le secret des correspondances est important afin de ne pas porter atteinte à la vie privée de l'usager ou ou à celle de tiers. Le secrétariat de l’ITEP numérise les les courriers papiers et redirige les emails directement dans l'application métier, assurant ainsi sa confidentialité |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Transmission directe et orale de l'information | L'absence de stockage évite des mesures de protection | Mesure organisationnelle | |
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
Destruction du support papier | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
Désignation | Suivre de la scolarité et interagir avec les établissements scolaires |
Finalité(s) | - Soutenir la scolarisation école / collège / lycée - Suivre les apprentissages - Suivre les stages et les séjours culturels |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées. |
RGPD | Référentiel pour les établissements ESMS | Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap | Adopté le 11 mars 2021, JO de la CNIL n° 2021-028 |
Référentiel | Code de l'action sociale et des familles : art. L. 1110-4 | relatif aux droits de la personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins | https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000036515027/ |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) | -- | -- | |
20 ans après le dernier départ du titulaire (archive dossier usager) | -- | -- | Si pas de restitution -> suppression |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant directement au service socio-éducatif de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | L'usager peut recueillir les éléments de scolarité le concernant conservés dans son dossier |
Destinataires |
Type |
Commentaire |
---|---|---|
04 POLE SOCIO-EDUCATIF | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Le dossier scolaire regroupant les notes, les appréciations ainsi que les absences doit rester à la seule disposition des personnes concernées. Aussi sont-ils numérisés puis classé dans l'application métier qui assure la conservation et la confidentialité. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Mener des activités éducatives, des ateliers d'éveil et de loisirs |
Finalité(s) | - Établir un programme d’activités : Il est important d’établir un programme d’activités qui soit adapté aux besoins et aux capacités des résidents. Le programme doit être varié et inclure des activités éducatives, des ateliers d’éveil et de loisirs. - Favoriser la participation des résidents : Les résidents doivent être encouragés à participer activement aux activités organisées par l’établissement médico-social. Cela peut aider à renforcer la relation entre l’établissement et les résidents. - Adapter les activités aux capacités des résidents : Les activités doivent être adaptées aux capacités des résidents. Il est important de prendre en compte les limitations physiques et mentales des résidents. - proposer et rendre compte de ces activités - gérer de la logistique (tenue d'un emploi du temps, le contrôle des déplacements), communiquer avec les partenaires, intervenants, parents - garantir la cohérence des interventions |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées. |
Référentiel | Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 | rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation... |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers EANM | 01 Identifiants | Oui |
10 Usagers EANM | 24 Activités : habitudes, activités, présence à des événements… | Oui |
10 Usagers EANM | Comptes rendus quotidiens et bilans périodiques | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) | -- | -- | |
20 ans après le dernier départ du titulaire (archive dossier usager) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant directement au service socio-éducatif de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | L'usager peut recueillir les éléments (activités et ateliers) le concernant conservés dans son dossier |
Destinataires |
Type |
Commentaire |
---|---|---|
ENTRETIEN, MAINTENANCE, TRANSPORT | Groupe | |
04 POLE SOCIO-EDUCATIF | Groupe | |
05 POLE PEDAGOGIQUE | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La précision et l'exactitude des informations transmises aux partenaires est essentielle pour assurer une bonne qualité de service ; aussi, les emplois du temps et ordres de mission émis par l'ITEP sont suivis numériquement et validés au fil de l'eau par les partenaires |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Transmission directe et orale de l'information | L'absence de stockage évite des mesures de protection | Mesure organisationnelle | |
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
Désignation | Suivre les troubles, évaluer le comportement, établir des rapports et bilans concernant l'usager |
Finalité(s) | - tenir à jour un système de suivi des troubles constatés - établir un suivi des comportements - évaluer les problématiques et aptitutes - stocker les rapports émis par les éducateurs |
Informations complémentaires | Equipe éducative, équipe para-médicale et médicale Destinataires externes : tiers autorisés (entourage, famille), autorités administratives compétentes |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées. |
Référentiel | Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 | rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation... | |
Référentiel | Code de l'action sociale et des familles : art L331-8 | Remontée des informations aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers ITEP ou SESSAD | 01 Identifiants | Oui |
10 Usagers ITEP ou SESSAD | 61 Santé (physique, mentale) informations cliniques ou biologiques | Oui |
10 Usagers ITEP ou SESSAD | 62 Santé : comptes rendus et prescriptions médicales | Oui |
10 Usagers ITEP ou SESSAD | 66 Santé : types de soins de suites (domaine sanitaire) | Oui |
10 Usagers ITEP ou SESSAD | 68 Santé, prise en compte de la vie affective et sexuelle à des fins d'accompagnement | Oui |
10 Usagers ITEP ou SESSAD | Appareillage et prescriptions médicamenteuses | Oui |
10 Usagers ITEP ou SESSAD | Comportement, troubles, vie affective, sexuelle, intérêts, sommeil | Oui |
10 Usagers ITEP ou SESSAD | observation depuis l'arrivée ou le dernier rapport | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) | -- | -- | |
20 ans après le dernier départ du titulaire (archive dossier usager) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant au responsable de l'équipe médicale ou para-médicale, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | L'usager peut recueillir les éléments (rapports et évaluation) le concernant conservés dans son dossier |
Destinataires |
Type |
Commentaire |
---|---|---|
04 POLE SOCIO-EDUCATIF | Groupe | |
06 POLE THERAEUTIQUE | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | L’évaluation des besoins des jeunes avec troubles du comportement constitue un maillon essentiel de l’accompagnement des trajectoires des jeunes accueillis en ITEP, aussi les données saisies et leur communication font l'objet d'une grande vigilance. Un outil numérique métier dédié et adapté a été choisi pour aider au classement, à l'exploitation et au partage de ces données |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
Système d'authentification dédié aux partenaires et sous-traitants | Les partenaires et sous-traitants peuvent accéder à l'information qui leur est destinée depuis le système d'information de l'organisme | Mesure organisationnelle | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
Désignation | Prodiguer des soins paramédicaux et quotidiens |
Finalité(s) | - Organiser des séances avec les professionnels para-médicaux - Effectuer des soins quotidiens et enregistrer les comptes rendus - Suivre et partager les dossiers de soins infirmiers : pansements, sondes (gastrique, urinaire...), prises de sang, injections, perfusions, suivi des protocoles (tension, glycémie...),évènements particuliers aides soignantes : besoins fondamentaux et suivi journalier, selles, changes, évènements de la journée. |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Code de l'action sociale et des familles : art L232-46 | relatif à la conservation des données d'un demandeur ou d'un bénéficiaire du conseil départemental | |
Référentiel | Accès au dossier médical (loi du 4 mars 2002) | relatif aux droits des malades, principe de l’accès direct du patient à l’ensemble des informations de santé le concernant et organisation de cet accès. | |
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers ITEP ou SESSAD | 01 Identifiants | Oui |
10 Usagers ITEP ou SESSAD | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
10 Usagers ITEP ou SESSAD | 62 Santé : comptes rendus et prescriptions médicales | Non |
10 Usagers ITEP ou SESSAD | 65 Santé : évaluation médico-sociale de la personne concernée | Non |
10 Usagers ITEP ou SESSAD | 66 Santé : types de soins de suites (domaine sanitaire) | Non |
10 Usagers ITEP ou SESSAD | 66 Santé (médico-social) : évaluation domaine Handicap | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) | -- | -- | |
20 ans après le dernier départ du titulaire (archive dossier usager) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'information est délivrée - globalement par la présente Politique de Protection - au moment de la signature du contrat par l'article "données personnelles" - au moment des soins, une information orale est délivrée |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant directement aux services médical de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données de l'ITEP |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | L'usager peut recueillir les éléments (comptes rendus paramédicaux) le concernant conservés dans son dossier |
Destinataires |
Type |
Commentaire |
---|---|---|
06 POLE THERAEUTIQUE | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Le secret concerne les faits, éléments du traitement ou de la vie privée du patient confiés par le patient, son entourage ou devinés, compris ou déduits lors des consultations. Il est est couvert par le secret professionnel et doit bénéficier d'un niveau de protection identique au secret médical. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Accès aux données via une double authentification | L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification | Mesure technologique | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Conseil de vie sociale |
Finalité(s) | Le conseil de la vie sociale est une instance élue par les résidents et les familles d'un établissement médico-social . Il est composé de représentants des résidents, des familles et du personnel de l'établissement. Le conseil de la vie sociale donne son avis et fait des propositions sur toutes les questions liées au fonctionnement de l'établissement, telles que l'organisation intérieure, la vie quotidienne, les activités, l'animation socioculturelle, les services thérapeutiques, les projets de travaux et d'équipements, la nature et le prix des services rendus, l'affectation des locaux collectifs, l'entretien des locaux, les relogements prévus en cas de travaux ou de fermeture . Le rôle du conseil de la vie sociale est consultatif . Il favorise l'expression et la participation des résidents et de leurs familles à la vie de la structure . |
Informations complémentaires | Le conseil de la vie sociale (CVS) a été créé par la loi du 2 janvier 2002 rénovant l’action sociale et médico-sociale . Cette loi avait pour objectif de renforcer les droits des résidents hébergés dans des établissements médico-sociaux tels que les foyers pour personnes handicapées et les EHPAD . |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Conseil de vie sociale | créé par la loi du 2 janvier 2002 rénovant l’action sociale et médico-sociale afin de renforcer les droits des résidents hébergés dans des établissements médico-sociaux | |
Référentiel | Conseil de vie sociale | Le conseil de la vie sociale réunit parents, enfants, professionnels et direction une fois par an pour des sujets d’ordre général. Ce conseil est composé de commissions locales. Chaque antenne de l’établissement dispose de sa propre commission locale qui se réunit deux fois par an. Ce sont donc 8 à 9 réunions annuelles pour faire vivre la participation des enfants et des familles aux décisions qui les concernent. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Oui |
03 La personne enregistrée | 21 Activités : réunion, présence à un événement | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que la personne n'a pas retiré son consentement | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | Les personnes ont adhéré au conseil de vie sociale |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'information est délivrée - globalement par la présente Politique de Protection - lors de chaque compte rendu du conseil de vie sociale |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s’adressant au secrétariat de de l'ITEP, la direction le cas échéant ou en remplissant le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Destinataires |
Type |
Commentaire |
---|---|---|
Membre du conseil de Vie sociale | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesure physique | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle |
Désignation | Organiser des mini camps et activités de transferts |
Finalité(s) | Informations nécessaires à l'organisation de séjours vacances |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers ITEP ou SESSAD | 01 Identifiants | Oui |
12 Entourage proche de l'usager | 01 Identifiants | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après le départ du jeune (dossier accueil) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | Une autorisation spécifique est requise concernant chaque activité ou sortie |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par une mention en bas de la feuille d’inscription |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant au secrétariat de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Destinataires |
Type |
Commentaire |
---|---|---|
04 POLE SOCIO-EDUCATIF | Groupe | |
05 POLE PEDAGOGIQUE | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Système d'authentification dédié aux partenaires et sous-traitants | Les partenaires et sous-traitants peuvent accéder à l'information qui leur est destinée depuis le système d'information de l'organisme | Mesure organisationnelle |
Désignation | Stocker, archiver, redonner, les données issues des séjours |
Finalité(s) | - séparer les dossiers des usagers présents, ceux partis depuis moins de 2 ans et les autres - tenir des archives papiers et électroniques - Communiquer avec les usagers et les tiers autorisés pour redonner de l'information |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 | rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation... | |
Référentiel | Code de l'action sociale et des familles : art L232-46 | relatif à la conservation des données d'un demandeur ou d'un bénéficiaire du conseil départemental |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La gestion des données actives et des archives est inhérente à l'accueil des usagers et à la conclusion d'un contrat de séjour |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Durant toute la phase d'archivage, l'usager ou ses ayants droits peuvent valoir leurs droits de consultation, conformément à l'article art L232-46 du code de l'action sociale et des familles. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | A l'issue de la durée d''archivage interne, l'Itep entamera une procédure de restitution et enverra le dossier aux archives départementales. |
Destinataires |
Type |
Commentaire |
---|---|---|
ADMINISTRATIF ET SUPPORT | Groupe | |
05 POLE PEDAGOGIQUE | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les dossiers usagers sont constitués de données sensibles tant pour l'usager lui-même que pour ses proches. L'accès et les actions sur les dossiers sont donc strictement encadrés et font l'objet de protections particulières |
Désignation |
Contenu |
Type |
Commentaire |
---|
Désignation | Gestion des achats et des fichiers fournisseurs |
Finalité(s) | - Effectuer les opérations administratives liées aux contrats, commandes, réceptions, factures, règlements - Gestion d’une base fournisseurs - Gestion de l’exécution financière des dépenses de l'entreprise - Suivi de budgets hors dépense de personnel |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées. |
Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
Référentiel | Fichiers de fournisseurs | CNIL Norme DI 04 concernant les fichiers fournisseurs et la prospection commerciale |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
15 Fournisseurs, partenaires, cotraitants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
15 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
15 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
31 Prestataires, consultants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
31 Prestataires, consultants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
10 ans (livres et pièces comptables clients, fournisseurs) | -- | -- | Conformément aux codes des impôts, tous les documents concernant les achats sont conservés 10 ans |
Tant que le contrat est en cours | -- | -- | Nom des interlocuteurs, contenu des correspondances, documents transmis (devis, commandes, BL,..) |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | L'ouverture d'un compte, l'acceptation d'un devis et/ou des CGV vaut consentement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La conservation et les échanges de données sont régies par les Conditions Générales de Vente ou les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques qui régissent les relations des parties |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les employés ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | non, sauf spécifications contraire entre les parties |
Destinataires |
Type |
Commentaire |
---|---|---|
COMPTA - RH | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesure physique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
Désignation | Comptabilité, émission et suivi des paiements et de la trésorerie |
Finalité(s) | - Gérer les budgets de l'établissement - Émettre des paiements fournisseurs et tiers - Suivre les comptes bancaires, la trésorerie - Saisir la comptabilité générale - éditer les états de gestion |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Comptabilité | Service Public, règles comptables CNIL, Délibération relative au traitement automatisé de la comptabilité générale | |
Référentiel | Délais de conservation et d'archivage des documents pour les entreprises | Une entreprise doit conserver tout document émis ou reçu dans l'exercice de son activité pendant une durée minimale. Ce délai varie selon la nature des papiers et les obligations légales. L'entreprise peut aussi archiver les documents plus longtemps, sauf s'ils contiennent des données personnelles. Pendant ce délai, l'administration peut mener des contrôles. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
15 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
15 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
20 Employés de l'organisme | 76 Données RH : salaire, acomptes, coef. retenue à la source, domiciliation bancaire | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Année en cours | -- | -- | Documents et fichiers comptables |
10 ans (livres et pièces comptables clients, fournisseurs) | -- | -- | (obligation fiscale) |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process Legal obligation |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pas d'information particulière autre que la Politique de Protection |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Pas de droits particuliers sur ce traitement |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Destinataires |
Type |
Commentaire |
---|---|---|
COMPTA - RH | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'entreprise: (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesure physique | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle |
Désignation | Candidatures et recrutement |
Finalité(s) | Pour conserver les candidatures et les demandes de recrutement dans une entreprise, il est important de mettre en place un processus de gestion des candidatures efficace. - Utiliser un système de suivi des candidatures : Il est important d'utiliser un système de suivi des candidatures pour stocker et organiser les candidatures reçues. Les systèmes de suivi des candidatures permettent de stocker les CV, les lettres de motivation et les autres documents pertinents, ainsi que de suivre l'état d'avancement des candidatures. - Créer une base de données de candidats : Il est important de créer une base de données de candidats pour stocker les informations sur les candidats qui ont postulé à des postes |
Informations complémentaires | Secrétariat, responsables de services éducatifs, services administratifs, direction Pas de destinataires externes |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Référentiel | Recrutement | CNIL les-operations-de-recrutement | |
Référentiel | Code du travail : les droits du candidat | Le recruteur est fondé à demander au candidat tous les éléments permettant de vérifier sa qualification et ses antécédents professionnels mais il doit limiter ses investigations à cette sphère. Le candidat à un emploi est de son côté tenu de répondre de bonne foi aux questions qui lui sont légalement posées. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
22 Candidats à un emploi | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
22 Candidats à un emploi | 02 Identifiants : domicile privé (adresse postale) | Non |
22 Candidats à un emploi | 03 Identifiants : adresse de messagerie personnelle | Non |
22 Candidats à un emploi | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Non |
22 Candidats à un emploi | 03 Identifiants : téléphone privé (portable, fixe) | Non |
22 Candidats à un emploi | 15 Caractéristiques personnelles : date, lieu de naissance | Non |
22 Candidats à un emploi | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non |
22 Candidats à un emploi | 41 Situation et relations : profession, domaine d'activité, catégorie socio-professionnelle | Oui |
22 Candidats à un emploi | 70 Données RH : CV, diplômes, expériences, centres d'intérêts | Oui |
22 Candidats à un emploi | 75 Données RH : entretiens (dates, évaluateur, objectifs, appréciations) | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après leur réception (RH : dossiers de candidatures) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les candidats reçoivent un email en réponse à leur demande qui indique un lien vers la Politique de Protection des Données |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Ils peuvent agir sur leurs données via le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A : aucune donnée collectée ne nécessite une portabilité |
Destinataires |
Type |
Commentaire |
---|---|---|
ADMINISTRATIF ET SUPPORT | Groupe | |
01 DIRECTION | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle |
Désignation | Gestion de l'archivage |
Finalité(s) | - Archiver les dossiers usager (données administratives et données générées pendant leur séjour), au format papier comme au format numérique - Archiver les données de gestion et de RH au format papier ou numérique postérieurement aux traitements pour se conformer à la légalité ou à des contraintes spécifiques |
Informations complémentaires | Le service d'archives a pour mission de collecter, conserver, communiquer et mettre en valeur l'ensemble des documents d'archives produits ou reçus. De mettre en place une structure logique et hiérarchique des documents, allant du général au particulier. De garantie une conservation efficace et durable des documents quel que soit leur support. |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Loi du 17 juillet 1978 sur l'accès aux documents administratifs | Principe général de libre accès aux documents administratifs | |
RGPD | Guide des durées de conservation (CNIL) | apporte une aide aux professionnels dans la définition pertinente des durées de conservation de leurs traitements de données personnelles | |
Référentiel | CNAOP | Procédures de recueil, de communication et de conservation des renseignements relatifs à l’identité des parents de naissance Renseignements non identifiants relatifs à leur santé, l’origine géographique de l’enfant et les raisons et circonstances de sa remise au service | |
Référentiel | Code de la santé publique : art L1110 à L1115 | Droits des personnes malades et des usagers du système de santé (Articles L1110-1 à L1115-3) L1110, respect de la vie privée et du secret lors des échanges. L1112, relatif à la conservation des données de santé par les établissements de santé |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Usagers ITEP ou SESSAD | Toutes données du dossier unique | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legal obligation |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Il incombe à l'association de protéger la vie privée de l’usager accueilli en limitant cet accès sous réserve de l’avoir prévu et argumenté dans la procédure d’accès inscrite dans le livret d’accueil. |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L’association prend certaines précautions afin de s'assurer, lors d'une demande de consultation par les représentants légaux ou la famille , de ne pas porter atteinte à la vie privée de l'usager ou à des tiers. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, le dossier reste à disposition de l'usager qui peut en obtenir une copie sur sa demande. Avant destruction L'association tente de proposer la transmission du dossier à la personne. En cas d'échec,le dossier est détruit |
Destinataires |
Type |
Commentaire |
---|---|---|
ACCUEIL | Groupe | |
COMPTA - RH | Groupe |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | L'archivage physique comme numérique, contient, au même titre que la sauvegarde, une quantité importante de données, souvent sensibles. La garantie de la conservation est primordiale et les modalités d'accès adaptées L'archivage du dossier est soumis notamment à la loi de 2002, et son accès soumis au régime particulier défini par le CNAOP |
Désignation |
Contenu |
Type |
Commentaire |
---|