Organisme

  • Designation: Association Perce Neige
  • Adresse: 15, rue borde de saut, 64680 N/A (FR)
  • Téléphone: 05 59 34 95 34
  • Courriel: direction@perceneige-ogeu.fr
  • Site Web:

Représentant légal
  • Nom: Mr CASENAVE Bruno
  • Téléphone: N/A
  • Courriel: direction@perceneige-ogeu.fr

Contrôleur / Délégué à la Protection des Données
  • Nom: LAIRIE Jean Christophe
  • Téléphone: N/A
  • Courriel: dpo@dlplace.eu

Désignation Missions de l'association
Finalité(s) Crée en 1985, l'association Perce-Neige Pyrénées, indépendante du Comité National Perce-Neige, trouve son fondement dans l'accompagnement de personnes adultes handicapées dans les domaines éducatif, pédagogique, thérapeutique et social.
Cet accompagnement s'exerce comme une démarche, qui doit placer la personne au cœur des préoccupations et de l'action en lui donnant une place de citoyen.
Etablissement d'accueil non médicalisé pour personnes handicapées (EANM), la Maison Perce Neige Pyrénées s'intègre dans le projet associatif, au niveau des valeurs portées par l'association.


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
Référentiel Statuts de l'association Convention juridique par laquelle les membres mettent en commun leurs connaissances ou leur activité dans un but désigné, autre que celui de partager des bénéfices
Référentiel Charte associative Définit les finalités et les objectifs de l'association
RGPD Référentiel pour les établissements ESMS Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap Adopté le 11 mars 2021, JO de la CNIL n° 2021-028
Référentiel Guide pour les établissements sociaux et médico-sociaux Le dossier de la personne accueillie ou accompagnée. Recommandations aux professionnels pour améliorer la qualité


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers EANM 66 Santé (médico-social) : évaluation domaine Handicap Oui
15 Fournisseurs, partenaires, cotraitants 01 Identifiants Oui
20 Employés de l'association 70 Données RH Oui


Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Explicite
Méthode(s) de consentement L'association recueille le consentement des personnes chaque fois que nécessaire
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) L'association diffuse les informations générales via des documents remis aux destinataires contenant des informations spécifiques lors de chaque traitement
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en s'adressant directement à la direction, Mr Caeenave, au DPO Mr Jean Christophe Lairie, par téléphone, mail ou en se rendant dans les locaux de l'organisme. Pour tout recours, elles peuvent s'adresser à la CNIL
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? Il n'y a pas de procédure automatique prévue pour la récupération des données traitées par notre association, celles-ci étant déjà transmises le plus souvent au travers des documents échangés avec les personnes concernées.


Acteurs internes

Destinataires
Type
Commentaire
Educatif Groupe
Médical Groupe
Administratif Groupe


Acteurs et sous traitants

N/A

Destinataires externes

Destinataires
Motif d'envoi d'informations
Commentaire


Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection Consciente de l'impact potentiel d'une violation de données, l'ITEP forme régulièrement ses employés au meilleur usage des données et confie le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme.


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire



Désignation perce-neige-pyrenees.org
Finalité(s) Site mise en place dès le mois de juin 2023 (Hébergé par Blueconfig Informatique)


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1a (consentement) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;


Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
1 an (RH : bulletins édités, horaires et éléments variables du salaire) -- -- Art 3171-16


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? N/A


Acteurs internes

N/A

Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E N/A


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire



Désignation Gestion et suivi des communications entrantes et sortantes
Finalité(s) - Gestion des correspondances avec les tiers non usagers (partenaires, fournisseurs, ...) : courriers, mails, appels téléphoniques suivi des visites à l'accueil
- Répondre et conserver une copie des réponses
- Transmettre aux destinataires, suivre les réponses jusqu'à conclusion
- L' établissement doit être en mesure de démontrer la conformité aux exigences du RGPD en traçant toutes les démarches entreprises.


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1f (intérêts légitimes) Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Référentiel Secret des correspondances privées Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale.


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
03 La personne enregistrée 01 Identifiants : état civil (nom, prénom, civilité) Oui
03 La personne enregistrée 02 Identifiants : domicile privé (adresse postale) Non
03 La personne enregistrée 03 Identifiants : adresse de messagerie personnelle Non
03 La personne enregistrée 03 Identifiants : téléphone privé (portable, fixe) Non
03 La personne enregistrée 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
3 mois après la réponse à la demande ou la fin de de la communication (messages et mails de correspondances) -- -- ou suppression si archivage inutile


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Legitimate ou pre-contractual process
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données"
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition La personne pourra s'adresser directement à la direction par tél, mail ou physiquement, ou bien remplir le formulaire de demande de droit disponible depuis le site internet.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? Non, la personne dispose déjà des données car elle est partie prenant des échanges


Acteurs internes

Destinataires
Type
Commentaire
ACCUEIL Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection La divulgation d'une demande à une personne non autorisée peut entrainer des désagréments. En conséquence, l'accès aux informations est restreint aux seules personnes habilités grâce à une application sécurisée et des codes d'accès distincts ont été crées afin de cloisonner l'information.


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Accès via un compte soumis à une politique de droits Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées Mesure organisationnelle
Données stockées dans un serveur à l'accès physique contrôlé Protection des locaux et des accès Mesure physique
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique
Protection de la base de données par le chiffrement Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement Mesure technologique



Désignation Répondre aux demandes d’accueil : notifications mdph & liste d'attente d’arrivée
Finalité(s) - enregistrer et transmettre les demandes reçues par la plateforme ViaTrajectoire, par téléphone ou emails
- Transmettre aux destinataires, le cas échéant, suivre les réponses jusqu'à conclusion
- Conserver une copie des réponses et les candidatures non abouties


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1b (mesures précontractuelles) le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée
Référentiel Code de l'action sociale et des familles - art L311-4 relatif au droit des usagers concernant la représentation à la personne ou son représentant légal d'un livret d'accueil conforme au modèle établi par décret (Mars 2020)
Référentiel Code de l'action sociale et des familles : art. L. 311-3 relatif à l'exercice des droits et libertés individuels garanti à toute personne prise en charge par des établissements et services sociaux et médico-sociaux. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041721294


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
11 Candidats à l'admission 01 Identifiants : état civil (nom, prénom, civilité) Oui
11 Candidats à l'admission 02 Identifiants : domicile privé (adresse postale) Oui
11 Candidats à l'admission 03 Identifiants : adresse de messagerie personnelle Oui
11 Candidats à l'admission 03 Identifiants : téléphone privé (portable, fixe) Oui
11 Candidats à l'admission 31 Vie personnelle : fratrie (entourage) Oui
11 Candidats à l'admission parcours institutionnel, soins, scolarité, contexte familial, origine de la demande Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
3 ans après la demande (demande d'admission) 01 Base active Suppression


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Punctual or contractual engagement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? Non, pour les informations déjà transmises par la personne elle-même. Oui, pour les motivations concernant les décisions prises


Acteurs internes

Destinataires
Type
Commentaire
Administratif Groupe


Acteurs et sous traitants

N/A

Destinataires externes

Destinataires
Motif d'envoi d'informations
Commentaire
Autorités administratives compétentes 02 Information d'une partie prenante


Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Accès aux données via une double authentification L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification Mesure technologique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique
Protection des documents par le chiffrement Les documents sont taggués lors de leur création ce qui entraine leur chiffrement lors de l'enregistrement et détermine les droits d'accès. Mesure technologique
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique



Désignation Gestion et accès au dossier unique contenant les informations nécéssaires à la prise en charge de l'usager
Finalité(s) - Récolter les informations nécessaires à la prise en charge complète et adéquate de la personne accueillie.
- un volet administratif (contrat de séjour, DIPC, ordonnance du juge, relevé de décision d'orientation..)
- un volet technique (comptes-rendus et synthèses des
réunions, le projet individuel, évaluations, courriers échangés avec l’usager et les familles, etc.)
- Les centraliser dans un dossier unique papier ou informatisé
- Donner l'accès à ces informations aux services intéressés
- Mettre à jour ces informations tout au long de son séjour


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
Référentiel Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation...
RGPD Article 6-1b (contrat) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées.
Référentiel Code de l'action sociale et des familles - art L311-4 relatif au droit des usagers concernant la représentation à la personne ou son représentant légal d'un livret d'accueil conforme au modèle établi par décret (Mars 2020) https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041721298
Référentiel Code de l'action sociale et des familles : art. L. 311-3 relatif à l'exercice des droits et libertés individuels garanti à toute personne prise en charge par des établissements et services sociaux et médico-sociaux. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041721294


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers EANM 01 Identifiants : état civil (nom, prénom, civilité) Oui
10 Usagers EANM 02 Identifiants : domicile privé (adresse postale) Oui
10 Usagers EANM 03 Identifiants : adresse de messagerie personnelle Oui
10 Usagers EANM 10 Identifiants : signature (manuscrite, numérique) Oui
10 Usagers EANM 12 Identifiants : NIR (numéro sécurité sociale) Oui
10 Usagers EANM 15 Caractéristiques personnelles : date et lieu de naissance Oui
10 Usagers EANM 16 Caractéristiques personnelles : nationalité Oui
10 Usagers EANM 31 Vie personnelle : fratrie (entourage) Oui
10 Usagers EANM 33 Vie personnelle : intérêts et attentes de la personne Oui
10 Usagers EANM 62 Santé : comptes rendus et prescriptions médicales Oui
10 Usagers EANM 66 Santé (médico-social) : évaluation domaine Handicap Oui
10 Usagers EANM Mandataire assermenté de l'usager Oui
12 mandataires assermentés (anciennement tuteurs) 01 Identifiants : état civil (nom, prénom, civilité) Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Explicite
Méthode(s) de consentement Oui, l'usager ainsi que ses représentations signent initialement le contrat de séjour.
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) Le contrat de séjour comporte un article "données personnelles"
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en adressant un écrit à la direction, ou via le formulaire d’exercice des droits transmis Délégué à Protection des Données de l'ITEP.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? Il n'y a pas de procédure globale pour la récupération des données ajoutées au dossier unique : les informations initiales sont issues de la personne elle-même ; pour les informations ajoutées durant la présence de l'usager, chaque rubrique fait l'objet d'une procédure spécifique


Acteurs internes

Destinataires
Type
Commentaire
ACCUEIL Groupe
06 POLE THERAEUTIQUE Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection Pour la DGAS, « le dossier traite de données personnelles, d’informations nominatives précieuses devant être protégées, avant d’être éventuellement consignées, conservées et communiquées au nom de leur utilité pour une action professionnelle légitime dans l’intérêt des personnes accompagnées ».


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire



Désignation Gérer les relations avec les familles et partenaires, organiser des moments d'échanges et des réunions
Finalité(s) Pour gérer les relations avec les familles et les partenaires, organiser des moments d’échanges et des réunions dans un établissement médico-social, il est important de mettre en place une communication efficace et transparente:

- Établir une relation de confiance : Il est important d’établir une relation de confiance avec les familles et les partenaires. Cela peut être réalisé en étant à l’écoute de leurs besoins et en répondant rapidement à leurs préoccupations.

- Organiser des rencontres régulières : Organiser des rencontres régulières avec les familles et les partenaires peut aider à renforcer la communication et à résoudre rapidement les problèmes.

-Utiliser des outils de communication modernes : Les outils de communication modernes tels que les applications de messagerie instantané.
Sans oublier, l'envoi et la réception des courriers aux partenaires, aux familles.


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1b (contrat) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées.
Référentiel Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation...
Référentiel Secret des correspondances privées Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale.
RGPD Article 6-1b (mesures précontractuelles) le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers ITEP ou SESSAD 01 Identifiants : état civil (nom, prénom, civilité) Oui
10 Usagers ITEP ou SESSAD parcours institutionnel, soins, scolarité, contexte familial, origine de la demande Oui
12 Ayants droit (parents, responsables légaux) 01 Identifiants : état civil (nom, prénom, civilité) Non
12 Ayants droit (parents, responsables légaux) 03 Identifiants : adresse de messagerie personnelle Non


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
3 mois après la réponse à la demande ou la fin de de la communication (messages et mails de correspondances) -- --
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) -- --
20 ans après le dernier départ du titulaire (archive dossier usager) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Punctual or contractual engagement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) L'information est délivrée
- globalement par la présente Politique de Protection
- lors de la contractualisation du contrat de séjour (article "données personnelles")
- lors des réunions annuelles, une nouvelle information est délivrée
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en s'adressant au secrétariat de l'ITEP, le cas échéant à à la direction, Mme Courrèges,ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? L'usager peut recueillir les correspondances versées au dossier unique, les autres ayant été supprimées


Acteurs internes

Destinataires
Type
Commentaire
04 POLE SOCIO-EDUCATIF Groupe
ACCUEIL Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection Le secret des correspondances est important afin de ne pas porter atteinte à la vie privée de l'usager ou ou à celle de tiers. Le secrétariat de l’ITEP numérise les les courriers papiers et redirige les emails directement dans l'application métier, assurant ainsi sa confidentialité


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Transmission directe et orale de l'information L'absence de stockage évite des mesures de protection Mesure organisationnelle
Isolation des données : utilisation de canaux dédiés Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application Mesure organisationnelle
Destruction du support papier Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation Mesure physique
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique



Désignation Suivre de la scolarité et interagir avec les établissements scolaires
Finalité(s) - Soutenir la scolarisation école / collège / lycée
- Suivre les apprentissages
- Suivre les stages et les séjours culturels


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1b (contrat) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées.
RGPD Référentiel pour les établissements ESMS Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap Adopté le 11 mars 2021, JO de la CNIL n° 2021-028
Référentiel Code de l'action sociale et des familles : art. L. 1110-4 relatif aux droits de la personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000036515027/


Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) -- --
20 ans après le dernier départ du titulaire (archive dossier usager) -- -- Si pas de restitution -> suppression


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Punctual or contractual engagement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) L'information est délivrée
- globalement par la présente Politique de Protection
- lors de la contractualisation du contrat de séjour (article "données personnelles")
- lors des réunions annuelles, une nouvelle information est délivrée
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en s'adressant directement au service socio-éducatif de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? L'usager peut recueillir les éléments de scolarité le concernant conservés dans son dossier


Acteurs internes

Destinataires
Type
Commentaire
04 POLE SOCIO-EDUCATIF Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection Le dossier scolaire regroupant les notes, les appréciations ainsi que les absences doit rester à la seule disposition des personnes concernées. Aussi sont-ils numérisés puis classé dans l'application métier qui assure la conservation et la confidentialité.


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Isolation des données : utilisation de canaux dédiés Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application Mesure organisationnelle
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique
Protection de la base de données par le chiffrement Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement Mesure technologique



Désignation Mener des activités éducatives, des ateliers d'éveil et de loisirs
Finalité(s) - Établir un programme d’activités : Il est important d’établir un programme d’activités qui soit adapté aux besoins et aux capacités des résidents. Le programme doit être varié et inclure des activités éducatives, des ateliers d’éveil et de loisirs.

- Favoriser la participation des résidents : Les résidents doivent être encouragés à participer activement aux activités organisées par l’établissement médico-social. Cela peut aider à renforcer la relation entre l’établissement et les résidents.

- Adapter les activités aux capacités des résidents : Les activités doivent être adaptées aux capacités des résidents. Il est important de prendre en compte les limitations physiques et mentales des résidents.

- proposer et rendre compte de ces activités

- gérer de la logistique (tenue d'un emploi du temps, le contrôle des déplacements), communiquer avec les partenaires, intervenants, parents

- garantir la cohérence des interventions


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1b (contrat) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées.
Référentiel Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation...


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers EANM 01 Identifiants Oui
10 Usagers EANM 24 Activités : habitudes, activités, présence à des événements… Oui
10 Usagers EANM Comptes rendus quotidiens et bilans périodiques Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) -- --
20 ans après le dernier départ du titulaire (archive dossier usager) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Punctual or contractual engagement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) L'information est délivrée
- globalement par la présente Politique de Protection
- lors de la contractualisation du contrat de séjour (article "données personnelles")
- lors des réunions annuelles, une nouvelle information est délivrée
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en s'adressant directement au service socio-éducatif de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? L'usager peut recueillir les éléments (activités et ateliers) le concernant conservés dans son dossier


Acteurs internes

Destinataires
Type
Commentaire
ENTRETIEN, MAINTENANCE, TRANSPORT Groupe
04 POLE SOCIO-EDUCATIF Groupe
05 POLE PEDAGOGIQUE Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection La précision et l'exactitude des informations transmises aux partenaires est essentielle pour assurer une bonne qualité de service ; aussi, les emplois du temps et ordres de mission émis par l'ITEP sont suivis numériquement et validés au fil de l'eau par les partenaires


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Transmission directe et orale de l'information L'absence de stockage évite des mesures de protection Mesure organisationnelle
Isolation des données : utilisation de canaux dédiés Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application Mesure organisationnelle
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique



Désignation Suivre les troubles, évaluer le comportement, établir des rapports et bilans concernant l'usager
Finalité(s) - tenir à jour un système de suivi des troubles constatés
- établir un suivi des comportements
- évaluer les problématiques et aptitutes
- stocker les rapports émis par les éducateurs
Informations complémentaires Equipe éducative, équipe para-médicale et médicale
Destinataires externes : tiers autorisés (entourage, famille), autorités administratives compétentes


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1b (contrat) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées.
Référentiel Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation...
Référentiel Code de l'action sociale et des familles : art L331-8 Remontée des informations aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers ITEP ou SESSAD 01 Identifiants Oui
10 Usagers ITEP ou SESSAD 61 Santé (physique, mentale) informations cliniques ou biologiques Oui
10 Usagers ITEP ou SESSAD 62 Santé : comptes rendus et prescriptions médicales Oui
10 Usagers ITEP ou SESSAD 66 Santé : types de soins de suites (domaine sanitaire) Oui
10 Usagers ITEP ou SESSAD 68 Santé, prise en compte de la vie affective et sexuelle à des fins d'accompagnement Oui
10 Usagers ITEP ou SESSAD Appareillage et prescriptions médicamenteuses Oui
10 Usagers ITEP ou SESSAD Comportement, troubles, vie affective, sexuelle, intérêts, sommeil Oui
10 Usagers ITEP ou SESSAD observation depuis l'arrivée ou le dernier rapport Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) -- --
20 ans après le dernier départ du titulaire (archive dossier usager) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Punctual or contractual engagement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) L'information est délivrée
- globalement par la présente Politique de Protection
- lors de la contractualisation du contrat de séjour (article "données personnelles")
- lors des réunions annuelles, une nouvelle information est délivrée
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en s'adressant au responsable de l'équipe médicale ou para-médicale, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? L'usager peut recueillir les éléments (rapports et évaluation) le concernant conservés dans son dossier


Acteurs internes

Destinataires
Type
Commentaire
04 POLE SOCIO-EDUCATIF Groupe
06 POLE THERAEUTIQUE Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection L’évaluation des besoins des jeunes avec troubles du comportement constitue un maillon essentiel de l’accompagnement des trajectoires des jeunes accueillis en ITEP, aussi les données saisies et leur communication font l'objet d'une grande vigilance. Un outil numérique métier dédié et adapté a été choisi pour aider au classement, à l'exploitation et au partage de ces données


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Isolation des données : utilisation de canaux dédiés Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application Mesure organisationnelle
Système d'authentification dédié aux partenaires et sous-traitants Les partenaires et sous-traitants peuvent accéder à l'information qui leur est destinée depuis le système d'information de l'organisme Mesure organisationnelle
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique
Protection de la base de données par le chiffrement Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement Mesure technologique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique



Désignation Prodiguer des soins paramédicaux et quotidiens
Finalité(s) - Organiser des séances avec les professionnels para-médicaux
- Effectuer des soins quotidiens et enregistrer les comptes rendus
- Suivre et partager les dossiers de
soins infirmiers : pansements, sondes (gastrique, urinaire...), prises de sang, injections, perfusions, suivi des protocoles (tension, glycémie...),évènements particuliers
aides soignantes : besoins fondamentaux et suivi journalier, selles, changes, évènements de la journée.


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
Référentiel Code de l'action sociale et des familles : art L232-46 relatif à la conservation des données d'un demandeur ou d'un bénéficiaire du conseil départemental
Référentiel Accès au dossier médical (loi du 4 mars 2002) relatif aux droits des malades, principe de l’accès direct du patient à l’ensemble des informations de santé le concernant et organisation de cet accès.
RGPD Article 6-1f (intérêts légitimes) Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers ITEP ou SESSAD 01 Identifiants Oui
10 Usagers ITEP ou SESSAD 01 Identifiants : état civil (nom, prénom, civilité) Oui
10 Usagers ITEP ou SESSAD 62 Santé : comptes rendus et prescriptions médicales Non
10 Usagers ITEP ou SESSAD 65 Santé : évaluation médico-sociale de la personne concernée Non
10 Usagers ITEP ou SESSAD 66 Santé : types de soins de suites (domaine sanitaire) Non
10 Usagers ITEP ou SESSAD 66 Santé (médico-social) : évaluation domaine Handicap Non


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) -- --
20 ans après le dernier départ du titulaire (archive dossier usager) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Punctual or contractual engagement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) L'information est délivrée
- globalement par la présente Politique de Protection
- au moment de la signature du contrat par l'article "données personnelles"
- au moment des soins, une information orale est délivrée
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en s'adressant directement aux services médical de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données de l'ITEP
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? L'usager peut recueillir les éléments (comptes rendus paramédicaux) le concernant conservés dans son dossier


Acteurs internes

Destinataires
Type
Commentaire
06 POLE THERAEUTIQUE Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection Le secret concerne les faits, éléments du traitement ou de la vie privée du patient confiés par le patient, son entourage ou devinés, compris ou déduits lors des consultations. Il est est couvert par le secret professionnel et doit bénéficier d'un
niveau de protection identique au secret médical.


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Accès aux données via une double authentification L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification Mesure technologique
Accès via un compte soumis à une politique de droits Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées Mesure organisationnelle
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique
Protection de la base de données par le chiffrement Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement Mesure technologique



Désignation Conseil de vie sociale
Finalité(s) Le conseil de la vie sociale est une instance élue par les résidents et les familles d'un établissement médico-social . Il est composé de représentants des résidents, des familles et du personnel de l'établissement. Le conseil de la vie sociale donne son avis et fait des propositions sur toutes les questions liées au fonctionnement de l'établissement, telles que l'organisation intérieure, la vie quotidienne, les activités, l'animation socioculturelle, les services thérapeutiques, les projets de travaux et d'équipements, la nature et le prix des services rendus, l'affectation des locaux collectifs, l'entretien des locaux, les relogements prévus en cas de travaux ou de fermeture . Le rôle du conseil de la vie sociale est consultatif . Il favorise l'expression et la participation des résidents et de leurs familles à la vie de la structure .
Informations complémentaires Le conseil de la vie sociale (CVS) a été créé par la loi du 2 janvier 2002 rénovant l’action sociale et médico-sociale . Cette loi avait pour objectif de renforcer les droits des résidents hébergés dans des établissements médico-sociaux tels que les foyers pour personnes handicapées et les EHPAD .


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
Référentiel Conseil de vie sociale créé par la loi du 2 janvier 2002 rénovant l’action sociale et médico-sociale afin de renforcer les droits des résidents hébergés dans des établissements médico-sociaux
Référentiel Conseil de vie sociale Le conseil de la vie sociale réunit parents, enfants, professionnels et direction une fois par an pour des sujets d’ordre général. Ce conseil est composé de commissions locales. Chaque antenne de l’établissement dispose de sa propre commission locale qui se réunit deux fois par an. Ce sont donc 8 à 9 réunions annuelles pour faire vivre la participation des enfants et des familles aux décisions qui les concernent.


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
03 La personne enregistrée 01 Identifiants : état civil (nom, prénom, civilité) Oui
03 La personne enregistrée 03 Identifiants : adresse de messagerie personnelle Oui
03 La personne enregistrée 21 Activités : réunion, présence à un événement Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
Tant que la personne n'a pas retiré son consentement -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Explicite
Méthode(s) de consentement Les personnes ont adhéré au conseil de vie sociale
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) L'information est délivrée
- globalement par la présente Politique de Protection
- lors de chaque compte rendu du conseil de vie sociale
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition En s’adressant au secrétariat de de l'ITEP, la direction le cas échéant ou en remplissant le formulaire d'exercice des droits
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? N/A


Acteurs internes

Destinataires
Type
Commentaire
Membre du conseil de Vie sociale Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Données stockées dans un serveur à l'accès physique contrôlé Protection des locaux et des accès Mesure physique
Accès via un compte soumis à une politique de droits Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées Mesure organisationnelle



Désignation Organiser des mini camps et activités de transferts
Finalité(s) Informations nécessaires à l'organisation de séjours vacances


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1a (consentement) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers ITEP ou SESSAD 01 Identifiants Oui
12 Entourage proche de l'usager 01 Identifiants Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après le départ du jeune (dossier accueil) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Explicite
Méthode(s) de consentement Une autorisation spécifique est requise concernant chaque activité ou sortie
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) Par une mention en bas de la feuille d’inscription
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les personnes peuvent exercer leurs droits en s'adressant au secrétariat de l'ITEP, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? N/A


Acteurs internes

Destinataires
Type
Commentaire
04 POLE SOCIO-EDUCATIF Groupe
05 POLE PEDAGOGIQUE Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Données stockées dans une infrastructure "Datacenter" Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 Mesure physique
Accès via un compte soumis à une politique de droits Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées Mesure organisationnelle
Isolation des données : configuration du partage de fichiers Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers Mesure organisationnelle
Système d'authentification dédié aux partenaires et sous-traitants Les partenaires et sous-traitants peuvent accéder à l'information qui leur est destinée depuis le système d'information de l'organisme Mesure organisationnelle



Désignation Stocker, archiver, redonner, les données issues des séjours
Finalité(s) - séparer les dossiers des usagers présents, ceux partis depuis moins de 2 ans et les autres
- tenir des archives papiers et électroniques
- Communiquer avec les usagers et les tiers autorisés pour redonner de l'information


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1f (intérêts légitimes) Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Référentiel Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002 rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation...
Référentiel Code de l'action sociale et des familles : art L232-46 relatif à la conservation des données d'un demandeur ou d'un bénéficiaire du conseil départemental


Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Legitimate ou pre-contractual process
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) La gestion des données actives et des archives est inhérente à l'accueil des usagers et à la conclusion d'un contrat de séjour
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Durant toute la phase d'archivage, l'usager ou ses ayants droits peuvent valoir leurs droits de consultation, conformément à l'article art L232-46 du code de l'action sociale et des familles.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? A l'issue de la durée d''archivage interne, l'Itep entamera une procédure de restitution et enverra le dossier aux archives départementales.


Acteurs internes

Destinataires
Type
Commentaire
ADMINISTRATIF ET SUPPORT Groupe
05 POLE PEDAGOGIQUE Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection Les dossiers usagers sont constitués de données sensibles tant pour l'usager lui-même que pour ses proches. L'accès et les actions sur les dossiers sont donc strictement encadrés et font l'objet de protections particulières


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire



Désignation Gestion des achats et des fichiers fournisseurs
Finalité(s) - Effectuer les opérations administratives liées aux contrats, commandes, réceptions, factures, règlements
- Gestion d’une base fournisseurs
- Gestion de l’exécution financière des dépenses de l'entreprise
- Suivi de budgets hors dépense de personnel


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1b (contrat) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées.
Référentiel Code de commerce Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties
Référentiel Fichiers de fournisseurs CNIL Norme DI 04 concernant les fichiers fournisseurs et la prospection commerciale


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
15 Fournisseurs, partenaires, cotraitants 01 Identifiants : état civil (nom, prénom, civilité) Oui
15 Fournisseurs, partenaires, cotraitants 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) Oui
15 Fournisseurs, partenaires, cotraitants 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) Oui
31 Prestataires, consultants 01 Identifiants : état civil (nom, prénom, civilité) Oui
31 Prestataires, consultants 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
10 ans (livres et pièces comptables clients, fournisseurs) -- -- Conformément aux codes des impôts, tous les documents concernant les achats sont conservés 10 ans
Tant que le contrat est en cours -- -- Nom des interlocuteurs, contenu des correspondances, documents transmis (devis, commandes, BL,..)


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Explicite
Méthode(s) de consentement L'ouverture d'un compte, l'acceptation d'un devis et/ou des CGV vaut consentement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) La conservation et les échanges de données sont régies par les Conditions Générales de Vente ou les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques qui régissent les relations des parties
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Les employés ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? non, sauf spécifications contraire entre les parties


Acteurs internes

Destinataires
Type
Commentaire
COMPTA - RH Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Moyens d'accès (compte, clés) dédiés à cette seule ressource Permet le cloisonnement des informations et la traçabilité des actions. Mesure organisationnelle
Accès via un compte soumis à une politique de droits Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées Mesure organisationnelle
Données stockées dans un serveur à l'accès physique contrôlé Protection des locaux et des accès Mesure physique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique



Désignation Comptabilité, émission et suivi des paiements et de la trésorerie
Finalité(s) - Gérer les budgets de l'établissement
- Émettre des paiements fournisseurs et tiers
- Suivre les comptes bancaires, la trésorerie
- Saisir la comptabilité générale
- éditer les états de gestion


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1f (intérêts légitimes) Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Référentiel Comptabilité Service Public, règles comptables CNIL, Délibération relative au traitement automatisé de la comptabilité générale
Référentiel Délais de conservation et d'archivage des documents pour les entreprises Une entreprise doit conserver tout document émis ou reçu dans l'exercice de son activité pendant une durée minimale. Ce délai varie selon la nature des papiers et les obligations légales. L'entreprise peut aussi archiver les documents plus longtemps, sauf s'ils contiennent des données personnelles. Pendant ce délai, l'administration peut mener des contrôles.


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
15 Fournisseurs, partenaires, cotraitants 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) Oui
15 Fournisseurs, partenaires, cotraitants 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) Oui
20 Employés de l'organisme 76 Données RH : salaire, acomptes, coef. retenue à la source, domiciliation bancaire Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
Année en cours -- -- Documents et fichiers comptables
10 ans (livres et pièces comptables clients, fournisseurs) -- -- (obligation fiscale)


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Legitimate ou pre-contractual process
Legal obligation
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) Pas d'information particulière autre que la Politique de Protection
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Pas de droits particuliers sur ce traitement
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? N/A


Acteurs internes

Destinataires
Type
Commentaire
COMPTA - RH Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'entreprise: (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Isolation des données : configuration du partage de fichiers Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers Mesure organisationnelle
Données stockées dans un serveur à l'accès physique contrôlé Protection des locaux et des accès Mesure physique
Compte d'accès soumis à une politique de complexité La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement Mesure technologique
Moyens d'accès (compte, clés) dédiés à cette seule ressource Permet le cloisonnement des informations et la traçabilité des actions. Mesure organisationnelle
Isolation des données : utilisation de canaux dédiés Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application Mesure organisationnelle



Désignation Candidatures et recrutement
Finalité(s) Pour conserver les candidatures et les demandes de recrutement dans une entreprise, il est important de mettre en place un processus de gestion des candidatures efficace.
- Utiliser un système de suivi des candidatures : Il est important d'utiliser un système de suivi des candidatures pour stocker et organiser les candidatures reçues. Les systèmes de suivi des candidatures permettent de stocker les CV, les lettres de motivation et les autres documents pertinents, ainsi que de suivre l'état d'avancement des candidatures.
- Créer une base de données de candidats : Il est important de créer une base de données de candidats pour stocker les informations sur les candidats qui ont postulé à des postes




Informations complémentaires Secrétariat, responsables de services éducatifs, services administratifs, direction
Pas de destinataires externes


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1b (mesures précontractuelles) le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée
Référentiel Recrutement CNIL les-operations-de-recrutement
Référentiel Code du travail : les droits du candidat Le recruteur est fondé à demander au candidat tous les éléments permettant de vérifier sa qualification et ses antécédents professionnels mais il doit limiter ses investigations à cette sphère. Le candidat à un emploi est de son côté tenu de répondre de bonne foi aux questions qui lui sont légalement posées.


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
22 Candidats à un emploi 01 Identifiants : état civil (nom, prénom, civilité) Oui
22 Candidats à un emploi 02 Identifiants : domicile privé (adresse postale) Non
22 Candidats à un emploi 03 Identifiants : adresse de messagerie personnelle Non
22 Candidats à un emploi 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) Non
22 Candidats à un emploi 03 Identifiants : téléphone privé (portable, fixe) Non
22 Candidats à un emploi 15 Caractéristiques personnelles : date, lieu de naissance Non
22 Candidats à un emploi 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) Non
22 Candidats à un emploi 41 Situation et relations : profession, domaine d'activité, catégorie socio-professionnelle Oui
22 Candidats à un emploi 70 Données RH : CV, diplômes, expériences, centres d'intérêts Oui
22 Candidats à un emploi 75 Données RH : entretiens (dates, évaluateur, objectifs, appréciations) Non


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après leur réception (RH : dossiers de candidatures) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Legitimate ou pre-contractual process
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) Les candidats reçoivent un email en réponse à leur demande qui indique un lien vers la Politique de Protection des Données
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition Ils peuvent agir sur leurs données via le formulaire d'exercice des droits
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? N/A : aucune donnée collectée ne nécessite une portabilité


Acteurs internes

Destinataires
Type
Commentaire
ADMINISTRATIF ET SUPPORT Groupe
01 DIRECTION Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Non
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire
Stockage (pièce, armoire, tiroir) fermé à clé L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder Mesure physique
Accès via un compte soumis à une politique de droits Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées Mesure organisationnelle
Isolation des données : configuration du partage de fichiers Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers Mesure organisationnelle



Désignation Gestion de l'archivage
Finalité(s) - Archiver les dossiers usager (données administratives et données générées pendant leur séjour), au format papier comme au format numérique

- Archiver les données de gestion et de RH au format papier ou numérique postérieurement aux traitements pour se conformer à la légalité ou à des contraintes spécifiques
Informations complémentaires Le service d'archives a pour mission de collecter, conserver, communiquer et mettre en valeur l'ensemble des documents d'archives produits ou reçus.
De mettre en place une structure logique et hiérarchique des documents, allant du général au particulier.
De garantie une conservation efficace et durable des documents quel que soit leur support.


Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type
Désignation
Contenu
Comment
RGPD Article 6-1f (intérêts légitimes) Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Référentiel Loi du 17 juillet 1978 sur l'accès aux documents administratifs Principe général de libre accès aux documents administratifs
RGPD Guide des durées de conservation (CNIL) apporte une aide aux professionnels dans la définition pertinente des durées de conservation de leurs traitements de données personnelles
Référentiel CNAOP Procédures de recueil, de communication et de conservation des renseignements relatifs à l’identité des parents de naissance Renseignements non identifiants relatifs à leur santé, l’origine géographique de l’enfant et les raisons et circonstances de sa remise au service
Référentiel Code de la santé publique : art L1110 à L1115 Droits des personnes malades et des usagers du système de santé (Articles L1110-1 à L1115-3) L1110, respect de la vie privée et du secret lors des échanges. L1112, relatif à la conservation des données de santé par les établissements de santé


Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes
Catégories de données
Commentaires
10 Usagers ITEP ou SESSAD Toutes données du dossier unique Oui


Combien de temps conservons-nous vos données ?

Duration of conversation
Type de stockage
Action en fin de période
Commentaire
2 ans après le départ du jeune (données collectées et traitées pour les besoins du suivi social ou médico-social) -- --


Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite) Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ? Legal obligation
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) Il incombe à l'association de protéger la vie privée de l’usager accueilli en limitant cet accès sous réserve de l’avoir prévu et argumenté dans la procédure d’accès inscrite dans le livret d’accueil.
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition L’association prend certaines précautions afin de s'assurer, lors d'une demande de consultation par les représentants légaux ou la famille , de ne pas porter atteinte à la vie privée de l'usager ou à des tiers.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? Oui, le dossier reste à disposition de l'usager qui peut en obtenir une copie sur sa demande. Avant destruction L'association tente de proposer la transmission du dossier à la personne. En cas d'échec,le dossier est détruit


Acteurs internes

Destinataires
Type
Commentaire
ACCUEIL Groupe
COMPTA - RH Groupe


Acteurs et sous traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E France


Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ? Oui
Ce traitement permet-il un profilage ? (RGPD, art 4) Non
Impact maximum sur les personnes concernées N/A
Impact maximum sur l'organisme N/A
Commentaires sur l'impact et la protection L'archivage physique comme numérique, contient, au même titre que la sauvegarde, une quantité importante de données, souvent sensibles. La garantie de la conservation est primordiale et les modalités d'accès adaptées
L'archivage du dossier est soumis notamment à la loi de 2002, et son accès soumis au régime particulier défini par le CNAOP


Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation
Contenu
Type
Commentaire