Le 20 juillet 2020, le président de l’autorité de contrôle polonaise (UODO) a infligé une amende d’un peu plus de 1000€ à un entrepreneur gérant une crèche et une école maternelle privées, celui-ci n’ayant pas fourni l’accès aux données à caractère personnel et aux autres documents nécessaires au président de l’UODO afin d’évaluer la notification d’une violation de données.
En effet, ce gérant a perdu l’accès à des données à caractère personnel stockées dans la crèche et l’école maternelle, alors même que l’activité menée par ce gérant nécessite une protection spéciale puisqu’en traitant des données d’enfants, ces derniers ne sont pas conscients des risques et conséquences liés au traitement des données. En ne fournissant pas toutes les informations nécessaires au président de l’UODO et ce malgré plusieurs rappels, le gérant s’est donc vu infliger une amende.
le 3 mars 2020, l’autorité de contrôle hollandaise a imposé une amende de 525.000€ contre le Royal Dutch Tennis Association (KNLTB), l’organe directeur national du tennis aux Pays-Bas, pour avoir partagé des données personnelles de ses membres à deux sponsors en Juin 2018 sans avoir demandé le consentement de ses membres au préalable, mais uniquement pour son propre intérêt commercial.
Nous commençons une série d'articles dédiés au RGPD pour les crèches, clubs, écoles et autres structures d’accueil pour les enfants. Au fur et à mesure nous couvrirons toutes les questions et sujets importants liés à la conformité au RGPD.
La suite de la série vous donnera des réponses à des questions pratiques concernant des sujets essentiels au RGPD qui vous aideront à devenir conforme.
Voici les premières étapes à suivre pour se rapprocher de la conformité au RGPD.
La législation européenne en matière de protection des données à caractère personnel a évolué depuis l’adoption du règlement européen « RGPD » en 2016, après quatre années de travail ayant pour objectif d’harmoniser, de moderniser et de renforcer les politiques de confidentialité et de traitement des données en un seul et unique régime applicable à tous les États membres de l’Union européenne.
Le RGPD est applicable depuis le 25 mai 2018. Les entreprises et organisations ont donc eu deux années pour prendre conscience de l’importance et des changements qu’allait apporter ce règlement européen. Cela va faire bientôt trois années qu’entreprises et organisations, en tant que responsables du traitement (entité qui traite des données personnelles) ou sous-traitants (entité qui traite également des données personnelles mais pour le compte du responsable du traitement), ont donc dû revoir et améliorer les processus de gestion des risques de leur organisation, car la mise en œuvre du RGPD peut avoir des répercussions importantes sur les ressources, en particulier pour les organisations les plus complexes.
Pourquoi devrions-nous nous préoccuper du RGPD ?
Comme indiqué précédemment, le RGPD peut avoir des répercussions importantes sur les organisations. En effet, tout retard dans les préparatifs de mise en conformité peut rendre votre organisation vulnérable à des problèmes de conformité, en particulier en cas de contrôle de la CNPD, l’autorité de contrôle luxembourgeoise en matière de protection des données, qui a vu ses pouvoirs s’accroître avec notamment la possibilité d’infliger des amendes en cas de non-respect de la législation en vigueur. De plus, l’évolution des technologies et de l’Internet durant ces trente dernières années a rendu les individus plus vulnérables aux attaques ainsi qu’aux utilisations frauduleuses de leurs données personnelles, c’est pourquoi c'est important de mettre tout en œuvre afin de garantir la sécurité des données personnelles de vos clients dès le début et tout au long de votre relation avec eux.
Le RGPD concerne-t-il les structures d’accueil d’enfants/clubs sportifs/ateliers pour enfants ?
Oui, à partir du moment où une organisation établie au sein de l’UE, peu importe son type d’activité ou sa structure, traite des données à caractère personnel, le RGPD s’appliquera à vous, que vous traitiez des données personnelles dans l’UE ou non. De même, une organisation située dans un pays tiers tel que les États-Unis par exemple, qui traite des données de citoyens au sein de l’UE devra également respecter les règles du RGPD.
Quelle est la qualification juridique d’une structure d’accueil pour enfants ?
Les clubs sportifs/ateliers pour enfants sont considérés comme responsables du traitement dans le sens où ils déterminent les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de les réaliser. Prenons l’exemple d’une crèche : Cette dernière est considérée comme un responsable de traitement car elle collecte des données à caractère personnel, aussi bien des enfants que des parents, telles que :
- Nom, prénom de l’enfant et des parents
- Adresse
- Numéro de téléphone des parents
- Personne de contact en cas d’urgence
- Détails des personnes pouvant venir chercher l’enfant
- Photographies ou vidéos lors des activités
- Information sur la santé de l’enfant (si allergie ou maladie p.ex.),
- etc.
Les parents de l’enfant devront également signer un contrat d’accueil déterminant les finalités (garde de l’enfant) et les moyens (ex. enfants gardés par des éducatrices diplômées) du traitement, la durée de conservation des données susmentionnées, si l'établissement utilise les services de sous-traitants (ex. pour la livraison de repas, logiciels, réseaux sociaux, ...) et tout autre information nécessaire concernant les conditions d’accueil de l'enfant.
Quelles sont les mesures de sécurité à mettre en place ?
Le RGPD exige que les responsables de traitement et les sous-traitants mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés, et ce avant même de commencer le traitement.
Que se passe-t-il si nous ne respectons pas le RGPD ?
Une société qui traite et collecte des données à caractère personnel ne respectant pas les dispositions du RGPD risque de se voir infliger une amende par l’autorité en matière de protection des données pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.
Il est donc important de toujours documenter ses traitements dans des registres, de prévoir des politiques en matière de gestion, de conservation et en cas de violation de données, et de toujours mettre à jour sa documentation afin de prouver sa conformité en cas de contrôle de la CNPD.
Les prochaines étapes suivront bientôt.
Si vous avez des questions concernant le RGPD pour votre crèche, club ou école, n'hésitez pas à contacter les experts de notre partenaire à: