RGPD

Q/ Au Lycee Jules Verne de Johannesbourg, nous demarrons notre etude de mise en conformite aux differentes reglementations applicables dans le domaine de la protection des donnees personnelles :
- Loi sud-africaine (qui entrera en vigueur dans quelques mois)
- RGPD qui nous semble pouvoir s’appliquer d’une part comme "texte de reference" mais aussi dans certains cas lorsque nous traitons les donnees de futurs eleves, ou de futurs personnels, se situant sur le territoire de l’UE.
A cet egard, pourriez vous nous partager vos retours d’experiences sur les points suivants :
- Application du RGPD pour les etablissements situes hors de l’UE : pour les etablissements dans cette situation, appliquez vous, totalement ou partiellement, le RGPD ? ou vous en tenez vous a la reglementation locale ?
- Projet de mise en conformite : avez-vous travaille uniquement avec la direction de l’établissement sur ces sujets ? ou bien fait appel a des prestataires exterieurs (cabinets d’avocats, consultants specialises, etc) pour la partie analyse de conformite et formulation des recommandations ?
- Existe-t-il, au niveau de l’AEFE, une boite a outil a disposition des etablissements du reseau (modeles de policies, modeles de clauses ou de formulaires de demande de consentement, etc). J’ai bien note la communication de l’AEFE ci-dessus mais je pensais qu’il existait peut etre un guide/vade mecum un peu plus detaille ?

R/ FAPEE :Vous trouverez ci-après une note d’information sur la RGPD que nous avons demandée à l’AEFE.

Le consentement exprès des parents est requis pour toute communication de leurs coordonnées.

1. Une APE gestionnaire d’un établissement pourra être destinataire de telles données dès lors que les statuts précisent que l’inscription d’un élève vaut adhésion à l’association gestionnaire.
A ce titre, l’APE gestionnaire doit être mentionnée comme destinataire des données sur le dossier d’inscription.
Les responsables de fichiers de données à caractère personnel ont en effet l’obligation d’informer les personnes concernées par les informations qu’ils détiennent.
La loi impose que « les données [soient] collectées et traitées de manière loyale et licite » (article 6), dictant ainsi au responsable de fichiers de données un principe de transparence lors du traitement.
La Loi et le Règlement imposent d’informer les personnes de la mise en œuvre des traitements de données à caractère personnel.
Cette information doit figurer sur chaque formulaire, papier ou dématérialisé ainsi que sur tout support.
Lors du recueil, de l’enregistrement ou de la première communication des données, les personnes doivent être informées :
- de la finalité poursuivie par le traitement
- de l’identité du responsable du traitement
- des destinataires ou catégorie de destinataires des données
- de leurs droits (droit à l’information, d’accès et de rectification, droit d’opposition, droit à l’effacement, droit à la portabilité, à la limitation)
- la durée de conservation (obligation du Règlement Européen)
- du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse
- le cas échéant, des transferts de données vers des pays hors UE.
Les mentions d’information (cf- points susvisés) et les modes d’expression du recueil du consentement doivent être lisibles, en langage clair et figurer sur les formulaires de collecte de données.

2. Les autres APE ne pourront être destinataires des données sans le consentement exprès des parents.

R/Nous avons publier une politique de traitement des données personnelles (accessible à partir de notre site à la page : http://www.lfv.pl/?page_id=78) que nous avons envoyée à tous les parents d’élèves, aux employés ainsi qu’aux lycéens.

Nous sommes vraiment engagé dans les procédures afin de se conformer au RGPD, et répondu déjà aux exigences, sinon les plus importantes, les plus célèbres de la RGPD. Mais pour être franc, je vois du travail pour les deux prochaines années à venir pour l’élaboration des processus de collecte et surtout de suppression des données informatiques (dossiers administratifs, scolaires, médicaux, posts sur FB, article du site inetrenet etc... ) et papier.(nous avons tous une salle des archives avec de nombreuses données que nous n’avons plus le droit de grader).
=> Si plusieurs personnes sont ou seront responsables des traitements, nous pourrions ouvrir une discussion spécifique pour s’échanger les documents que nous créons (registre de bases de donnée, procédure de collecte, de suppression .. ;)