RGPD : la mise en conformité chez les bailleurs sociaux

Programme

1.Comprendre le contexte applicable en matière de protection des données à caractère personnel

  • Les nouveaux défis
    • Une modification de paradigme, un accroissement des textes et obligations, une hausse des sanctions, une opportunité pour les organismes concernés
  •  Le périmètre
    • Quoi ? Pour qui ? Quand ? Où ?

2.Initier une démarche de mise en conformité 

  • Réaliser un recensement / audit de conformité des traitements
    • Déterminer le type d’audit approprié en fonction de la maturité et des besoins de l’organisme concerné
    • Cartographier les traitements (attribution, gestion locative, contentieux,…)
    • Analyser le niveau de conformité et le niveau de risque associé de chaque traitement au regard des principes essentiels du RGPD :
      • Licéité et loyauté de la collecte
      • Limitation de finalité et des destinataires, et spécificités liées au logement social (relations avec les collectivités territoriales, l’administration fiscale,…)
      • Proportionnalité et minimisation des données
      • Encadrement des traitements portant sur des données sensibles, notamment des données relatives au handicap ou à la gestion sociale
      • Spécificités des traitements visant à assurer la sécurité et la sûreté du parc locatif (vidéosurveillance, contrôle d’accès,…)
      • Spécificités de traitements de gestion du contentieux et données relatives à des infractions et condamnations
      • Limitation de la durée de conservation des données
      • Encadrement des flux transfrontières de données vers des Etats non membres de l’Union européenne
      • Formalités préalables (registre, consultation de la Cnil, etc.)
    • Planifier les actions et chantiers prioritaires
  •  Désigner un responsable en charge de la protection des données à caractère personnel
    • Opportunité ou nécessité de désigner un data protection officer (ou DPO)
    • Désignation interne ou externalisation, possibilité de mutualisation, etc.
    • Qui peut être désigné ? Quelles doivent être ses missions ?
    • Nouvelle démarche et organisation d’entreprise : vers une gouvernance de la « donnée »

3.Organiser et documenter ses processus

Comprendre les principes directeurs en matière de protection des données
. L’accountability : mettre en place les mesures adéquates, et pouvoir démontrer leur effectivité et leur efficacité
. La privacy by design et by default : tenir compte de la protection des données « dès la conception »

 Définir et formaliser une politique de gouvernance de la donnée

  • Organisation interne
  • Elaboration du (des) registre(s) des traitements
    • Choix de l’outil adéquat
    • Recensement des traitements
    • Complétion du registre (contenu obligatoire ? facultatif ?)
    • Actualisation du registre
  • Documentation
      • Elaborer une politique de protection des données
      • Formaliser des procédures de respect des droits des personnes (locataires, membres du personnel,…) :  information et recueil du consentement, droits préexistants (interrogation, accès, effacement, rectification, opposition), nouveaux droits (droit à l’oubli, droit à la portabilité, droit à la limitation etc.)
      • Concevoir une politique de sécurité des données
          • Mise en place de mesures techniques et organisationnelles
          • Etablissement d’étude d’impact sur la vie privée
          • Procédure de gestion des failles de sécurité
      • Formaliser une politique d’archivage et de conservation des données et spécificités liées à la distinction archives privées / archives publiques
  • Politique SIF : information, sensibilisation (réalisation de contenus d’information en interne et en externe, type guides, chartes, livre blanc etc.), formation (plan de formation établi, population visée, retours sur la qualité des formations etc.) 
  • Monitoring des zones de commentaires libres

Organiser et contractualiser les relations entre les différents acteurs

  • Avec les membres du personnel
  • Avec les sous-traitants
  • Avec les autres responsables de traitement : l’hypothèse de la coresponsabilité

Objectifs & Contenu

NOUVEAU

Contexte, enjeux :  Du fait de l’entrée en application du Règlement Général sur la Protection des Données (RGPD), le 25 mai 2018, tous les organismes de logement social doivent se mettre en conformité avec de nouvelles exigences et obligations. Cette réglementation concerne tous les organismes qui traitent des données à caractère personnel (qu’ils soient responsables de traitement ou sous-traitants) et bouleverse les pratiques relatives à la collecte des données (données clients, locataires, salariés, fournisseurs, etc.). En outre, le montant des sanctions encourues peut désormais atteindre 20 millions d’euros voire 4% du chiffre d’affaire annuel mondial de l’entité sanctionnée. Devant l’ampleur de la tâche à accomplir, nous vous proposons de vous présenter la démarche de mise en conformité de votre structure.

Objectifs pédagogiques et compétences visées.
A l’issue de la formation, le participant sera capable de :
•d’appréhender les nouveaux enjeux en matière de données à caractère personnel instaurés par le RGPD,
•de comprendre et de maitriser les éléments clés d’une mise en conformité concrète et adaptée aux nouvelles contraintes et obligations,
•d’initier une démarche de mise en conformité – d’organiser et documenter ses processus

Public

Directeur de clientèle, gestion locative, de patrimoine. Responsable de service gestion locative, contentieux, attribution, proximité. Responsable juridique. Responsable des Ressources Humaines. Responsable d’Agences et tout collaborateur des organismes de logement social ayant la charge de la gestion des fichiers.
pré-requis : aucun

Intervenant

Avocat au Barreau de Paris, consultant-formateur spécialisé en Informatique et Libertés et RGPD. Anime des formations depuis 10 ans et enseigne au sein de troisièmes cycles en universités. Ancien Directeur du département Commerce électronique au sein du Cabinet Alain Bensoussan

Organisation pédagogique

Apports sur les nouvelles dispositions réglementaires. Echanges à partir des questions des participants.
Un support de cours sera remis à chaque participant.
Les participants pourront se munir de tous documents qui leur seraient nécessaires notamment dans le cadre des cas pratiques qu’ils voudraient voir résoudre.