RGPD

Quelqu'un peut-il nous guider pour l'application des prescriptions contenues dans la note ANIM_COMM_03_RGPD.pdf, pour chacun des Items, quand c'est nécessaire.

Ainsi pour les règles 2, 5, 6 et 7 :

2/ Déterminer quelles sont les données personnelles qui sont traitées au sein de la société

Lister les données concernées (registre d’actionnaires, nom des propriétaires, etc.) et identifier comment sont traitées ces données. .... Par exemple, si l’objectif est de recenser les membres pour les inviter aux AG, collecter uniquement les données nécessaires à cette action.

Notre question : le recueil, à seule fin de contacts et de convocations à des réunions publiques, pour envoi de courriers, etc... peut conduire à une collecte de plusieurs centaines de noms (c'est notre cas). Pour ce recueil, seuls suffisent en principe adresses mail et N° de téléphone éventuellement. La pratique est-elle de s'assurer du consentement des intéressés pour cette simple fonction et si oui, par quel moyen ? Fiche type existante ?

5/ S’assurer de l’obtention du consentement explicite des utilisateurs

Les utilisateurs pour lesquels on collecte des données doivent explicitement donner leur accord sur l’objectif de la collecte des données.......Le consentement pourra être retiré à tout moment par les individus le demandant, donc il faut être en mesure de modifier ou d’effacer ces données, si cela nous est demandé. Il faut également être capable de prouver sa capacité à extraire et effacer les données, en cas de contrôle de la CNIL.

Notre question : quelles sont les dispositions matérielles prises par d'autres centrales villageoises ?

6/ Notifier la CNIL et les personnes concernées de failles de sécurité

Être en capacité d’alerter, sous 72h, la CNIL, ainsi que les personnes concernées en cas de violation de la sécurité relative aux données personnelles collectées (faille de sécurité informatique par exemple, perte de documents papiers) est primordial. Il s’agit d’une obligation....  

Notre question : est-il  possible de savoir comment pratiquent les autres centrales villageoises ?

7/ Documenter les actions en faveur du RGPD

Le process mis en œuvre pour assurer la conformité à la nouvelle réglementation doit être documenté. Il est important également de pouvoir montrer l’existence d’une feuille de route des actions à mener et prouver que l’on fait le nécessaire pour avancer.

Notre question : existe-t-il un modèle de feuille de route utilisée par les différentes CV et accessible et utilisable par notre SAS ?

Merci d'avance

Jean-Paul Drouin

DPO Centrales Villageoises  de l'Ouest Cornouaille