Résumé webinaire : RGPD et réseau alumni, ce qu’il faut savoir !

Le 03 juin dernier, Datalumni a organisé un webinaire autour du RGPD et du réseau alumni. Pour les retardataires, voici un résumé écrit de cet événement. 

Merci encore à Philippe, DPO certifié pour son intervention. 

 

Les fondamentaux du RGPD 

Le RGPD est le Règlement Général de Protection des Données Personnelles. Il s’agit d’un règlement européen qui est en place depuis 2018 et qui a pour objectif de protéger nos données personnelles en tant que client, prospect, salarié… Mais aussi évidemment en tant qu’étudiant ! 

Ces données personnelles doivent être protégées car les nouvelles technologies nous en font parfois perdre la maîtrise. Pour ce faire, le RGPD va poser 6 obligations aux entreprises afin de permettre aux utilisateurs de reprendre la main sur leurs données : 

  1. Gérer de façon raisonnée les données personnelles, limiter leur usage au strict nécessaire. 
  2. Respecter les droits des personnes : les informer lorsqu’on utilise leurs données personnelles.
  3. Encadrer par contrats les entreprises sous-traitantes avec qui vous travaillez. 
  4. Encadrer les transferts de données personnelles en dehors de l’Union Européenne.
  5. Sécuriser les données personnelles. 
  6. Documenter les différents usages de données personnelles que vous avez réalisé et utiliser un registre. 

 

La situation que souhaite éviter le RGPD est l’ignorance et l’incapacité.

C’est-à-dire quand une personne ne sait pas où sont ses données, quelles sont les données utilisées par l’entreprise et pourquoi.

 

Questions phares pour agir en toute légalité

 

1 – Puis-je contacter mes anciens élèves, sans leur consentement, pour les inviter à rejoindre mon réseau d’anciens ? 

Vous n’avez pas systématiquement à demander le consentement des personnes pour utiliser leur données personnelles dans 5 situations  :

  • Répondre à des obligations légales / contractuelles
  • Répondre à un intérêt légitime (ex : contacter vos anciens étudiants pour rejoindre le réseau alumni de l’école) 
  • Sauvegarder un intérêt vital 
  • Réaliser une mission d’intérêt public

De ce fait, il est légitime que je contacte mes alumni pour leur proposer de rejoindre notre réseau d’anciens puisque celui-ci a justement été prévu pour eux et que cette action relève des mes activités en tant qu’établissement. Certaines précautions doivent notamment être prises.👇

 

2 – Quelles sont les précautions à prendre pour contacter mes anciens étudiants en toute légalité ?

  • Être transparent sur l’usage de ces données (ex: insérer la politique de confidentialité qui explique comment on utilise les données personnelles)
  • Permettre aux étudiants de s’opposer
  • Ne récolter / conserver que le strict nécessaire
  • Sécuriser les données personnelles
  • Documenter l’usage des données personnelles

La politique de confidentialité : 

L’usage que vous faites des données doit être documenté dans la politique de confidentialité des données. Lorsqu’un sous-traitant vous offre une plateforme clé en main, il est important de vérifier qu’elle affiche un lien qui permet de consulter la politique de confidentialité. 

 

3 – Mon prestataire me dit qu’il est sous-traitant, qu’est-ce que cela signifie ? 

Rappel : un sous-traitant est une entreprise qui traite des données personnelles pour le compte d’une autre entreprise selon ses instructions. Ex : Datalumni, Mailchimp, votre agence de communication, etc.

Le client reste responsable d’un point de vue RGPD, c’est-à-dire que la responsabilité administrative et pénale sont à sa charge. 

En revanche, si le sous-traitant ne respecte pas son obligation de sécurité, sa responsabilité pénale peut être engagée. Aussi, s’il ne respecte pas ses engagements vis-à-vis du client, vous pourrez engager sa responsabilité contractuelle.   

 

4 – Est-ce que je peux partager la liste de mes utilisateurs avec mon sous-traitant ? 

Dès lors que le sous-traitant à besoin de ce fichier pour travailler, il est donc légitime qu’il demande à ce qu’on lui transmette. 

En revanche, votre sous-traitant doit s’engager sur trois points principaux : 

  • Utiliser seulement les données pour rendre le service.
  • Mettre tout en oeuvre pour en assurer la sécurité. 
  • Définir dans le contrat le sort des données personnelles que vous lui avez transmises. Est-ce qu’il vous les renvoie ? Est-ce qu’il les détruit ?

 

5 – Gestion de l’alumni par l’école + une association : comment faire ?

Si la plateforme est financée par la formation, pour une association qui garde à elle seule l’administration de la plateforme, c’est l’association qui est responsable du traitement. 

Si la plateforme est opérée conjointement entre la formation et l’association alors dans ce cas là, les obligations RGPD sont à la charge des deux et il faut convenir dans un contrat de la ventilation des responsabilités. 

Ex: qui gère les droits d’accès, les demandes de copie de données personnelles, etc.

 

6 – Est-ce que je dois avertir mes utilisateurs que j’ai recours à un prestataire ?

Vous devez avertir vos utilisateurs que vous avez recours à un sous-traitant. En revanche, vous pouvez seulement indiquer la catégorie de votre sous-traitant mais sans le mentionner directement. Ex: Éditeur d’une solution Saas de réseau d’Alumni. 

 

7 – Puis-je aller récupérer les informations d’insertion professionnelle de mes diplômés sur Linkedin ?

OUI car il s’agit d’un intérêt légitime si c’est pour remplir vos obligations pour vos certifications RNCP et QUALIOPI.

MAIS, vous ne devez pas conserver ces données sans les anonymiser (Ex: pour établir des statistiques).  

Important : si vous décidez de soumettre un formulaire, il faut y insérer un accès vers la politique de confidentialité des données. De plus, vous devez permettre aux utilisateurs de s’opposer au traitement de leurs données et à tout moment. 

Pour terminer sur les bonnes pratiques à adopter concernant le RGPD et la protection des données, nous vous recommandons ces 3 tips de sécurité :

  • Faites une passe sur les habilitations de votre entreprise. Les droits d’accès doivent être justifiés.
  • Soyez ferme sur les mots de passe ! 8 caractères minimum, une majuscule, une minuscule, un caractère spécial…
  • Sauvegardez vos données régulièrement sur un support déconnecté et distant.

 

Merci encore à toutes les personnes qui ont suivi cet événement en live. Merci aussi d’avoir consulté cet article et pour plus de précisions, le replay complet est en ligne ! 👉🏼  Voir le replay  👈🏼