brassalay-registre-des-traitements-tiers

Finalité(s)

L’association Brassalay est une association loi 1901 qui accompagne des garçons et des filles de 6-à 21 ans dans le cadre de la protection de l’enfance dans la Maison d’Enfants Brassalay. Ces jeunes sont orientés par les services de l’Aide sociale à l’Enfance (ASE) et / ou les services de la protection judiciaire de la jeunesse(PJJ).

L’établissement est ouvert 365 jours par an. Il accueille aussi ponctuellement des Mineurs Non Accompagnés (MNA)

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu
RGPD	Référentiel pour les établissements ESMS	Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap : lien , lien2
Référentiel	Charte associative	Définit les finalités et les objectifs de l'association
Référentiel	Guide pour les établissements sociaux et médico-sociaux	Le dossier de la personne accueillie ou accompagnée. Recommandations aux professionnels pour améliorer la qualité : lien
Référentiel	Code de l'action sociale et des familles - Annexe 2.12	Cahier des charges définissant les conditions de fonctionnement en dispositif intégré ITEP SESSAD (Décret n° 2017-620 du 24 avril 2017, MAJ Mai 2020) : lien
Référentiel	Statuts de l'association	Convention juridique par laquelle les membres mettent en commun leurs connaissances ou leur activité dans un but désigné, autre que celui de partager des bénéfices

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Santé (médico-social) : évaluation domaine Handicap	Oui	Oui
Fournisseurs, partenaires, cotraitants	Identifiants	Oui	Oui
Employés de l'organisme	Données RH	Oui	Oui

Combien de temps conservons-nous vos données ?

Durée de conservation	Type de stockage	Action en fin de période	Commentaire
5 à 10 ans (données comptables, fiscales, RH)	--	--	L'association stocke des documents et fichiers en archive pour répondre à ses obligations légales en matière comptable, fiscale et gestion du personnel et à ses obligations conformes au code de la santé publique et au code de l'action sociale et des familles concernant ses usagers
20 ans après le dernier départ du titulaire (archive dossier usager)	--	--	données médico-sociales concernant les résidents

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	L'association recueille le consentement des personnes chaque fois que nécessaire
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'association diffuse les informations générales via des documents remis aux destinataires contenant des informations spécifiques lors de chaque traitement
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en s'adressant directement à la directionau DPO Mr Jean Christophe Lairie, par téléphone, mail ou en se rendant dans les locaux de l'organisme. Pour tout recours, elles peuvent s'adresser à la CNIL
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Il n'y a pas de procédure automatique prévue pour la récupération des données traitées par notre association, celles-ci étant déjà transmises le plus souvent au travers des documents échangés avec les personnes concernées.

Acteurs internes

Employés

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Important
Impact maximum sur l'organisme	Important
Commentaires sur l'impact et la protection	Consciente de l'impact potentiel d'une violation de données, l'association forme régulièrement ses employés au meilleur usage des données et confie le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Politique de Protection des Données usagers et tiers	Charte engageant l'organisme envers ses usagers, leurs ayant-droits et tous les tiers partenaire et fournisseurs, pour la sécurité et la confidentialité des Données traitées et l'octroi de leur droits	Mesure organisationnelle
Protection physique des accès aux locaux et aux postes informatiques	Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements	Mesure physique
Matériels informatiques : supervision des usages	Solution de monitoring système ou réseau permettant la transmission d'une alerte au service de maintenance en cas de panne ou d'anomalie	Mesure technologique
Réseau : protection & supervision des usages	Pare-feu d'un niveau professionnel protégeant le réseau par filtrage et par supervision des ports d'entrée sortie des flux	Mesure technologique
DPO désigné	Le Délégué à la Protection des Données (DPO) veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles	Mesure organisationnelle
Politique de sauvegarde normalisée (ANSSI)	La sauvegarde est automatique, supervisée et externalisée. Les flux et le stockage font l'objet d'un chiffrement.	Mesure organisationnelle
Protection renforcée des accès aux serveurs et composants du réseau	Les outils et interfaces d’administration critiques sont accessibles aux seules personnes habilitées.	Mesure physique

Finalité(s)

- enregistrer et transmettre les demandes reçues par téléphone ou emails
- Transmettre aux destinataires, le cas échéant, suivre les réponses jusqu'à conclusion
- Conserver une copie des réponses et les candidatures non abouties

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés candidats à l'admission	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés candidats à l'admission	Identifiants : domicile privé (adresse postale)	Oui	Oui
Jeunes en difficultés candidats à l'admission	Identifiants : NIR (numéro sécurité sociale)	Oui	Oui
Jeunes en difficultés candidats à l'admission	Caractéristiques personnelles : date, lieu de naissance	Oui	Oui
Jeunes en difficultés candidats à l'admission	Activités : compte rendu de réunion	Oui	Oui
Ayants droit (parents, responsables légaux)	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Ayants droit (parents, responsables légaux)	Identifiants : téléphone privé (portable, fixe)	Oui	Oui
Ayants droit (parents, responsables légaux)	Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Oui	Oui
Partenaires sociaux (travailleur social AMEI)	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Partenaires sociaux (travailleur social AMEI)	Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe inscription à la MDPH
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Le consentement est obtenu depuis l'application Via Trajectoire ; l'association ajoute une mention d'information lors des échanges avec les familles
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Via la MDPH et l'outil via trajectoire
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, pour les informations déjà transmises par la personne elle-même. Oui, pour les motivations concernant les décisions prises

Acteurs internes

ACCUEIL
04 POLE SOCIO-EDUCATIF

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Accès aux données via une double authentification	L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification	Mesure technologique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique
Protection des documents par le chiffrement	Les documents sont taggués lors de leur création ce qui entraine leur chiffrement lors de l'enregistrement et détermine les droits d'accès.	Mesure technologique
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique

Finalité(s)

- Programmer une réunion de préadmission de présentation de situation
- programmer l'arrivée du jeune

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés candidats à l'admission	Comptes rendus des professionnels para-médicaux	Oui	Oui
Jeunes en difficultés candidats à l'admission	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés candidats à l'admission	Identifiants : domicile privé (adresse postale)	Oui	Oui
Jeunes en difficultés candidats à l'admission	Identifiants : adresse de messagerie personnelle	Oui	Oui
Jeunes en difficultés candidats à l'admission	Identifiants MDPH	Oui	Oui
Entourage proche de l'usager	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui

Combien de temps conservons-nous vos données ?

Durée de conservation	Type de stockage	Action en fin de période	Commentaire
Durée de la procédure	--	--

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par la présente politique de protection des données, disponible sur le site brassalay.fr et par affichage à l'accueil du site La Carrère
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	En s'adressant à la direction de la MECS
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non

Acteurs internes

EDUCATEURS
CHEFS DE SERVICE EDUCATIF
Psychologue

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Important
Impact maximum sur l'organisme	Important
Commentaires sur l'impact et la protection	Pour la DGAS, « le dossier traite de données personnelles, d’informations nominatives précieuses devant être protégées, avant d’être éventuellement consignées, conservées et communiquées au nom de leur utilité pour une action professionnelle légitime dans l’intérêt des personnes accompagnées ».

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesure organisationnelle

Finalité(s)

- Récolter les informations nécessaires à la prise en charge complète et adéquate de l'enfant
- un volet administratif (contrat de séjour, DIPC, ordonnance du juge, relevé de décision d'orientation..)
- un volet technique (comptes-rendus et synthèses des
réunions, le projet individuel, évaluations, courriers échangés avec l’usager et les familles, etc.)
- Les centraliser dans un dossier unique papier ou informatisé
- Donner l'accès à ces informations aux services intéressés
- Mettre à jour ces informations tout au long de son séjour

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaire
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge,<br /> aux finalités, à la nature du traitement, au type de données à caractère personnel <br /> et aux catégories de personnes concernées.
Référentiel	Dossier unique, code de l'action sociale et des familles, loi du 2 janvier 2002	rénovant le code de l'action sociale et des familles (CASF)/ obligation pour les établissements du social et médico-social de constituer un dossier usager unique Ce qui le constitue, qui peut le consulter, les durées de conservation... Lire : lien , lien2

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés	Identifiants : domicile privé (adresse postale)	Oui	Oui
Jeunes en difficultés	Identifiants : adresse de messagerie personnelle	Oui	Oui
Jeunes en difficultés	Identifiants : photographie (type identité)	Oui	Oui
Jeunes en difficultés	Identifiants : signature (manuscrite, numérique)	Oui	Oui
Jeunes en difficultés	Identifiants : NIR (numéro sécurité sociale)	Oui	Oui
Jeunes en difficultés	Identifiants MDPH	Oui	Oui
Jeunes en difficultés	Caractéristiques personnelles : date, lieu de naissance	Oui	Oui
Jeunes en difficultés	Caractéristiques personnelles : nationalité	Oui	Oui
Jeunes en difficultés	Vie personnelle : fratrie (entourage)	Oui	Oui
Jeunes en difficultés	Vie personnelle : possibilités d'expression, intérêts et attentes de la personne	Oui	Oui
Jeunes en difficultés	Santé : comptes rendus et prescriptions médicales	Oui	Oui
Jeunes en difficultés	Santé (médico-social) : évaluation domaine Handicap	Oui	Oui
Jeunes en difficultés	Santé (médico-social) : antécedents socio-éducatifs & thérapeutiques	Oui	Oui
Jeunes en difficultés	Santé (médico-social) degré de dépendance de la personne pour les actes essentiels de la vie	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable détenu par un tiers Obligation légale
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Via la Charte des droits et libertés de la personne accueillie, mentionnée à l'art. L.311-4 du CSAF, article "Données personnelles" et par la présente Politique de Protection
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en adressant un écrit à la direction, ou via le formulaire d’exercice des droits transmis au Délégué à Protection des Données de l'association.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Il n'y a pas de procédure globale pour la récupération des données ajoutées au dossier unique : les informations initiales sont issues de la personne elle-même ; pour les informations ajoutées durant la présence de l'usager, chaque rubrique fait l'objet d'une procédure spécifique

Acteurs internes

ACCUEIL
06 POLE THERAEUTIQUE
04 POLE SOCIO-EDUCATIF
05 POLE PEDAGOGIQUE

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	Pour la DGAS, « le dossier traite de données personnelles, d’informations nominatives précieuses devant être protégées, avant d’être éventuellement consignées, conservées et communiquées au nom de leur utilité pour une action professionnelle légitime dans l’intérêt des personnes accompagnées ».

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Accès aux données via une double authentification	L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification	Mesure technologique
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique
Flux chiffrés de bout en bout	Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne	Mesure technologique
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesure organisationnelle
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesure technologique

Finalité(s)

Informer l'ensemble du personnel des coordonnées des usagers présents
Analyse des besoins et planifications des itinéraires
Gérer les présences, les emplois du temps, les transports

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés	Identifiants : téléphone privé (portable, fixe)	Oui	Oui
Jeunes en difficultés	Identifiants : adresse de messagerie personnelle	Oui	Oui
Jeunes en difficultés	Identifiants : photographie (type identité)	Oui	Oui
Jeunes en difficultés	Activités : Indication des différents transports réguliers de la personne (mode transport, société, temps de trajet)	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par la présente Politique de Protection
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	En adressant à l'accueil, ou via le formulaire d’exercice des droits pour transmission au Délégué à Protection des Données de l'association.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Acteurs internes

ACCUEIL
05 POLE PEDAGOGIQUE
04 POLE SOCIO-EDUCATIF
06 POLE THERAEUTIQUE

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Pas de mesures physiques nécessaires	Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..)	Mesure physique
Destruction du support papier	Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation	Mesure physique
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique

Finalité(s)	- Soutenir la scolarisation école / collège / lycée - Suivre les apprentissages - Suivre les stages et les séjours culturels
Informations complémentaires	Chaque groupe gère la scolarité des enfants de son service, ou groupe

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Tous les éducateurs	Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Non	Non
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés	Activités : habitudes, activités, présence à des événements…	Non	Non
Ayants droit (parents, responsables légaux)	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Ayants droit (parents, responsables légaux)	Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Non	Non
Fournisseurs, partenaires, cotraitants	Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Non	Non

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en s'adressant directement au service socio-éducatif de l'association, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	L'usager peut recueillir les éléments de scolarité le concernant conservés dans son dossier

Acteurs internes

04 POLE SOCIO-EDUCATIF
Psychologue
EDUCATEURS
Coordination transports

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	Le dossier scolaire regroupant les notes, les appréciations ainsi que les absences doit rester à la seule disposition des personnes concernées. Aussi sont-ils numérisés puis classé dans l'application métier qui assure la conservation et la confidentialité.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesure organisationnelle
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesure technologique

Finalité(s)

- envois et réceptions des courriers aux partenaires
- envois et réceptions des courriers aux familles
- compte rendus d'entretiens et de réunion

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	parcours institutionnel, soins, scolarité, contexte familial, origine de la demande	Oui	Oui
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Ayants droit (parents, responsables légaux)	Identifiants : état civil (nom, prénom, civilité)	Non	Non
Ayants droit (parents, responsables légaux)	Identifiants : adresse de messagerie personnelle	Non	Non
Partenaires sociaux (travailleur social AMEI)	parcours institutionnel, soins, scolarité, contexte familial, origine de la demande	Non	Non
Partenaires sociaux (travailleur social AMEI)	Activités : compte rendu de réunion	Non	Non

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en s'adressant au secrétariat de l'association, le cas échéant à à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	L'usager peut recueillir les correspondances versées au dossier unique, les autres ayant été supprimées

Acteurs internes

04 POLE SOCIO-EDUCATIF
ACCUEIL
CHEFS DE SERVICE EDUCATIF

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	Le secret des correspondances est important afin de ne pas porter atteinte à la vie privée de l'usager ou ou à celle de tiers. Le secrétariat de l’ITEP numérise les les courriers papiers et redirige les emails directement dans l'application métier, assurant ainsi sa confidentialité

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Transmission directe et orale de l'information	L'absence de stockage évite des mesures de protection	Mesure organisationnelle
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesure organisationnelle
Destruction du support papier	Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation	Mesure physique
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique

Finalité(s)

- mener des activités avec ou pour l'enfant, proposer et rendre compte de ces activités
- gérer de la logistique (tenue d'un emploi du temps, le contrôle des déplacements), communiquer avec les partenaires, intervenants, parents
- garantir la cohérence des interventions

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Comptes rendus quotidiens et bilans périodiques	Oui	Oui
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés	Activités : habitudes, activités, présence à des événements…	Oui	Oui
Partenaires sociaux (travailleur social AMEI)	Activités : habitudes, activités, présence à des événements…	Non	Non

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en s'adressant directement au service socio-éducatif de l'association, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	L'usager peut recueillir les éléments (activités et ateliers) le concernant conservés dans son dossier

Acteurs internes

ENTRETIEN, MAINTENANCE, TRANSPORT
04 POLE SOCIO-EDUCATIF
05 POLE PEDAGOGIQUE
EDUCATEURS

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	La précision et l'exactitude des informations transmises aux partenaires est essentielle pour assurer une bonne qualité de service ; aussi, les emplois du temps et ordres de mission émis par l'ITEP sont suivis numériquement et validés au fil de l'eau par les partenaires

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Transmission directe et orale de l'information	L'absence de stockage évite des mesures de protection	Mesure organisationnelle
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesure organisationnelle
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique

Finalité(s)

- Organiser des séances avec les professionnels para-médicaux
- Effectuer des soins quotidiens et enregistrer les comptes rendus
- Suivre et partager les dossiers de
soins infirmiers : pansements, sondes (gastrique, urinaire...), prises de sang, injections, perfusions, suivi des protocoles (tension, glycémie...),évènements particuliers
aides soignantes : besoins fondamentaux et suivi journalier, selles, changes, évènements de la journée.

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés	Santé : comptes rendus et prescriptions médicales	Non	Non
Jeunes en difficultés	Santé : évaluation médico-sociale de la personne concernée	Non	Non
Jeunes en difficultés	Santé (médico-social) : évaluation domaine Handicap	Non	Non
Jeunes en difficultés	Santé : types de soins de suites (domaine sanitaire)	Non	Non
Ayants droit (parents, responsables légaux)	Santé (physique, mentale) informations cliniques ou biologiques	Oui	Oui
Ayants droit (parents, responsables légaux)	Santé : comptes rendus et prescriptions médicales	Oui	Oui
Ayants droit (parents, responsables légaux)	Santé (physique, mentale) évaluation médico-sociale de la personne concernée	Oui	Oui
Ayants droit (parents, responsables légaux)	Santé (médico-social) : évaluation domaine Handicap	Oui	Oui
Ayants droit (parents, responsables légaux)	Santé : types de soins de suites (domaine sanitaire)	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'information est délivrée - globalement par la présente Politique de Protection - au moment de la signature du contrat par l'article "données personnelles" - au moment des soins, une information orale est délivrée
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en s'adressant directement aux services médical de l'association, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	L'usager peut recueillir les éléments (comptes rendus paramédicaux) le concernant conservés dans son dossier

Acteurs internes

06 POLE THERAEUTIQUE
EDUCATEURS
CHEFS DE SERVICE EDUCATIF
Psychologue

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	Le secret concerne les faits, éléments du traitement ou de la vie privée du patient confiés par le patient, son entourage ou devinés, compris ou déduits lors des consultations. Il est est couvert par le secret professionnel et doit bénéficier d'un niveau de protection identique au secret médical.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Accès aux données via une double authentification	L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification	Mesure technologique
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesure technologique

Finalité(s)	- tenir à jour un système de suivi des troubles constatés - établir un suivi des comportements - évaluer les problématiques et aptitutes - stocker les rapports émis par les éducateurs
Informations complémentaires	Equipe éducative, équipe para-médicale et médicale Destinataires externes : tiers autorisés (entourage, famille), autorités administratives compétentes

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Appareillage et prescriptions médicamenteuses	Oui	Oui
Jeunes en difficultés	Comportement, troubles, vie affective, sexuelle, intérêts, sommeil	Oui	Oui
Jeunes en difficultés	observation depuis l'arrivée ou le dernier rapport	Oui	Oui
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés	Santé (physique, mentale) informations cliniques ou biologiques	Oui	Oui
Jeunes en difficultés	Santé : comptes rendus et prescriptions médicales	Oui	Oui
Jeunes en difficultés	Santé : types de soins de suites (domaine sanitaire)	Oui	Oui
Jeunes en difficultés	Santé, prise en compte de la vie affective et sexuelle à des fins d'accompagnement	Oui	Oui
Ayants droit (parents, responsables légaux)	Santé (physique, mentale) informations cliniques ou biologiques	Oui	Oui
Ayants droit (parents, responsables légaux)	Santé : comptes rendus et prescriptions médicales	Oui	Oui
Ayants droit (parents, responsables légaux)	Santé : types de soins de suites (domaine sanitaire)	Oui	Oui
Partenaires sociaux (travailleur social AMEI)	Santé : évaluation médico-sociale de la personne concernée	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'information est délivrée - globalement par la présente Politique de Protection - lors de la contractualisation du contrat de séjour (article "données personnelles") - lors des réunions annuelles, une nouvelle information est délivrée
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en s'adressant au responsable de l'équipe médicale ou para-médicale, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	L'usager peut recueillir les éléments (rapports et évaluation) le concernant conservés dans son dossier

Acteurs internes

04 POLE SOCIO-EDUCATIF
06 POLE THERAEUTIQUE

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	L’évaluation des besoins des jeunes avec troubles du comportement constitue un maillon essentiel de l’accompagnement des trajectoires des jeunes accueillis en ITEP, aussi les données saisies et leur communication font l'objet d'une grande vigilance. Un outil numérique métier dédié et adapté a été choisi pour aider au classement, à l'exploitation et au partage de ces données

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesure organisationnelle
Système d'authentification dédié aux partenaires et sous-traitants	Les partenaires et sous-traitants peuvent accéder à l'information qui leur est destinée depuis le système d'information de l'organisme	Mesure organisationnelle
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesure technologique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique

Finalité(s)

- donner son avis et peut faire des propositions sur toute question intéressant le fonctionnement de l’établissement ou du service

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
La personne enregistrée	Activités : réunion, présence à un événement	Oui	Oui
La personne enregistrée	Activités : compte rendu de réunion	Oui	Oui
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Ayants droit (parents, responsables légaux)	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Responsables de service de l'établissement	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Représentants de la mairie	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	Les personnes ont adhéré au conseil de vie sociale
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'information est délivrée - globalement par la présente Politique de Protection - lors de chaque compte rendu du conseil de vie sociale
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	En s’adressant au secrétariat de de l'association, la direction le cas échéant ou en remplissant le formulaire d'exercice des droits
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Acteurs internes

Membre du conseil de Vie sociale

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire
Données stockées dans un serveur à l'accès physique contrôlé	Protection des locaux et des accès	Mesure physique
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle

Finalité(s)

Informations nécessaires à l'organisation de séjours vacances

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Jeunes en difficultés	Activités : habitudes, activités, présence à des événements…	Non	Non
Jeunes en difficultés	Vie personnelle : possibilités d'expression, intérêts et attentes de la personne	Non	Non
Entourage proche de l'usager	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Entourage proche de l'usager	Identifiants : téléphone privé (portable, fixe)	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	Une autorisation spécifique est requise concernant chaque activité ou sortie
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par une mention en bas de la feuille d’inscription
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les personnes peuvent exercer leurs droits en s'adressant au secrétariat de l'association, le cas échéant à la direction, ou remplir le formulaire demande de droits à destination du Délégué à la Protection des Données
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Acteurs internes

04 POLE SOCIO-EDUCATIF
05 POLE PEDAGOGIQUE

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesure organisationnelle
Système d'authentification dédié aux partenaires et sous-traitants	Les partenaires et sous-traitants peuvent accéder à l'information qui leur est destinée depuis le système d'information de l'organisme	Mesure organisationnelle

Finalité(s)

- Gestion des correspondances avec les tiers non usagers (partenaires, fournisseurs, ...) : courriers, mails, appels téléphoniques suivi des visites à l'accueil
- Répondre et conserver une copie des réponses
- Transmettre aux destinataires, suivre les réponses jusqu'à conclusion

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Tout Public	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
La personne enregistrée	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
La personne enregistrée	Identifiants : domicile privé (adresse postale)	Non	Non
La personne enregistrée	Identifiants : adresse de messagerie personnelle	Non	Non
La personne enregistrée	Identifiants : téléphone privé (portable, fixe)	Non	Non
La personne enregistrée	Activités : compte rendu de réunion	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données"
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	La personne pourra s'adresser directement à la direction par tél ou mail, ou bien remplir le formulaire de demande de droit disponible depuis le site internet.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, la personne dispose déjà des données car elle est partie prenant des échanges

Acteurs internes

Assistante de direction

Secrétariat général et réception des demandes

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	La divulgation d'une demande à une personne non autorisée peut entrainer des désagréments. En conséquence, l'accès aux informations est restreint aux seules personnes habilités grâce à une application sécurisée et des codes d'accès distincts ont été crées afin de cloisonner l'information.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Données stockées dans un serveur à l'accès physique contrôlé	Protection des locaux et des accès	Mesure physique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesure technologique
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesure physique

Finalité(s)

- Effectuer les opérations administratives liées aux contrats, commandes, réceptions, factures, règlements
- Gestion d’une base fournisseurs
- Gestion de l’exécution financière des dépenses de l'entreprise
- Suivi de budgets hors dépense de personnel

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Fournisseurs, partenaires, cotraitants	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Fournisseurs, partenaires, cotraitants	Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Oui	Oui
Prestataires, consultants	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	L'ouverture d'un compte, l'acceptation d'un devis et/ou des CGV vaut consentement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	La conservation et les échanges de données sont régies par les Conditions Générales de Vente ou les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques qui régissent les relations des parties
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Les employés ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	non, sauf spécifications contraire entre les parties

Acteurs internes

COMPTA - RH

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesure organisationnelle
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Données stockées dans un serveur à l'accès physique contrôlé	Protection des locaux et des accès	Mesure physique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique

Finalité(s)

- Gérer les budgets de l'établissement
- Émettre des paiements fournisseurs et tiers
- Suivre les comptes bancaires, la trésorerie
- Saisir la comptabilité générale
- éditer les états de gestion

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Fournisseurs, partenaires, cotraitants	Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Oui	Oui
Fournisseurs, partenaires, cotraitants	Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements)	Oui	Oui
Employés de l'organisme	Données RH : salaire, acomptes, coef. retenue à la source, domiciliation bancaire	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel Obligation légale
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Pas d'information particulière autre que la Politique de Protection
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Pas de droits particuliers sur ce traitement
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Acteurs internes

COMPTA - RH

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'entreprise: (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesure organisationnelle
Données stockées dans un serveur à l'accès physique contrôlé	Protection des locaux et des accès	Mesure physique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesure organisationnelle
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesure organisationnelle

Finalité(s)

- inventaires des bâtiments et de leurs équipements
- suivi des travaux à effectuer
- remise en conformité et rapports

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

Qualité

Veille réglementaire et conformité

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

- inventorier les véhicules
- suivre les usages et les entretiens
- gérer la conformité des véhicules

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

--

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

Effectuer l'entretien des locaux selon les normes d'hygiène
Espaces privatifs et communs
Gérer les stockes de produits d'entretien
Gestion du linge et des déchets
Transports occasionnels

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

--

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

Planifier les repas selon les règles du GEM RCN et du PNNS
Gérer les stocks et les déchets
Hygiène alimentaire, traçabilité et entretien des locaux

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

--

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

Elaboration du document unique DUERP
Identification des risques, cotations
Mise en place d'actions préventives
Evaluations

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

Codir

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

S'assurer que les procédures correspondent bien à la réglementation
Former et sensibiliser le personnel
Auditer

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

--

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

Recevoir, analyser et traiter les plaintes
Décider d'un plan d'action
Suivre les actions et vérifier qu'elles fonctionnent

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

--

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

Créer la grille d'audit et auditer avec le chef de service
Mettre en place un plan d'action pour minimiser les écarts

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

--

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

Plan d'actions et suite à la mesure des écarts
Suivi des actions et mesures des résultats

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	--
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	--
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	--

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

--

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	N/A
Impact maximum sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)

- séparer les dossiers des usagers présents, ceux partis depuis moins de 2 ans et les autres
- tenir des archives papiers et électroniques
- Communiquer avec les usagers et les tiers autorisés pour redonner de l'information

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Jeunes en difficultés	Toutes données du dossier unique	Oui	Oui
Jeunes en difficultés	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	La gestion des données actives et des archives est inhérente à l'accueil des usagers et à la conclusion d'un contrat de séjour
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Durant toute la phase d'archivage, l'usager ou ses ayants droits peuvent valoir leurs droits de consultation, conformément à l'article art L232-46 du code de l'action sociale et des familles. L’association prend certaines précautions afin de s'assurer, lors d'une demande de consultation par les représentants légaux ou la famille , de ne pas porter atteinte à la vie privée de l'usager ou à des tiers.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Le dossier reste à disposition de l'usager qui peut en obtenir une copie sur sa demande. A l'issue de la durée d''archivage interne, l'Itep entamera une procédure de restitution. En cas d'échec elle peut détruire le dossier ou décider de le verser aux archives départementales.

Acteurs internes

ADMINISTRATIF ET SUPPORT
05 POLE PEDAGOGIQUE

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	Les dossiers usagers sont constitués de données sensibles tant pour l'usager lui-même que pour ses proches. L'accès et les actions sur les dossiers sont donc strictement encadrés et font l'objet de protections particulières

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesure organisationnelle
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesure organisationnelle
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesure organisationnelle
Protection renforcée des accès aux serveurs et composants du réseau	Les outils et interfaces d’administration critiques sont accessibles aux seules personnes habilitées.	Mesure physique
Stockage (pièce, armoire, tiroir) fermé à clé	L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder	Mesure physique
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesure technologique

Finalité(s)

- permettre la présentation de l'organisme, ses activités et la consultation de son catalogue produits
- proposer un formulaire de contact et l'achat en ligne
- mesurer l'audience (nbre de visites, de pages vues activité des visiteurs, ...) pour adapter nos offres et nos présentations
- recueillir des informations sur les centres d’intérêt au travers des produits consultés sur notre site et collecter des données de navigation afin de personnaliser l’offre publicitaire qui vous est adressée sur et en dehors du site

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Règlement européen	Cookies et traceurs	Consentement selon Réglementation Européenne sur les cookies et autres traceurs, article 5(3) de la directive 2002/58/CE
Référentiel	Site internet	Mentions obligatoires sur un site, cf service-public.fr : F31228

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Combien de temps conservons-nous vos données ?

Durée de conservation	Type de stockage	Action en fin de période	Commentaire
13 mois (Cookies et traceurs)	--	--	à l'issue de la période ou en cas de retrait du consentement, l'internaute est invité à donner à nouveau son consentement

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	Le bandeau cookies apparait dès que l'utilisateur arrive sur le site et il doit choisir "accepter tout" , "refuser" ou "gérer les préférences"
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Lorsque le bandeau est affiché, en cliquant sur "Paramètre des cookies", l'internaute visualise les catégories de cookies.
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Soit en cliquant sur "autoriser tous les cookies", soit sur "Paramètre des cookies" depuis le bandeau qui s'affiche en avant-plan à la première visite, puis en raccourci lors des visites suivantes. "un bouton glissant" permet d'activer ou de de désactiver le suivi
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Acteurs internes

--

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

Hors U.E.
U.S

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaire

Finalité(s)	- veille sur les candidatures, stockage des candidatures spontanés - constitution d'une CV-thèque, demandes de stages - filtrage et communication à la direction et aux chefs de service - gestion des entretiens d'embauche ou de stages
Informations complémentaires	Secrétariat, responsables de services éducatifs, services administratifs, direction Pas de destinataires externes

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Obligatoire	Sensible selon le RGPD
Candidats à un emploi	Identifiants : état civil (nom, prénom, civilité)	Oui	Oui
Candidats à un emploi	Identifiants : domicile privé (adresse postale)	Non	Non
Candidats à un emploi	Identifiants : adresse de messagerie personnelle	Non	Non
Candidats à un emploi	Identifiants : téléphone privé (portable, fixe)	Non	Non
Candidats à un emploi	Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..)	Non	Non
Candidats à un emploi	Caractéristiques personnelles : date, lieu de naissance	Non	Non
Candidats à un emploi	Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Non	Non
Candidats à un emploi	Situation et relations : profession, domaine d'activité, catégorie socio-professionnelle	Oui	Oui
Candidats à un emploi	Données RH : CV, diplômes, expériences, centres d'intérêts	Oui	Oui
Candidats à un emploi	Données RH : entretiens (dates, évaluateur, objectifs, appréciations)	Non	Non

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Les candidats reçoivent un email en réponse à leur demande qui indique un lien vers la Politique de Protection des Données
Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ?	Ils peuvent agir sur leurs données via le formulaire d'exercice des droits
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A : aucune donnée collectée ne nécessite une portabilité

Acteurs internes

ADMINISTRATIF ET SUPPORT
01 DIRECTION

Sous-traitants (autres organismes ayant accès aux données)

--

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

--

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E

France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact maximum sur les personnes concernées	Limité
Impact maximum sur l'organisme	Limité
Commentaires sur l'impact et la protection	La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type
Stockage (pièce, armoire, tiroir) fermé à clé	L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder	Mesure physique
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesure organisationnelle
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesure organisationnelle

Organisme	Designation: Association Brassalay Adresse: 1 bis lotissement de la plaine, 64300 -- (Fr) Téléphone: 05 59 69 15 62 Courriel: Site Web: https://www.brassalay.fr/
Représentant légal	Nom: Mr ACKERMANN Jean-Christophe Téléphone: 05 59 69 15 62 Courriel: direction@brassalay.fr
Délégué à la Protection des Données	Nom: DPO (4) JC Lairie Téléphone: https://www.brassalay.fr/ Courriel: dpo@dlplace.eu

Organisme

Représentant légal

Délégué à la Protection des Données

1.1 - Missions de l'association Brassalay

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type

Désignation

Contenu

Commentaire

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes

Catégories de données

Obligatoire

Sensible selon le RGPD

Combien de temps conservons-nous vos données ?

Durée de conservation

Type de stockage

Action en fin de période

Commentaire

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Acteurs internes

Sous-traitants (autres organismes ayant accès aux données)

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

Sensibilité estimée et impacts potentiels en cas de violation ?

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation

Contenu

Type

Commentaire

3 - Gestion des usagers

3.1 - Répondre aux demandes d’accueil : liste des enfants en attente d’arrivée

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes

Catégories de données

Obligatoire

Sensible selon le RGPD

Combien de temps conservons-nous vos données ?

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Acteurs internes

Sous-traitants (autres organismes ayant accès aux données)

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

Sensibilité estimée et impacts potentiels en cas de violation ?

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation

Contenu

Type

Commentaire

3.2 - Usagers : pré admission de prise en charge

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes

Catégories de données

Obligatoire

Sensible selon le RGPD

Combien de temps conservons-nous vos données ?

Durée de conservation

Type de stockage

Action en fin de période

Commentaire

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Acteurs internes

Sous-traitants (autres organismes ayant accès aux données)

Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)

Sensibilité estimée et impacts potentiels en cas de violation ?

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation

Contenu

Type

Commentaire

3.3 - Gestion et accès au dossier unique contenant les informations nécéssaires à la prise en charge de l'usager

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type

Désignation

Contenu

Commentaire

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes

Catégories de données

Obligatoire