Comment respecter le RGPD dans Apidae ?

Publié le

Le RGPD, Règlement Général pour la Protection des Données personnelles, est rentré en vigueur en 2018.

Voici quelques rappels et bonnes règles d’usage pour respecter ce règlement au sein d’Apidae.

 

Rappel des enjeux et obligations

L’enjeu est de redonner le pouvoir aux individus quant à l’usage qui est fait de leurs données personnelles.

Pour ce faire, voici un rappel des obligations pour les structures :

  • Nommer un pilote (DPO pour Délégué à la Protection des Données)
  • Être en capacité de tracer tous les usages qui sont faits de ces données, et indiquer comment ces données sont sécurisées
  • En rendre compte à chaque personne référencée qui en ferait la demande (droits d’accès aux données personnelles, droit à la portabilité des données et droit à l’effacement des données)
  • Prendre en compte la vie privée dès la conception de nouveaux services
  • Plus globalement, chaque structure doit assurer et démontrer la conformité avec les principes RGPD

 

Voir les 6 étapes sur le site de la CNIL

 

De quels types de données personnelles parle-t-on ?

Pour les Offices de Tourisme et autres institutionnels, trois catégories de données personnelles sont majoritairement concernées.

Ce sont celles sur :

  • les clients : dans les outils de CRM – Gestion de la Relation Client, les outils de réservation, sur les sites web
  • l’offre touristique : dans la plateforme Apidae
  • les salariés des structures : données RH

Chaque structure peut potentiellement avoir d’autres types de données personnelles et d’autres traitements qui lui sont propres, en fonction de sa stratégie.

 

 

Une démarche collective dans l’application du RGPD dans Apidae

Dès 2018, nous avons confié un audit à un cabinet d’avocats. Suite à cet audit, et comme pour de multiples sujets, nous avons opté pour une démarche collective pour l’application du RGPD  dans le cadre des données personnelles traitées sur la plateforme.

> Un pilote a été désigné pour le réseau sur les traitements communs.

> Un périmètre commun de traitement de données personnelles pour Apidae a été défini. Ce périmètre concerne :

  • Les données collectées pour alimenter la plateforme : l’offre touristique (périmètre des objets Apidae et des socio-pros qui gèrent cette offre), pour lesquels Apidae Tourisme Scic SA est co-responsable de traitement
  • Les données qui servent pour la communication du réseau Apidae et l’accompagnement.

> Des outils qui nous aident collectivement à appliquer le RGPD ont été mis en place :

Retrouvez dans les Conditions Générales l’ensemble des mesures à appliquer

 

 

Concrètement, que dois-je faire pour respecter le RGPD dans Apidae ?

 

Vous êtes client Apidae Tourisme (vous gérez des données)

Vous vous engagez en signant les Conditions Générales Apidae à ce que les données que vous gérez sur la Plateforme Apidae ne contreviennent pas le RGPD.

Notamment, vous êtes co-responsable de traitement avec la Scic SA Apidae Tourisme pour  les Données mises en commun sur la Plateforme avec l’ensemble des membres du Réseau Apidae.

A ce titre, vous devez notamment :

  • Ajouter à votre propre registre de traitements les éléments figurant en Annexe A – Fiche de registre (cf. Conditions Générales)
  • Informer les personnes concernées par les Données que vous gérez du traitement au moment de la 1ère collecte (en cas de collecte directe auprès de la personne), ou dans les 30 jours, en cas de collecte indirecte (ex. via site internet ou autre).
    L’Annexe B – Mentions d’Informations des Conditions Générales vous donne les éléments pour le faire.
    Pour information, le document 2 en 1 “Conditions d’adhésion Apidae pour les socio-professionnels et fournisseurs d’informations” vous permet de le faire et également, de vous mettre en règle pour les droits photos : cf. tuto associé.
  • Gérer les données personnelles, vérifier leur exactitude, les mettre à jour, les corriger de façon spontanée ou suite à une demande de la personne concernée, supprimer les Données dont la durée de conservation est arrivée à expiration ou à la suite d’une demande de la personne concernée.
  • Veiller à la confidentialité, l’intégrité et la disponibilité des données à caractère personnel faisant l’objet du Traitement (veiller plus particulièrement à maintenir la confidentialité des identifiants lui permettant d’accéder à la Plateforme et de saisir, modifier, supprimer les Données)

 

Vous êtes uniquement utilisateur des données Apidae Tourisme (vous ne gérez pas de données )

  • Les informations à faire figurer sont de votre responsabilité, en fonction de vos propres traitements.
    En effet : à travers la signature des Conditions Générales, les Clients du Réseau Apidae s’engagent à mettre en ligne des contenus et Données ne contrevenant pas aux règles du RGPD. 
  • Vous êtes seul responsable des traitements que vous décidez de faire avec les Données mises à disposition sur la plateforme Apidae par les Clients. 
  • Il est donc de votre responsabilité de respecter l’ensemble des obligations légales incombant au responsable de traitement, et notamment de vous assurer de disposer d’une base légale vous autorisant à traiter les données à caractère personnel et d’informer au préalable les personnes concernées de l’existence de ce ou ces traitements.

 

Cas particulier des informations contenues dans les services annuaire et annonces

  • En signant les Conditions Générales, le représentant de votre structure s’engage à ce que les informations saisies ne contreviennent pas au RGPD.
  • Il vous appartient de mettre en place toutes les mesures nécessaires pour que les données publiées le soient dans le respect de la loi (notamment information des personnes citées, gestion des données pour l’exactitude, les modifications, suppressions soit spontanées, en cas de la demande de la personne, ou si la durée de conservation est arrivée à expiration).

 

Besoin de plus d’accompagnement ?

Dans le cadre des Conditions Générales Apidae Tourisme, vous pouvez être accompagné dans la mise en œuvre de vos engagements pris vis-à-vis du Réseau. Il s’agit du coaching juridique :

Qu’est ce que le coaching juridique ?

À retenir

  • Le RGPD, Règlement Général pour la Protection des Données personnelles, est un dispositif juridique qu’il convient de prendre en considération et de faire évoluer au sein de chaque structure.
  • En signant les Conditions Générales Apidae, chaque structure s’engage à ce que les données gérées sur la Plateforme Apidae ne contreviennent pas le RGPD.
  • Un ensemble de ressources est disponible sur ce sujet : Conditions générales, tutoriels, FAQ…
Auteur de l’article