PROCEDURE CONSERVATION DES DONNEES PERSONNELLES


1.OBJET :

Cette procédure a pour objet de décrire le processus de conservation des données personnelles : protection, sécurisation, stockage/ archivage et destruction.

2.DOMAINE ET PERIMETRE D’APPLICATION :

La procédure s’applique à l’ensemble de la structure.

3.DOCUMENTS DE REFERENCE :

Règlement RGPD

4.PERSONNES CONCERNEES :

Cette procédure concerne le responsable de traitement.

5.DESCRIPTION DU PROCESSUS :

               5.1. PROTECTION DES DONNEES

La création et le traitement de données personnelles (Numéro d’identification, Nom, Adresse, Numéro de Téléphone, photo, Adresse IP, etc…) sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles.


DEFINITIONS :

Données personnelles : toute information identifiante directement ou indirectement une personne physique (ex. Nom, Numéro d’immatriculation, Numéro de téléphone, Photographie, Date de Naissance, Commune de Résidence, Empreinte Digitale…).

Sont considérées comme données personnelles sensibles, celles concernant l’originale raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.


OBLIGATIONS DE L’ORGANISME EN TERMES DE PROTECTIONS DES DONNEES PERSONNELLES :

Désignations de référents RGPD :

Le délégué à la protection des données

Un délégué à la protection des données a été mis en place. Il est chargé :

*d’informer et conseiller le responsable de traitement (ou le sous-traitant) et ses employés

*de contrôler le respect du règlement européen et du droit français en matière de protection de données

*de contrôler l’organisme sur la réalisation d’une analyse d’impact et d’en vérifier l’exécution,

*de coopérer avec l’autorité de contrôle et d’être son contact.

Le responsable de traitement :

Le responsable de traitement est la personne, l’entreprise ou un autre organisme qui détermine la finalité et les moyens du traitement des données à caractère personnel (Seul ou conjointement avec d’autres.)


CONTACT :  YANN DIGITAL TECHNOLOGIES

* Mail :  contact@yankess.fr   

* Téléphone : +33 6 52 69 24 21 / +33 7 51 50 46 57


Ø NOTE IMPORTANTE CONCERNANT LE RGPD

 

YANN’ DIGITAL TECHNOLOGIES ne peut être tenue responsable de l'interprétation et de l'utilisation qui seront faites par le client de la réglementation RGPD. Elle n'est tenue qu'à une obligation de moyen pour assister son client dans la mise en conformité de son application à savoir yankess. Sa responsabilité ne pourra être engagée dans l'hypothèse où :

·        Le client utilise des services externes dont YANN’ DIGITAL TECHNOLOGIES n'a pas eu connaissance ou dont elle n'est pas à l'origine de l'utilisation et/ou de l'intégration.

·        Les services externes concernés ne permettent pas la suppression ou la modification des traceurs de suivi.

·        L’un des fournisseurs de YANN’ DIGITAL TECHNOLOGIES n'a pas respecté ses propres obligations vis à vis du RGPD.

·        Le nouveau règlement sur la protection des données venait à évoluer.

Le client reconnaît donc par la présente que la prestation d'assistance à la conformité RGPD proposée par YANN’ DIGITAL TECHNOLOGIES ne le soustrait en aucun cas de ses propres obligations liées au RGPD, et qu'en tout état de cause, elle ne concerne que la mise en conformité de son application et pas les autres obligations auquel il est soumis. Il devra notamment s'assurer avec son service juridique et /ou son conseil de la pertinence et de la validité de l'intervention de YANN’ DIGITAL TECHNOLOGIES par rapport aux informations dont elle dispose.


OBLIGATION GENERALE DE SECURITE DE CONFIDENTIALITE

Dans le cadre de la protection des données, le responsable de traitement a mis en œuvre des mesures de sécurité :

* Des locaux : les documents papiers sont classées et rangés dans des locaux sécurisés dont l’accès est limité et réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale (Services des impôts par exemple) (CF. Registre de données)

* Des systèmes d’informations : les données personnelles numériques sont stockées sur un serveur sécurisé (CF. Registre des données).

Chaque salarié ayant accès à des données personnelles sensibles doit signer une charte d’utilisation des données personnelles sensibles annexée au règlement intérieur.


OBLIGATION D’INFORMATION

 

YANN’ DIGITAL TECHNOLOGIES informe les personnes concernées par divers canaux d’informations :

* l’ensemble des personnes concernées : le registre des données qui permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qui est fait avec les données personnelles.

* les salaries : rédaction d’une note d’information affichée dans les locaux et intégration d’une clause sur la RGPD dans les contrats de travail.

* les Clients / Usagers/ Résidents : rédaction d’une note d’information envoyées par mail et ou par courrier et ou sur le site internet et introduction d’une clause sur la RGPD dans les contrats de Prestation/ Séjour/ CGV

* Les sous-traitants : Intégration d’une clause RGPD dans les contrats.


ANALYSE D’IMPACT EN CAS DE RISQUE ELEVE POUR LES DROITS ET LIBERTES DES PERSONNES

Pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes, une analyse d’impact sur la vie privée a été menée par le responsable de traitement pour évaluer en particulier, l’origine, la nature, la particularité et la gravité de ce risque.

Cette étude a été présentée à la CNIL si elle n’a pas permis de diminuer suffisamment le risque pour le rendre acceptable.

Les données concernées doivent porter sur :

* les informations sensibles (Origine, Opinions Politiques, Religieuses, Syndicales), biométriques ou génétiques,

* l’évaluation des personnes (profilage, par exemple)

* les fichiers ayant une finalité particulière (études statistiques de INSEE, traitements de recherche médicale, par exemple)

* les transferts de données hors de l’Union Européenne.


A NOTER : Les transferts de données hors UE ne sont plus interdits mais ils doivent respecter plusieurs conditions, notamment que le pays tiers présente un niveau de protection adapté, selon la commission européenne. Une autorisation de la CNIL est nécessaire si des clauses contractuelles sont différentes des clauses de commission Européenne. Les données transférées restent soumises au droit de l’UE non seulement pour leur transfert, mais aussi pour tout traitement/ transfert ultérieur.


               5.2. SECURISATION DES DONNEES

Le responsable du traitement et le sous-traitant doivent prendre des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne le traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un Etat membre.


               * Sensibiliser les utilisateurs,

               * Authentifier les utilisateurs,

               * Gérer les accès,

               * Tracer les accès et gérer les incidents,

               * Sécuriser les postes de travail,

               * Sécuriser l’information mobile,

               * Protéger le réseau informatique interne,

               * Sécuriser les serveurs,

               * Sécuriser les sites Web,

               *Sauvegarder et prévoir la continuité d’activité

* Archiver de manière sécurisée,

               * Encadrer la maintenance et la destruction des données,

               * Gérer la sous-traitance,

               * Sécuriser les échanges avec d’autres organismes,

               * Protéger les locaux,

               * Encadrer les développements Informatiques,

               * Chiffrer, garantir l’intégrité ou signer.


               5.3. STOCKAGE ET ARCHIVAGE DES DONNEES

Les données personnelles sont stockées dans des locaux sécurisés dont l’accès est limité et archivées selon les délais en vigueur.

Documents civils et commerciales

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE



Contrat ou convention conclue dans le cadre d’une relation commerciale, correspondance commerciale

5 ans

Article L 110-4 du code du commerce



Garantie pour les biens ou services fournis au consommateur

2 ans


Article L 218-2 du code de la consommation



Contrat conclu par voie électronique (à partir de 120€)

10 ans à partir de la livraison ou de la prestation

Article L.123 du code du commerce



Contrat d’acquisition ou de cession de biens immobiliers et fonciers

30 ans

Article 2227 du Code Civil



Document Bancaire (talon de chèque, relevé bancaire…)

5 ans

Article L 110-4 du code de commerce



Document de transport de marchandises

5 ans

Article L 110-4 du code de commerce



Déclaration en Douane

3 ans

Article 16 du règlement européen n°2913/92 du conseil d 12 Octobre 1992



Police d’Assurance

2 ans à partir de la réalisation du contrat

Article L 114-1 du code des assurances



Document relatif à la propriété intellectuelle (dépôt de brevet, marque, dessin et model)

5 ans à partir de la fin de la protection

Article 2224 du code civil



Dossier d’un Avocat

5 ans à partir de la fin du mandat

Article 2225 du code civil



Pieces comptables

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Livre et registre comptable : livre journal, livre d’inventaire, etc…

10 ans à partir de la clôture de l’exercice

Article L123-22 du code de commerce



Piece justificative ; bon de commande, de livraison ou de réception, facture client et fournisseur, etc…

10 ans à partir de la clôture de l’exercice

Article L123-22 du code de commerce


Documents fiscales

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Impôt sur le revenu et sur les sociétés

6 ans

Article L102 B du livre des procédures fiscales



Bénéfices industriels t commerciaux (BNC) et bénéfices agricoles (BA) en régime réel

6 ans

Article L102 B du livre des procédures fiscales



Impôts sur les sociétés pour l’EIRL, des sociétés à responsabilité limitée (exploitations agricoles, Sociétés d’exercice libérale)


6 ans

Article L102 B du livre des procédures fiscales



Impôts directs locaux (taxes foncières, contribution à l’audiovisuel public

6 ans


Article L102 B du livre des procédures fiscales



Cotisation foncière des entreprises (CFE) et CVAE

6 ans

Article L102 B du livre des procédures fiscales



Taxes sur le chiffre d’affaires (TVA et taxes assimilées, impôts sue les spectacles, taxe sur les conventions d’assurance…)

6 ans

Article L102 B du livre des procédures fiscales



Attention : les délais sont portés à 10 ans, en cas d’activité occulte : fraude fiscale, travail dissimulé, absence de déclaration, activité illicite, par exemple.


Documents fiscales

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE


Statuts d’une société, d’un GIE ou d’une association (Si nécessaire, une pièce modificative de statuts)

5 ans à partir de la perte de personnalité morale (ou radiation du RCS)

Article 2224 du code civil



Compte annuel (bilan, compte de résultat, annexe…)

10 ans à partir de la clôture de l’exercice

Article L123-22 du code de commerce



Traité de fusion et d’autre acte lié au fonctionnement de la société (+documents de la société absorbée)

5 ans

Article 2224 du code civil



Registre de titres nominatifs. Registre des mouvements de titres. Ordre de mouvement. Registre des procès-verbaux d’assemblés et de conseils d’administration

5 ans à partir de la fin de leur utilisations

Article L225-117 du code de commerce




Feuille de présence et pouvoirs. Rapport du gérant ou du conseil d’administration. Rapport des commissaires au compte

3 dernières exercices

Article L225-117 du code de commerce


Gestion du Personnel

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Bulletin de paie (double papier ou sous forme électronique)

5 ans

Article L3243-4 du code du travail



Registre unique du personnel

5 ans à partir du départ du salarié

Article R1221-26 du code du travail



Documents concernant les contrats de travail, salaires, primes, indemnités, soldes de tout compte, régimes de retraite.


5 ans

Article 2224 du code civil



Document relatif aux charges sociales et à la taxe sur les salaires

3 ans

Articles l 244-3 du code de la sécurité sociale et L169 A du livre des procédures fiscales


 

Comptabilisation des jours de travail des salariés sous convention de forfait

3 ans

Article D3171-16 du code du travail



Comptabilisation des heures des salariés, des heures d’astreinte et de leur compensation

1 an

Article D3171-16 du code du travail



Observation ou mise en demeure de l’inspection du travail. Vérification et contrôle du CHSCT

5 ans

Article D4711-3 du code du travail




Déclaration d’accident du travail auprès de la caisse primaire d’assurance maladie

5 ans

Article D4711-3 du code du travail


Document lié à la santé

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE


Dossier médical dans les établissements de santé publics et privées

20 ans à compter du dernier passage. Si le patient décède moins de 10 ans après son dernier passage dans l’établissement, son dossier sera conservé pendant une durée de 10 ans à compter de la date du décès

Article R.1112-7 du code de la santé publique



Transmission des feuilles de soins

90 Jours pour le double électronique et les accusés de réception 3 ans pour les décomptes de remboursement de la sécurité sociale

Norme simplifiée n°53 Article R.161-4 du code de la securit sociale

Article L.332-1 du code de la sécurité sociale



Gestion administrative de la pharmacie, dispensation des médicaments, produits de santé et dispositifs médicaux d’analyse statistique des ventes

Conservation 3 ans à compter de la dernière intervention sur le dossier du patient puis archivage 15 ans.

Conservation de l’ordonnance pendant 10 ans

Norme simplifiée n°52 Article R.5125-45 du code de la santé publique

Article R.5132-36 du code de la santé publique

Article R.5121-195 du code de la santé publique


                              5.4. DESTRUCTION DES DONNEES PERSONNELLLES

LA DESTRUCTION DES DONNEES PERSONNELLES PAPIERS :

 

Le désarchivage et la destruction des données détenues font l’objet d’une gestion sécurisée. YANN’ DIGITAL TECHNOLOGIES fait appel à un organisme réalisant la destruction de document confidentiels et fournissant un certificat de destruction qui reprend l’ensemble des informations de collecte et de destruction fourni par chaque opérateur.


LA DESTRUCTION DES DONNEES PERSONNELLES NUMERIQUES :

 

Les données contenues dans un applicatif sont stockées dans une base de données SQL et purgées dès leur effacement.


                              5.5. DEMANDE DE DROIT D’ACCES AUX DONNEES PERSONNELLES

Toute personne physique, voulant accéder à ses données personnelles, doit saisir le responsable de traitement.

Le responsable de traitement répond à la demande de droit d’accès aux données personnelles selon les délais prévus à l’article 12.3 du RGPD.


SON CONTACT : YANN’ DIGITAL TECHNOLOGIES

*Mail : contact@yankess.fr     

*Téléphone : +33 6 52 69 24 21 / +33 7 51 50 46 57


                              5.6. GESTION DES VIOLATIONS DES DONNEES PERSONNELLES

Violation de données à caractère personnel (Article 4.12 du RGPD) : une violation de la sécurité entrainante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisé de données à caractère personnel transmises, conservée ou traitées d’une manière, ou l’accès est non autorisé à de telles données.

Le responsable de traitement doit, tout d’abord, notifier la violation des données personnelles en interne à travers le document interne « Registre de violations ».

Si l’incident constitue un risque au regard de la vie privée des personnes concernées, le responsable de traitement doit notifier l’incident à la CNIL et aux personnes concernées.

Il doit transmettre la notification à la CNIL dans les meilleurs délais à l’adresse suivante :  https://notifications.cnil.fr/notification/index

Si le responsable ne peut pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, il doit procéder à une notification complémentaire dans le délai de 72 heures si possible après la notification initiale.

Si le délai de 72 heures est dépassé, il conviendra d’expliquer, lors de votre notification, les motifs du retard.

En cas de doute, il est nécessaire de notifier à la CNIL qui indiquera s’il est nécessaire d’informer les personnes.

Dès réception le CNIL va introduire la notification.