Document approuvé par le Conseil d’administration d’ISA-France le 19 mai 2018
1. Contexte et objectifs
Dans le cadre du Règlement général
sur la protection des données ou RGPD, ISA-France a l’obligation
d’adopter une démarche proactive vers ses adhérents
et contacts afin de protéger leurs données personnelles
et de s’assurer notamment de leur consentement à recevoir
des courriels de la part d’ISA-France et, le cas échéant,
de leur permettre de sortir des traitements de ces données dont
l’ISA France pourrait être à l’origine.
Cette démarche s’inscrit dans le cadre du règlement
(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
(https://www.cnil.fr/fr/reglement-europeen-protection-donnees
) sous la forme simplifiée prévue au chapitre 4 Art. 30
alinéa 5 pour les organisations de moins de 250 salariés,
sous certaines conditions respectées par les traitements nominatifs
ISA France dont l’absence de données à caractère
politique, racial ou médical, de traitement portant atteinte aux
droits civiques, d’export de données à l’étranger...
cf. https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre4#Article30
alinéa 5.
Le présent référentiel peut être consulté
par les membres et les contacts d’ISA-France ainsi que par les autorités
de contrôle de l’Administration, à la demande de celle-ci.
2. Registre simplifié des traitements
nominatifs
2.1 Liste des traitements nominatifs
Traitements nominatifs |
Données personnelles
(non sensibles) |
| T1 Visiteurs du site web ISA-France anonymes | Enregistrement anonyme de la session dans un cookie |
| T2 Visiteurs du site web ISA-France enregistrés et connectés | Sans objet |
| T3 Adhésions à l’ISA | Pour les membres ISA actuels et passés rattachés
à l’ISA France : Identité Position professionnelle Adresses physiques et courriel Statut d’adhésion |
| T4 Vente de produits en ligne : adhésions traitées par l’ISA France, documents, inscriptions aux manifestations ou aux formations | Information complète de commande et facturation à l’exception des identifiants de cartes de crédit (traités de manière fugitive par l’interface de la banque) et des comptes bancaires (traités directement avec la banque) |
| T5 autres contacts | Identité Position professionnelle Adresses physiques et courriel* *Information minimale collectée |
| T6 Campagnes d’information générales ou ciblées | Traitement indépendant par un prestataire qui utilise un sous ensemble de T3, T4, T5 (nom prénom email) collecte des informations d’horodatage et enregistre les désinscriptions reportées à T3, T4, T5 |
| T7 Comptabilité ISA France | Accès aux factures et règlements par l’agent comptable, le trésorier, le président |
2.2 Responsable des traitements
Le responsable des traitements est le président de l’ISA-France.
2.3 Intervenants ayant accès aux données personnelles
• Le président de l’ISA France
• Le secrétaire de l’ISA France
• La société OXEMIS dont le logiciel Oximailing est
utilisé pour les diffusions ISA France.
2.4 Sous-traitance informatique
Les obligations RGPD des sous-traitants relèvent de https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre4#Article30.
Les sous-traitants informatiques d’ISA-France sont :
a. OVH (https://www.ovh.com/fr/ )
pour les serveurs et la messagerie ISA France, prestations effectuées
dans des datacenters localisés en France.
b. OXEMIS (https://www.oxemis.com/)
pour des campagnes d’emailing
c. PAYPAL : paiements en ligne
d. KB Intelligence : le cas échéant, pour la logistique
et la gestion courante.
Les sous-traitants s'engagent à respecter le RGPD pour les données
en provenance d’ISA-France, notamment la confidentialité
et le droit de rectification et oubli
3. Respecter des droits des personnes
3.1 Le délégué à la protection
des données
Le délégué à la protection des données ISA France est le secrétaire d‘ISA-France. Ses missions sont décrites ici : https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre4#Article39
3.2 Engagements de l’ISA-France concernant les données nominatives
1. Sécurisation des données : assurée par des dispositifs
de protection des équipements informatiques
2. Durée de conservation des données personnelles : illimitée
3. Confidentialité des données : l’accès est
limité aux intervenants désignés au registre des
traitements. Les données ne sont ni cédées ni vendues
à des tiers.
4. Portabilité des données : elle s’exerce par la
transmission en format PDF de l’impression des informations de compte
personnel ou sous tout autre format convenu.
5. Droit à l’oubli :
• Cookies : illimité
• Autres données personnelles : anonymisées sur demande
au plus tôt quatre ans après leur date de collecte pour pouvoir
satisfaire à d’autres obligations légales, par exemple
fiscales ou de cyber sécurité.
• Logs informatiques serveur Web : suppression avec la rotation
des sauvegardes, soit après 36 mois.
3.3 Demandes d’information ou de rectification et voies de recours
Les droits d’information rectification et recours sont exercés
:
- par courrier à l’adresse postale de l’association
: c/o KB Intelligence - 10, rue Lionel Terray 92508 RUEIL-MALMAISON Cedex
;
- par courriel à contact@isa-france.org .
4. Actions de mise en place
4.1 Rédaction et mise en ligne des mentions légales
avec information de confidentialité
4.2 Information aux contacts courants ISA France
Envoi d’un mailing à destination de la base courante indiquant
1. La conformité RGPD (lien vers les conditions légales)
;
2. Notification d’acceptation implicite de recevoir nos informations,
et qu’ils n’ont rien à faire. S’ils n’en
veulent plus, nous le faire savoir par retour
5. Suivi
Ce référentiel fait l’objet d’un suivi au moins une fois par an dans une séance de conseil d’administration de l’ISA France.
