Orientations en matière de protection des données — Question 4
Sécurité — quelles sont les mesures à prendre lors de la collecte des données des signataires sur papier?
S’applique au scénario 2
Lorsque les déclarations (et les adresses électroniques, selon le cas) sont collectées sur papier, elles sont également considérées comme des données à caractère personnel protégées par le RGPD.
Mesures de sécurité
En tant que groupe d’organisateurs, vous devez mettre en œuvre des mesures de sécurité techniques et organisationnelles pour protéger les déclarations, en particulier contre la destruction, la perte ou l'altération accidentelle ou illicite ainsi que la divulgation ou l’accès non autorisé(e).
Ces mesures doivent comprendre au moins:
- la mise en lieu sûr des formulaires de déclaration sur papier lorsqu’ils sont stockés (de préférence dans des coffres-forts);
- la présentation, de manière sécurisée, des formulaires papier aux autorités nationales chargées de la validation et de la certification, par exemple, par courrier recommandé, par transporteur de confiance ou par le service d’échange de fichiers de la Commission.
IMPORTANT: accords avec les militants
Les déclarations de soutien sur papier sont généralement collectées de manière décentralisée, souvent par des militants volontaires ou sous contrat, distincts des organisateurs de l’initiative. Ces militants devraient être considérés comme des sous-traitants et agir sur la base d’un accord écrit avec le représentant.
Un accord avec un «militant» est donc un accord entre le responsable du traitement et le sous-traitant au sens de l’article 28 du RGPD et doit couvrir les aspects énumérés dans cet article.
À titre indicatif, un accord dans ce contexte pourrait contenir:
- l’autorisation donnée par le représentant au militant de recueillir, en son nom, les déclarations de soutien (et les adresses électroniques des signataires) pour une initiative donnée;
- les instructions du représentant sur la manière de traiter d’éventuelles questions et demandes des signataires liées à la protection des données;
- l’engagement du militant de respecter la politique de protection des données des organisateurs et en particulier:
- de ne recueillir les déclarations de soutien (et les adresses électroniques des signataires) que conformément aux instructions des organisateurs, et uniquement au moyen des formulaires qui lui sont communiqués par ces derniers,
- de s’abstenir de collecter d’autres données,
- d’informer les signataires du contenu de l’initiative et de leurs droits conformément à la déclaration de confidentialité,
- d’informer les signataires que la fourniture de leur adresse électronique n’est que facultative et ne conditionne pas leur droit de soutenir l’initiative,
- de stocker les déclarations de soutien collectées (et les adresses électroniques) en lieu sûr jusqu’à leur transmission aux organisateurs de l’initiative,
- de transférer les déclarations de soutien et les adresses électroniques collectées de manière sécurisée, par exemple, par courrier recommandé ou par service de messagerie, et uniquement aux organisateurs de l’initiative;
- la confirmation par le militant:
- qu’il/elle a lu et compris les dispositions de la déclaration de confidentialité, définie à l’annexe III du règlement relatif à l'initiative citoyenne européenne, et s’est familiarisé(e) avec le contenu de l’initiative, ainsi qu’avec le matériel utilisé par les organisateurs pour communiquer (site web, autre information ou document pertinent),
- qu’il/elle a connaissance de sa responsabilité en ce qui concerne les données collectées.
Références:
- Articles 28 et 32 du RGPD