Protection des données

Dans le cadre des relations que l’OSL a avec vous nous sommes amenés à collecter directement auprès de vous ou à obtenir indirectement des données à caractère personnel vous concernant. Nous accordons une grande importance à garantir la confidentialité et à la sécurité de ces données. Cette charte a pour objet de vous informer des engagements que nous prenons auprès de vous quant au traitement et à la sécurité de ces données à caractère personnel. Nous souhaitons aussi vous rappeler les droits qui sont les vôtres en ce domaine. 

Cette charte s’applique uniformément à toutes les entités, établissements et services de l’OSL.

 

Quelles sont les données à caractère personnel que nous collectons ?

 

Qu’est-ce qu’une donnée à caractère personnel ?


On appelle donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 

Quelles données à caractère personnel traitons-nous vous concernant ?

 

Nous traitons les données qui nous sont utiles dans la relation que nous entretenons avec vous. Nous recueillons ces données :

  • Directement auprès de vous :
    • des données d’identification et d’affiliation ;
    •  des données relatives à votre parcours de vie personnel, scolaire et professionnel ;
    • des données relatives à des informations d’ordre économique et financier ;
    • des données relatives à vos habitudes et à vos préférences ;
    • des données relatives aux interactions que vous avez avec l'OSL : entretiens, élaboration du projet personnalisé, courriers (y compris électroniques), etc.

 

  • Indirectement de la part d’organismes officiels :
    •  des données relatives à votre orientation , 
    • des données relatives à vos affiliations.

 

 

Quels sont les acteurs impliqués dans le traitement de vos données personnelles ?

 

  •  vous-même : la personne concernée par la collecte et le traitements des données ;
  •  le Responsable du traitement : la personne, physique ou morale, qui a jugé qu’un traitement était nécessaire et qui en a fixé les modalités, ici le Responsable du traitement est l’OSL ;
  • le Délégué à la protection des données (DPD) : nous avons nommé un Délégué à la protection des données dont le rôle est de nous informer et de nous conseiller, de contrôler le respect de la réglementation, de nous aider à mesurer les risques encourus par vos données de coopérer avec la Commission Nationale Informatique et Libertés (CNIL) ;
  • le Sous-traitant : le prestataire à qui nous avons confié la réalisation du traitement et qui traite les données pour notre compte et sous notre contrôle ;
  • le Destinataire : la personne, l’autorité ou l’organisme à qui nous communiquons les données ou qui nous communique celles-ci.

 

Quels sont les principes que nous appliquons ?

 

  1. les données sont traitées de manière licite, loyale et transparente :
    • a.    licite : le traitement repose sur un fondement juridique clair et explicite ;
    • b.    loyale : le traitement est notifié et inscrit au registre des traitements ;
    • c.    transparente : les informations relatives au traitement vous sont délivrées.
  2. les données sont collectées pour des finalités déterminées, explicites et légitimes :
    • a.    déterminées : l’objectif pour lequel les données sont collectées est défini clairement ;
    • b.    explicites : cet objectif peut être exprimé de manière à ce qu’il puisse être facilement compris ;
    • c.    légitimes : cet objectif est légitime
  3. les données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités ;
    • a.    adéquates : les données collectées répondent à une nécessité qui ne pourrait être atteinte autrement ;
    • b.    pertinentes : les données collectées permettent d’atteindre l’objectif fixé pour le traitement ;
    • c.    limitées : seules les données strictement nécessaires sont collectées.
  4. les données collectées sont exactes et, si nécessaire, tenues à jour :
    • a.    exactes : une attention particulière est portée sur l’exactitude des données et l’élimination des données inexactes ;
    • b.    tenues à jour : une revue régulière des données permet d’éliminer les données obsolètes ;
  5. les données sont conservées pour une durée qui ne dépasse pas celle nécessaire au traitement ou au respect d’une obligation légale de conservation ;
  6. les données sont traitées de façon à garantir un niveau de sécurité approprié.

 

Sur quelles bases légales traitons-nous vos données ?

 

Les bases légales sur lesquelles nous traitons vos données sont fonction des finalités du traitement qui va être opéré. 
Nous traitons les données :

  • soit sur la base de votre consentement et nous veillons à ce que celui-ci soit :
    • libre : vous êtes en capacité de consentir ;
    • spécifique : votre consentement porte sur une finalité précise ;
    • éclairé : nous vous donnons toutes les informations nécessaires au sujet du traitement ;
    • univoque : nous recueillons votre consentement à partir d’un acte positif et non ambigüe. 

 

  • soit sur d’autres bases légales eu égard aux obligations qui sont les nôtres, ces bases légales sont conformes à la réglementation européenne et française. Le tableau ci-joint reprend les finalités de nos traitements et les bases légales sur lesquelles nous nous appuyons.

Le tableau ci-dessous reprend les finalités de nos traitements et les bases légales sur lesquelles nous nous appuyons.

Version mobile : télécharger le tableau
Vous êtes… Finalités pour lesquelles nous traitons vos données personnelles Base légale sur laquelle nous fondons le traitement

Un candidat usager

Traitement de données personnelles nécessaires à la gestion des candidatures et à l’admission d’un usager sur les différents agréments de l’association OSL

Intérêt légitime + obligations légales :

  • contrats de séjour/de soutien et avenants, Loi 2002-2 et décret n° 2004-1274 du 26 novembre 2004 relatif au contrat de séjour ou document individuel de prise en charge, prévu par l'article L. 311-4 du code de l'action sociale et des familles
  • documents d’information obligatoire à l’admission dits outils de la loi 2002-2 : Loi 2002-2
  • désignation personne de confiance : code de la santé publique Art L1111-6
  • Facturation PJ : Règlements départementaux d’aide sociale selon domicile de secours de la personne accueillie

Un usager d’un de nos établissements

Traitements de données personnelles nécessaires à la gestion du parcours et du séjour

Exécution du contrat de séjour (article L. 311-4 du CASF), obligation légale (conformément aux dispositions des articles L. 311-3 et L. 311-4 du CASF au regard les habitudes de vie, les demandes particulières, les besoins particuliers, l’autonomie physique et psychique de la personne), intérêt légitime.

Traitements de données personnelles nécessaires à la gestion de la vie domestique et des activités quotidiennes

Exécution du contrat de séjour (article L. 311-4 du CASF)

Traitements de données personnelles nécessaires à la gestion du circuit du médicament et de l’accompagnement à la santé

Accompagnement l’usager dans son parcours de soin : Exécution du contrat de séjour

Gestion administrative du volet santé du dossier de l’usager : Intérêts légitimes

Préparation et administration médicamenteuse : Traitements nécessaires au respect d’une obligation légale : article L313-26 du Code de l’action sociale et des familles (circuit du médicament)

Gestion des stocks de médicaments : Traitements nécessaires au respect d’une obligation légale : article L313-26 du Code de l’action sociale et des familles (circuit du médicament)

Gestion des urgences médicales / DLU : Traitements nécessaires à la sauvegarde des intérêts vitaux de la personne concernée

Gestion des activités socio-culturelles (internes et droit commun)

Exécution du contrat de séjour, intérêt légitime

Traitements de données personnelles nécessaires à la gestion des activités de soutien à l'ESAT

Intérêt légitime et obligations légales : *contrat de séjour et avenants, Loi 2002-2 et décret n° 2004-1274 du 26 novembre 2004 relatif au contrat de séjour ou document individuel de prise en charge prévu par l'article L. 311-4 du code de l'action sociale et des familles

Traitements de données personnelles nécessaires à la gestion de la communication

Gestion de notre communication avec vous (Adresser des informations, Solliciter avis, Répondre aux demandes) : Intérêt légitime de notre organisme à développer son activité, accroître pouvoir d’agir, améliorer la qualité de nos prestations.

Gestion d’images : consentement de la personne et son accord de cession de droit à l’image,

Traitements de données personnelles nécessaires à la gestion des mesures de protection par le préposé d’établissement.

Traitements activité MJPM : contrat

Traitements Gestion administrative et financière des majeurs protégés, Suivi social et juridique des usagers des majeurs protégés : obligation légale

Traitements de données personnelles nécessaires à la gestion hôtelière, à la logistique et à la maintenance

Gestion des biens immobiliers : Obligation légale (règlement sanitaire départemental)

Gestion hôtelière, gestion de l'économat, gestion de la lingerie, gestion de la restauration : exécution du contrat de séjour

Gestion des demandes d'intervention, gestion de la conformité / sécurité des biens, gestion du patrimoine, gestion de la maintenance, gestion des clés, gestion des assurances : intérêt légitime

Gestion des ressources financières des établissements et de l’association : frais de séjour

Obligation légale :

Décret n° 2016-1815 du 21 décembre 2016 modifiant les dispositions financières applicables aux établissements et services sociaux et médico-sociaux mentionnés au I de l'article L. 312-1 du code de l'action sociale et des familles.

Arrêté du 22 décembre 2016 modifiant l'arrêté du 9 décembre 2005 pris en application de l'article R. 314-13 du code de l'action sociale et des familles, relatif à la transmission par courrier ou support électronique des propositions budgétaires et des co

Arrêté du 27 décembre 2016 fixant les modèles de documents mentionnés aux articles R. 314-211, R. 314-216, R. 314-217, R. 314-219, R. 314-223, R. 314-224, R. 314-225, R. 314-232, R. 314-233, R. 314-240 et R. 314-242 du code de l'action sociale et des fam.

Arrêté du 27 décembre 2016 fixant les modèles de documents transitoires mentionnés à l'article 9 du décret n° 2016-1815 du 21 décembre 2016 modifiant les dispositions financières applicables aux établissements et services sociaux et médico-sociaux mentio.

Arrêté du 27 décembre 2016 fixant le modèle de compte d’emploi du forfait soins des établissements mentionnés au IV de l’article L. 313-12 du code de l’action sociale et des familles.

Arrêté du 29 décembre 2016 fixant la composition des titres prévus à l'article R. 314-214 du code de l'action sociale et des familles et le niveau de vote des crédits d'investissement des établissements publics sociaux et médico-sociaux.

Décret n° 2018-519 du 27 juin 2018 relatif à la modulation des tarifs des établissements et services sociaux et médico-sociaux en fonction de l'activité et à l'affectation de leurs résultats

Instruction ministérielle n°DGCS/5C/DGCL/DGFIP/170 du 12 juillet 2018 relative à l’état des prévisions de recettes et de dépenses (EPRD) des établissements et services sociaux et médico-sociaux publics gérés en M22 et à la mise à jour du plan comptable M

Traitements de données personnelles nécessaires au pilotage et au suivi de l’activité

Etablissement des statistiques, des études internes et des enquêtes de satisfaction aux fins d’évaluation des activités : Obligation légale (les dispositions de l’article L. 345-2-4 du CASF encadrent la production de données statistiques d’activité, de suivi et de pilotage d’accueil, d’hébergement et d’accompagnement vers l’insertion et le logement pour les services intégrés d’accueil et d’orientation, etc.)

Traitements de données personnelles nécessaires à la gestion de la qualité et des risques.

Gestion des évènements indésirables graves : Respect d’une obligation légale (articles R. 331-8 et suivants du CASF, Circulaire DGCS/SD2A/2014/58 du 20 février 2014)

Gestion de la qualité, des enquêtes et questionnaires : Intérêt légitime de notre organisme à développer et organiser son activité, rendre le service attendu, améliorer la qualité des prestations

Un proche d’un usager (famille, personne de confiance), un donateur, un bénévole

Traitements de données personnelles nécessaires à la gestion de la communication

Gestion de notre communication avec usagers, stagiaires usagers, salarié, un apprenti, un stagiaire d’école, proche d’un usager (Adresser des informations, Solliciter avis, Répondre aux demandes) : Intérêt légitime de notre organisme à développer son activité, accroître pouvoir d’agir, améliorer la qualité de nos prestations.

Gestion communication externe (visiteur site internet, grand public, réseaux sociaux) : Intérêt légitime de notre organisme à développer son activité, améliorer notoriété

Traitements de données personnelles nécessaires à la gestion de la qualité et des risques.

Gestion de la qualité, des enquêtes et questionnaires : Intérêt légitime de notre organisme à développer et organiser son activité, rendre le service attendu, améliorer la qualité des prestations + obligation légale de renseigner certaines enquêtes (Arrêté du 10 avril 2019 relatif à la généralisation du tableau de bord de la performance dans le secteur médico-social

Un candidat RH

Traitements de données personnelles nécessaires à la gestion du recrutement

Recrutement, traitement des candidatures (CV et lettre de motivation) et gestion des entretiens : mesures précontractuelles

Constitution d’une CV-thèque : intérêt légitime

Gestion administrative du personnel : exécution du contrat

Liste noire faux diplômes : obligation légale les établissements et services sociaux et médico-sociaux sont tenus d’une obligation d’assurer la sécurité des personnes accompagnées en vertu de l’article L311-3 du CASF

Un salarié, un apprenti

Gestion des ressources humaines (uniquement pour salariés et apprentis)

Gestion du dossier professionnel des employés : Exécution du contrat

Réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative : intérêt légitime

Gestion des organigrammes : Intérêt légitime

Organisation des réunions des instances représentatives du personnel : Obligation légale

Gestion des dotations individuelles en équipements, véhicules et moyen de paiement : Intérêt légitime

Etablissement des rémunérations, mise à disposition des bulletins de salaire : Exécution du contrat

Déclaration sociale nominative : Obligation légale

Gestion des agendas et projets professionnels : Intérêt légitime

Evaluation professionnelle des personnels, Gestion des compétences professionnelles internes : Intérêt légitime

Certificat de vaccination des salariés : obligation légale (art.12 de la loi 2021-1040 du 5 aout 2021)

Traitements de données personnelles nécessaires à la gestion de la qualité et des risques

Gestion des évènements indésirables graves : Respect d’une obligation légale (articles R. 331-8 et suivants du CASF, Circulaire DGCS/SD2A/2014/58 du 20 février 2014)

Gestion de la qualité, des enquêtes et questionnaires : Intérêt légitime de notre organisme à développer et organiser son activité, rendre le service attendu, améliorer la qualité des prestations + obligation légale de renseigner certaines enquêtes (Arrêté du 10 avril 2019 relatif à la généralisation du tableau de bord de la performance dans le secteur médico-social

Salariés

Gestion des ressources financières des établissements et de l’association (gestion des paies)

Traitements de données personnelles nécessaires à la gestion de la communication

Obligation légale : voir détail ci-dessus

Gestion de notre communication avec salarié, un apprenti, un stagiaire d’école (Adresser des informations, Solliciter avis, Répondre aux demandes) : Intérêt légitime de notre organisme à développer son activité, accroître pouvoir d’agir, améliorer la qualité de nos prestations.

Gestion d’images : consentement de la personne et son accord de cession de droit à l’image,

Un administrateur

Traitements de données personnelles nécessaires à la vie associative

Gestion de l’accompagnement des adhérents : Intérêt légitime de notre organisme à développer et organiser notre activité, rendre le service attendu, améliorer la qualité des prestations

Gestion des activités associatives : contrat

Prospect, clients

Traitement de données personnelles nécessaires à l’activité commerciale et de production à l’ESAT.

Consentement, contrat

 

Quels pourront être les destinataires de vos données ?

 

  • toutes les entités de l'OSL ;
  • aux prestataires de services  et sous-traitants réalisant des prestations pour notre compte et respectant les exigences du RGPD ;
  • aux organismes publics sur leur demande et dans la limite de ce qui est imposé par la réglementation.

Quels sont vos droits ?

1.    le droit d’être informé au moment où nous collectons les données auprès de vous et d’être informé également si des données vous concernant nous sont transmises indirectement ;
2.    le droit d’accéder aux données personnelles vous concernant et d’en obtenir copie si vous le souhaitez ;
3.    le droit de demander la correction des données qui vous paraîtraient erronées
4.    sous certaines conditions le droit d’obtenir l’effacement de tout ou partie des données vous concernant dans la mesure où cette opération ne fait pas obstacle à une obligation légale ou à l’intérêt légitime du Responsable du traitement ;
5.    sous certaines conditions le droit de limitation du traitement c’est-à-dire l’arrêt provisoire ou définitif de celui-ci dans la mesure où cette opération ne fait pas obstacle à une obligation légale ou à l’intérêt légitime du Responsable du traitement ;
6.    sous certaines conditions le droit à la portabilité des données : le fait de vous voir remis, lorsque cela est techniquement possible, les données que vous nous avez confiées ;
7.    le droit de vous opposer à ce que les données vous concernant soient utilisées pour des actions de prospection ;
8.    le droit de ne pas faire l’objet d’une décision fondée sur le seul traitement automatisé de vos données.

Quelles informations devons-nous vous communiquer ?

Sauf lorsque des dispositions légales ou lorsqu’il s’agit d’informations soumises au secret professionnel nous vous donnons au moment de la collecte (lorsque ces données sont collectées directement auprès de vous) ou au plus tard dans un délai d’un mois (lorsque les données sont collectées indirectement) des informations sur le traitement de vos données et sur vos droits.

Lorsque les données sont collectées directement auprès de vous

1.    l’identité et les coordonnées du Responsable du traitement l'OSL
2.    les coordonnées du Délégué à la protection des données (DPD) ;
3.    les finalités du traitement ;
4.    la base légale sur laquelle est fondé le traitement, si le traitement est fondé sur votre consentement nous vous informons que ce consentement peut être retiré ;
5.    les destinataires des données ;
6.    la durée de conservation des données vous concernant ;
7.    vos droits d’accès, de rectification et, le cas échéant d’opposition au traitement, d’effacement des données ou de limitation du traitement ;
8.    le cas échéant l’existence d’un traitement automatisé fondant une décision vous concernant ;
9.    le cas échéant le fait que les données vous concernant pourraient être transférées hors de l’Union Européenne ;
10.    votre droit d’introduire une réclamation auprès de la CNIL ;
11.    le cas échéant les conséquences qu’aurait la non fourniture de données sur votre accompagnement.

Lorsque les données ne sont pas collectées directement

1.    l’identité et les coordonnées du Responsable du traitement OSL ;
2.    les coordonnées du Délégué à la protection des données (DPD) ;
3.    les finalités du traitement ;
4.    les catégories de données à caractère personnel concernées ;
5.    la base légale sur laquelle est fondé le traitement, si le traitement est fondé sur votre consentement nous vous informons que ce consentement peut être retiré ;
6.    les destinataires des données ;
7.    la durée de conservation des données vous concernant ;
8.    vos droits d’accès, de rectification et, le cas échéant d’opposition au traitement, d’effacement des données ou de limitation du traitement ;
9.    le cas échéant l’existence d’un traitement automatisé fondant une décision vous concernant ;
10.    le cas échéant le fait que les données vous concernant pourraient être transférées hors de l’Union Européenne ;
11.    votre droit d’introduire une réclamation auprès de la CNIL ;
12.    la source d’où proviennent les données personnelles vous concernant et si elles sont, ou non, issues de sources accessibles au public.

Dans quels délais pourrez-vous accéder aux données vous concernant ?

Lorsque vous demandez à exercer votre droit d’accès aux données vous concernant nous devons :

  • vous indiquer si cela est possible ou non et, dans ce dernier cas, les motifs qui s’opposent à l’exercice de votre droit d’accès ;
  • vous donner l’accès aux données vous concernant dans un délai d’un mois à compter de la date de votre demande ;
  • ce délai peut être prolongé de deux mois si la demande d’accès est complexe ou si le volume de données concerné est important ; dans ce cas nous vous informons de ce délai supplémentaire et des raisons qui le motivent dans un délai de un mois à compter de votre demande.

Quelle est notre politique de confidentialité ?

Nous traitons les données personnelles vous concernant dans le respect de la confidentialité de celles-ci. Ces dispositions s’appliquent à l’ensemble des intervenants internes ou externes à l'OSL. Par ailleurs un certain nombre de nos personnels sont soumis au secret professionnel.
Quelles mesures de sécurité appliquons-nous sur vos données ?
Nous nous engageons à assurer la sécurité, la confidentialité et l’intégrité de vos données personnelles en notre possession, grâce à des mesures techniques et organisationnelles appropriées.
Comment pourrez-vous vous tenir au courant de l’évolution de cette charte ?
Les questions relatives à la protection des données personnelles sont en évolution constantes. Les évolutions peuvent être réglementaires, techniques, organisationnelles. Cette charte est donc fondée à évoluer. Vous pourrez vous tenir au courant de l’évolution de la politique de l'OSL sur notre site sur ce lien www.osl.net.

Comment nous contacter ?

Pour toutes les questions que vous vous posez sur l’utilisation de vos données personnelles au sein de l'OSL, vous pouvez contacter notre Délégué à la protection des données personnelles :

  • par courrier postal : DPD - OSL - 1 rue Chanoine Villion - 69270 Couzon au Mont d'Or
  • par courrier électronique : dpd@osl.fr