La gouvernance et la protection des données
La protection des données est le rôle de chacun
La protection des données est le rôle de chacun
Le Règlement Général sur la Protection des Données (RGPD) est une réglementation entrée en application le 25 mai 2018 qui encadre les traitements des données à caractère personnel. Les données à caractères personnelles sont toutes informations se rapportant à une personne physique (nom, prénom, numéro de téléphone, adresse mail…). Cette réglementation impose de nouvelles obligations notamment aux organismes publics concernant la protection des données qu’ils traitent dans le cadre de leurs missions. Pour ce faire tout organisme public est obligé de nommer un délégué à la protection des données qui vous accompagnera dans la réalisation de vos obligations.
Vous devez sensibiliser de manière régulière l’ensemble de vos collaborateurs (agents ou élus) à la protection des données personnes.
Le RGPD vous oblige à documenter l’ensemble de vos traitements de données personnelles via divers documents tel que le registre de traitement ou des AIPD.
Pour toute collecte de données, les personnes doivent être informées via des mentions d’information. De plus vous devez garantir l’exercice de leurs droits d’accès, de rectification, d’opposition, d’effacement des données et de portabilité ou limitation du traitement.
Le RGPD vous impose de mettre en place un niveau de sécurité adéquat à la sensibilité des données traitées. Il faut analyser à la fois votre sécurité physique, organisationnelle et informatique.
Le service Gouvernance et Protection des données se compose d’une équipe de délégués à la protection des données. Chaque délégué accompagne plusieurs collectivités dans sa mise en conformité au RGPD. Cet accompagnement comprend plusieurs étapes qui s’articulent autour de 3 axes principaux :
Durant toute la durée de la convention, le délégué à la protection des données se tient à la disposition de la collectivité pour l’accompagner quotidiennement pour répondre à ses questions, mais aussi lors du déploiement de nouveaux traitements de données personnelles (nouveau formulaire, logiciel) et en cas de demande de la part de la CNIL ou des administrés. En cas d’absence du délégué attitré à la collectivité, un autre délégué du service se tient à la disposition de la collectivité pour traiter la demande.
Après avoir désigné le délégué à la protection des données auprès de la CNIL, la première étape de la mise en conformité d’une collectivité consiste à établir une cartographie des données personnelles que l’on retrouve dans chaque service.
Une fois l’ensemble des responsables de service sensibilisé au RGPD, le délégué rencontre l’intégralité des services afin de recenser les données personnelles et constituer le registre d’activité de traitement. Ce document permet de suivre l’activité de la collectivité par le prisme du RGPD et peut être exigé en cas de contrôle de la CNIL. Une fois le registre réalisé, le délégué présente à la collectivité un plan de conformité avec les recommandations RGPD des services et fournit les mentions d’information à intégrer sur les formulaires de la collectivité et sur le site internet.
Une fois le plan de conformité RGPD mis en place, le délégué rencontre une nouvelle fois les services afin de présenter les recommandations. La mise en place des recommandations est suivie via un tableau de mise en conformité. Il permet de suivre la maturité RGPD du service au fil des années.
En complément de ce plan de conformité, le délégué a pour mission d’accompagner la collectivité dans la constitution de certains documents obligatoires :
Des analyses d’impact relatives à la protection des données pour certains traitements (ex : vidéoprotection, dossier d’aides sociales, réussite éducative...).
L’encadrement des prestataires en intégrant dans les contrats/marchés des clauses de sous-traitance. Cet aspect intervient en collaboration avec les services commande publique des collectivités.
La mise en conformité ne concerne pas seulement la constitution d’un ensemble de documentation juridique. La principale mission du délégué à la protection des données est de développer une culture RGPD dans la collectivité afin de mettre la protection des données personnelles au cœur des projets des services. Le service Gouvernance et Protection des données propose des sessions de sensibilisation RGPD aux agents.
Le service Gouvernance et Protection des données tient une veille juridique afin de suivre les évolutions réglementaires. Ces informations sont ensuite proposées aux collectivités sous la forme d’une newsletter mensuelle : Café RGPD !
Consulter les bonnes pratiques sur la protection des données.
Le RGPD s’applique :
La première chose à faire est de nommer un délégué à la protection des données (DPD) car c’est lui qui guidera l’organisme dans sa mise en conformité au RGPD, et l’aidera à :
3 types de structures ont l’obligation de désigner un délégué à la protection des données :
Les autres structures sont encouragées par la CNIL à désigner un DPD.
Trois critères cumulatifs sont nécessaires pour être délégué à la protection des données :
La désignation se fait en ligne, directement sur la plateforme dédiée de la CNIL.
La perte, la destruction, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles, que ces actions soient accidentelles ou malveillantes, constituent des violations de données.
Dans la mesure où ces actions peuvent engendrer un risque pour la vie privée des personnes dont les données sont concernées, chaque violation doit être notifiée à la CNIL via la plateforme dédiée dans un délai maximal de 72h.
Si la violation engendre un risque élevé pour la vie privée des personnes, il faudra également la notifier aux personnes concernées.
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité chargée de veiller à la protection des données personnelles.
Elle fait également œuvre de pédagogie pour aider les organismes à comprendre et respecter le RGPD. Elle met notamment à disposition sur son site internet beaucoup de documentations et d’informations relatives à la protection des données.
La CNIL a créé un atelier très complet pour sensibiliser les personnes aux différentes obligations imposées par le RGPD et pour en apprendre davantage sur le RGPD dans les collectivités territoriales, nous vous invitons à vous inscrire à la Newsletter du CIG sur laquelle, chaque mois, nous passons à la loupe plusieurs activités exercées au sein des communes et des syndicats.