Dossiers Juridiques
Vie administrative et sociale - CNIL
Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018, soit il y a plus de 2 ans.
Toutes les collectivités, quelle que soit leur taille, sont obligatoirement soumises à ce règlement et doivent veiller, très concrètement, à sa bonne application dans l’exécution de leurs missions.
En effet, la démultiplication du nombre de démarches administratives qu’il est possible d’accomplir (état civil, listes électorales, cadastre, inscription scolaire, etc.) au niveau local conduit à la mise en œuvre d’un très grand nombre de traitements de données.
Pour autant, nombreuses sont celles qui n’ont pas encore initié la moindre action dans le cadre de leur mise en conformité au RGPD.
En premier lieu, le maire doit désigner un délégué à la protection des données (DPD ou DPO).
Ce DPO aura pour mission d’informer, de conseiller et d’accompagner la collectivité dans sa démarche de mise en conformité. Ce DPO peut être un agent de la collectivité, un prestataire externe, ou encore le fruit d’une mutualisation.
S’il est choisi en interne, le DPO ne doit pas appartenir à l’exécutif de la collectivité : maire, adjoints et conseillers municipaux délégués ne peuvent ainsi exercer les missions de DPO.
Le maire, les adjoints et les conseillers municipaux ne peuvent, pour leur propre commune, exercer les missions de DPO.
Le maire se doit de tenir un registre de traitement.
Ce registre doit contenir les coordonnées du responsable de traitement, les finalités des traitements, les personnes concernées, les destinataires des données personnelles, les éventuels transferts de données ou encore une description des mesures de sécurité.
La collectivité doit s’assurer du respect par ses sous-traitants des obligations nées du RGPD.
Cet encadrement passe par un recensement des différents sous-traitants accédant aux données de la collectivité ainsi que par une consolidation des garanties contractuelles proposées par lesdits prestataires.
Le maire doit prendre les mesures nécessaires pour garantir la sécurité des données qu’il a collectées et éviter leur divulgation à des tiers non autorisés.
Cette sécurisation nécessite notamment de :
- sensibiliser les agents ;
- utiliser un mot de passe complexe ;
- limiter les accès aux seules données dont un utilisateur a besoin ;
- sécuriser les postes de travail et les serveurs ;
- fermer à clé les bureaux, salles d’archives et la salle serveur ;
- protéger le réseau informatique interne.
La collectivité doit organiser des modalités permettant aux administrés d’exercer leurs droits. Elle doit répondre dans les meilleurs délais à leurs demandes de droits d’accès, de rectification ou de suppression de leurs données, voire d’opposition, sauf si le traitement répond à une obligation légale.
Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.
Nous œuvrons concrètement dans le mise en conformité RGPD des collectivités puisque nous intervenons en qualité de conseil RGPD (mission de suppléance et mission d’assistance) auprès du DPO de Clermont Auvergne Métropole, laquelle métropole regroupe pas moins de 290 000 habitants, dont 35 000 étudiants, et emploie plus de 1 600 agents.
Dans le cadre de notre mission, nous intervenons régulièrement auprès des collectivités suivantes :
• Clermont-Ferrand (63000) : 141 398 habitants ;
• Aubière (63170) : 10 012 habitants ;
• Chamalières (63400) : 17 561 habitants ;
• Le Cendre (63670) : 5 233 habitants ;
• Aulnat (63510) : 4 007 habitants ;
• Orcines (63870) : 3 388 habitants ;
• Pérignat-lès-Sarliève (63170) : 2 614 habitants ;
• Pont-du-Château (63430) : 11 441 habitants ;
• Romagnat (63540) : 7 755 habitants ;
• Saint-Gènes-Champanelle (63345) : 3 612 habitants.
Nous intervenons également auprès des CCAS (Centre Communal d’Action Sociale) de chacune de ces 10 collectivités. Certains de ces CCAS gèrent des EHPAD qui collectent des données sensibles nécessitant une attention toute particulière et une sécurité renforcée. D’autres CCAS gèrent également des établissements d’accueil du jeune enfant (EAJE).
Le niveau de conformité diffère entre chacune de ces structures.
Ainsi, au sein de chacune d’elles, nous sommes amenés à :
• sensibiliser l’ensemble des acteurs concernés à travers des réunions d’information ;
• réaliser un état des lieux des pratiques mises en place au sein de chaque structure concernée (Mairie, CCAS, Ehpad ou bien encore Pôle petite enfance) ;
• identifier et gérer les risques (recenser les mesures protectrices et/ou correctives mises en place pour chaque traitement et évaluer la gravité des risques) ;
• assurer le droit des personnes ;
• établir et enrichir la documentation de chacune des communes membres (registres de traitement ; règlements intérieurs, chartes, contrats et autres politiques) ;
• analyser la conformité des contrats conclus avec des sous-traitants ;
• établir des bilans de conformité ;
• répondre aux demandes des agents et administrés ;
• conseiller les structures sur les mesures à mettre en place pour sécuriser les données personnelles (mesures techniques notamment).
Parallèlement, nous intervenons en qualité de DPO externalisé auprès de la société Clermont Auvergne Tourisme qui recueille et traite un nombre considérable de données personnelles.
En effet, Clermont Auvergne Tourisme accueille plus de 150 000 visiteurs par an et enregistre chaque année plus de 1,4 million de nuitées sur l’ensemble de son territoire. En 2019, l’office de tourisme collectait plus de 1,5 million d’euros de taxe de séjour.
En notre qualité de DPO externalisé, nous impulsons et guidons les démarches de mises en conformité de l’office de tourisme.
Après avoir sensibilisé l’ensemble des acteurs au cours de plusieurs journées d’information, nous accompagnons quotidiennement le référent RGPD dans chacune des démarches de conformité (cartographie exhaustive des traitements, rédaction d’une procédure, conception d’un support de sensibilisation, etc.).
Dans le cadre de nos actions, nous avons livré à Clermont Auvergne Tourisme une première version du registre des activités de traitement qu’elle peut exploiter et modifier au regard de l’évolution des activités de la société.
En outre, l’ensemble de la documentation RGPD a été reprise de manière à assurer l’effectivité de l’exercice des droits des personnes (politique de confidentialité / règlements / formulaires de collecte etc.).
Par suite, nous suivrons chaque année la conformité de la structure.
Ces expériences nous permettent d’assister toutes tailles de collectivités publiques en intervenant :
• en soutien au Délégué à la Protection des Données
• en tant que Délégué à la Protection des Données externe.
Quels que soit la taille de votre collectivité ou son degré d’avancement dans la gestion de sa politique de sécurité des données, nous vous proposons une solution RGPD sur mesure.
La compréhension du règlement étant le préalable à sa bonne application, nous avons écrit et édité un livret pratique RGPD qui contient l’essentiel de ce qu’il faut savoir sur la mise en œuvre du RGPD au sein des collectivités territoriales.
L’ensemble du personnel de la collectivité doit être associé à la démarche de conformité RGPD de manière à pérenniser les dispositifs mis en place.
Ce livret vous permettra d’appréhender au mieux vos nouvelles obligations en matière de traitement des données personnelles.
Il est présenté sous forme de 6 focus :
1. Philosophie du RGPD
2. Définitions utiles
3. Mesures à mettre en place
4. Rôle du délégué à la protection des données (DPO)
5. Droits garantis par le RGPD
6. Gestion du consentement
Par ailleurs, nous proposons des formations RGPD ayant pour but de sensibiliser l’ensemble des acteurs de la collectivité aux notions fondamentales du RGPD.
Durant ces formations, nous présentons les enjeux du RGPD via la diffusion d’un Powerpoint.
Ces sessions de sensibilisation sont organisées à la demande.
À travers cette offre de DPO externalisé, la collectivité confie la qualité de DPO à notre société, étant précisé que le DPO externalisé remplit les mêmes missions qu’un DPO interne.
Après la réalisation d’un premier audit, nos experts feront une synthèse des directions à prendre.
En plus de la documentation pratique, notre mettrons à votre disposition les outils et les moyens nécessaires à la mise en conformité de votre organisme (écarts de conformité constatés et méthodologie de réduction des écarts, préconisation de sécurité, avenants pour les prestataires, procédures, etc.).
En outre, nous nous chargerons d’établir et d’actualiser le registre de traitement.
Cette solution de DPO externalisé offre à votre collectivité plusieurs avantages : la neutralité, le gain de temps et d’argent (absence de coût de recrutement). En effet, la collectivité n’aura pas besoin de recruter un DPO ou de le former. Nos experts sauront vous préconiser les actions urgentes à mettre en œuvre. Ils pourront fournir à la CNIL ou à tout autre organisme de contrôle la liste des actions en cours et leur état d’avancement afin de prouver que la collectivité est bien en cours de conformité.
Notre équipe accompagnera le DPO désigné en interne dans son travail de mise en conformité de la collectivité au RGPD.
Avec cette formule, la collectivité s’assure de mettre en place les bonnes pratiques concernant le traitement des données à caractère personnel.
De plus, nous livrons l’ensemble de la documentation nécessaire à la mise en conformité RGPD, à savoir notamment un registre des traitements, la politique de confidentialité ainsi que des affiches de droit à l’information qui devront par la suite être affichées au sein de la mairie.
Cette formule vous assurera un accompagnement pas à pas dans votre démarche de mise en conformité au RGPD.
Avec cette offre de support, votre DPO pourra solliciter nos experts pour toute question juridique liée à la l’application du RGPD (sujets organisationnels ; mise en place de nouveaux projets internes ; etc.).
Notre équipe, constituée d’experts RGPD et d’avocats, lui apportera des réponses claires et opérationnelles, et ce dans un temps limité.
Nous pouvons également réaliser des analyses d’impact à la demande.
Contactez-nous