collectivité territoriale et RGPD

Etre conforme RGPD

Date de mise à jour : 05/08/2024

collectivité territoriale et RGPD, c’est maintenant

La collectivité territoriale et RGPD : L’aspect règlementaire

Le Règlement Général sur la Protection des Données n°2016-679 a été publié au JO UE le 4 juin 2016 et il est applicable depuis 2018.

Le règlement impose la mise en place de procédures pour l’obtention de résultats (transparence, traçabilité) avec des contrôles de la CNIL.

La collectivité territoriale et RGPD : les objectifs

  • Sécuriser les données personnelles :
      • Homogénéiser et harmoniser les règles sur l’ensemble du territoire européen. (une règlement unique pour tous)
      • Instaurer un climat de confiance entre le collecteur et le collecté (consentement express pour être assuré du respect de la vie privée)
      • Renforcer ce droit des personnes et les rassurer avec le droit à la portabilité, le droit à réparation, l’effacement….
      • Améliorer l’efficacité : obligation d’exactitude des données nécessitant l’identification des données strictement nécessaires, la mise à jour permanente et le respect de la durée de conservation.
  • Sécuriser les données : protection du patrimoine d’informations ET des données des personnes pour minimiser le risque de fuite (fiabilisation du système).
  • Crédibiliser la régulation par des sanctions encadrées, graduées et renforcées (jusqu’à 20M€) et une collaboration entre les autorités de protection des données.

Qu’est-ce qu’une donnée à caractère personnel ?

Il s’agit de toute information se rapportant à une personne physique. Une attention particulière doit être portée sur les données dites « sensibles » dans lesquelles l’on trouve, entre autre, l’origine raciale ou ethnique, l’appartenance syndicale, l’opinion politique, des données de santé, orientation sexuelle

Qu’est-ce qu’un traitement ?

Il s’agit de toutes opérations appliquées à des données à caractère personnel. Le champ est vaste, il peut s’agir de collecte, enregistrement, conservation, extraction, consultation, transmission, effacement, …

La collectivité territoriale et RGPD : les obligations

Vis à vis de la vie privée de la personne

Pour être licite, le traitement doit recevoir :

  • Le consentement préalable et actif de la personne, de traiter ses données ou rentrer dans le cadre suivant c’est à dire la majorité des actions d’une collectivité territoriale :
    • d’une obligation légale incombant au responsable de traitement (Ex : Etat Civil)*
      mission de service public (Ex : Action Sociale)*
    • de la sauvegarde de la vie de la personne
    • d’un contrat dont la personne est partie prenante
    • de la réalisation de l’intérêt légitime du responsable de traitement
  • Informer la personne sur la finalité du traitement de ses données et de ses droits (voir infra).
    • Cela suppose qu’une fois informé, tout changement devra requérir une nouvelle information et consentement de la personne dont les données à caractère personnel sont utilisées. Ex : Un élu ne peut utiliser un fichier inscription scolaire pour sa communication politique. Néanmoins il pourra utiliser la liste électorale

Vis-à-vis de la conformité au Règlement :

Pouvoir justifier les moyens mis en œuvre pour être conforme (Accountability).
• Informer les « collectés » de leurs droits (gestion et perte de données)
• Instaurer des campagnes d’exactitude de données (MAJ).
• Conservation des données dans la limite de leur finalité ou obligation légale (ref : Bonnes pratiques, Archives, …)

Sécurisation des systèmes d’information

Elle suppose la mise en place de moyens pour s’assurer que :
1°) seules les personnes habilitées auront accès aux données personnelles.
2°) les outils des agents sont protégés contre les « malwares », programmes malveillants qui peuvent absorber des données.
Ceci s’applique également aux données sensibles stockées sur papier dont la garantie de confidentialité doit être mise en œuvre (clés, barreaux …).

Suivi

Rester en veille sur la donnée qui doit, dans le temps, rester confidentielle, fiable et disponible ou effacée.

La collectivité territoriale et RGPD : les droits

Vis à vis de la vie privée de la personne et ils doivent être communiqués au « collecté » pour qu’il puisse les exercer.

Le droit d’accès

Il permet à tout usager de pouvoir connaître et accéder aux données que détient un responsable de traitement.

Le droit d’accès suppose une plateforme d’accès où sont recensés :
– Le responsable de traitement et ses coordonnées
– Le cadre juridique. Les finalités du traitement
– La destination des données (profilage ou traitement ultérieur)
– Le(s) destinataire(s) des données et si elles ont vocation à être envoyées à l’Etranger.
– La durée de leur conservation

Le droit à rectification

Toute demande de l’utilisateur pour modification de ses données doit être satisfaite dans un délai de 1 mois. Au plus, 3 mois si complexité avec plusieurs tiers. Au-delà d’1 mois, l’utilisateur
devra être informé des motifs du dépassement de ce délai.

Les cas où la personne ne peut disposer de ces informations à sa demande :
– La personne dispose déjà de ces informations
– Le traitement de recherche est trop conséquent (recherche archives, statistique…)
– Si contradiction avec le droit national ou atteinte aux intérêts légitime
– S’il y a obligation de secret professionnel (secret médical)

Le droit à l’effacement

Bien qu’existante dans Le RGPD, cette notion ne devrait être que très peu usitée dans les collectivités. Il s’applique pour les données qui ne sont plus nécessaires à la finalité du traitement, l’opposition du « collecté » au traitement, le retrait de consentement, un traitement reconnu illicite ou dans le cadre de la protection des mineurs.

Le droit à la portabilité des données

Il permet à la personne de récupérer ses données pour les réintégrer, le cas échéant, dans d’autres services.
Ex : Cas de France Connect

Le droit à la limitation des traitements

La limitation des traitements est le fait de suspendre l’utilisation des données lorsqu’elles sont inexactes ou que le traitement présente un caractère illicite.
Les données restent stockées mais ne sont pas utilisables jusqu’à nouveau consentement du « collecté ».
Cela suppose un marquage électronique pour suivi

Le droit d’opposition

Il permet au « collecté » de s’opposer au traitement de ses données personnelles.
Pour répondre à ce droit, la collectivité devra prouver, le cas échéant, le bien fondé de l’utilisation de ces données.

RGPD

 

La collectivité territoriale et RGPD : que faire pour être en conformité ?

A l’échelle territoriale, tous les services sont concernés : état civil, élection, urbanisme, action sociale, ressources humaines…

La collectivité territoriale et RGPD : désigner le DPD (Délégué à la Protection des Données)

Rappel : Il a pour mission de connaître tous les traitements de données à caractère personnel, de préparer les outils de gestion,
d’informer, de répondre aux plaintes…

Possibilité de déléguer, mutualiser, externaliser cette mission.

Dans ce cas, nommer un RPD (Référent/Relai à la Protection des Données) au sein de la collectivité permettra de faire le lien avec le DPD.

La collectivité territoriale et RGPD : la cartographie des traitements

– Inventorier les données par la mise en place d’une procédure de recensement des traitements (quoi, où, pourquoi, qui, jusqu’à quand, comment ?)
– Adopter des mesures permettant à chaque agent de sécuriser ses accès informatiques (Sensibilisation/formation, charte informatique …).
– Etablir une charte pour la protection des données personnelles.

La collectivité territoriale et RGPD : l’identification des actions à mener

Il s’agit d’identifier les actions à mener pour se conformer aux obligations du RGPD et les prioriser au regard des risques encourus pour l’établissement et les personnes concernées.

– Nécessité d’obtention de consentement ou non

 

Gérer les risques, anticiper et gérer la crise en cas de violation des données.

– Réaliser des études d’impact sur la vie privée (EIVP) en cas de données « sensibles ». Celle-ci peut être appelée PIA en terme Anglosaxon.

Organiser pour mettre en place des actions concrètes pour la maitrise du cycle de vie des données

anticiper les situations de crise.

Mettre en place un vrai système de suivi permettant de dégager sa responsabilité.

Tenir à jour les documents permettant de prouver la conformité au règlement européen (suivi).

Que doit faire la collectivité pour être en conformité

Accompagner la transformation forte des collectivités territoriales est un de nos objectifs depuis plusieurs années. Nous accompagnons la collectivité territoriale à mettre en adéquation une gestion des ressources humaines efficace :

Capital social de 10.000 €
RCS Bordeaux 794403501
Tél 05 56 30 85 96
E-mail : direction@winch.expert

Facebook Linkedin Instagram Youtube

Plan du site :

La Société
Nos missions
EasExpert RH
Nos solutions

Mon compte
Le Blog
Contactez-nous
Offres d’emploi

Mentions légales

Liens :

Cabinet Conseil RH
Cabinet Conseil RH La Rochelle
Cabinet Conseil RH Bordeaux

Cabinet conseil RH expert-comptable 
Cabinet conseil RH expert-comptable Bordeaux
Cabinet conseil RH expert-comptable La Rochelle