Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Service Délégué à la Protection des Données (DPD)
Règlement Général sur la Protection
des Données
Nouvelles obligations
Qu’est-ce que le RGPD ?
• Règlement européen adopté le 14 avril 2016 et entrant en application le 25 mai 2018.
• Modifie et unifie les lois en matière de protection des données personnelles.
• Apporte un caractère obligatoire au respect de ces nouvelles normes.
• Renforce le pouvoir de sanction de la CNIL.
Introduction
A compter du 25 mai 2018, les collectivités territoriales, comme toutes les autres organisationspubliques et privées de l’Union Européenne, devront respecter le nouveau Règlement européenrelatif à la protection des personnes physiques à l'égard du traitement des données à caractèrepersonnel et à la libre circulation de ces données, dit RGPD.
Ce texte renforce les droits des personnes sur leurs données personnelles ainsi que la sécurité desdonnées et prévoit des sanctions importantes en cas de manquement aux nouvelles obligations.
Respecter les règles de protection des données à caractère personnel est un facteur detransparence et de confiance à l’égard des administrés. C’est aussi un gage de sécurité juridique pourles élus, responsables des traitements.
Service Délégué à la Protection des Données (DPD)
Sommaire
• Champ d’application du RGPD et ses définitions
• Les objectifs du RGPD
• Les règles d’or de la protection des données
• Les responsabilités des acteurs
• Le délégué à la protection des données
• Comment se mettre en conformité ?
• L’accompagnement par le CDG
• Vos questions
Service Délégué à la Protection des Données (DPD)
Il s’applique :• à toutes les collectivités et établissements publics, sans exception
• à tous les traitements de données à caractère personnel, qu’ils soientautomatisés (logiciels métiers, SI…) ou non (listing, dossiers…),
• aux responsables de traitement : celui qui détermine les finalités et les moyensde traitement. Dans les collectivités territoriales, il s’agit de l’exécutif, Maire ouPrésident, sur lequel pèse la responsabilité du respect de la conformité,
• aux sous-traitants : qui traitent les données pour le compte, sous la direction etla responsabilité du responsable de traitement.
Service Délégué à la Protection des Données (DPD)
1. Champ d’application du RGPD
Quelques définitions :• Donnée à caractère personnel : c’est toute information se rapportant à unepersonne physique identifiée ou identifiable directement (nom, prénom…) ouindirectement (numéro de téléphone, numéro de sécurité sociale, numéro deparcelle immobilière, …)
• Les données sensibles : données portant sur l’origine ethnique, les opinionspolitiques, les convictions religieuses, les données biométriques ainsi que cellesconcernant la santé. Le traitement de ce type d’information est particulièrementencadré dans le RGPD.
• Traitement de données à caractère personnel : toute opération (collecte,conservation, modification, communication) portant sur lesdites données et cequel que soit le procédé utilisé.
• Fichier de données à caractère personnel : tout ensemble structuré et stabledes données collectées (Ex. les bases de données, registre de salariés, C-V, …)
Service Délégué à la Protection des Données (DPD)
Service Délégué à la Protection des Données (DPD)
• Un meilleur contrôle des données :- Un renforcement et une extension des droits des personnes physiques sur la gestion de leurs données personnelles- Une responsabilisation totale des différents acteurs publics et privés autour des traitements des données à caractères personnels
• Un cadre juridique unifié :- Un renforcement des pouvoirs des autorités de contrôle européennes (CNIL en France) et une collaboration accrue entre elles- Une harmonisation des politiques et des pratiques de traitement des données personnelles au sein de l’Union Européenne
• Un renversement de la charge de la preuve :- Le responsable du traitement devra prouver qu’il respecte les exigences du Règlement
• Un régime de sanctions aggravé :- Plus d’obligations et de risques de sanctions
L’objectif de ce règlement est d’encadrer et de mettre en conformité des processus de collecte, deconservation et de communication des données personnelles afin de renforcer au mieux les droitsdes personnes et de protéger les citoyens dans l’ère du tout numérique.
2. Objectifs du RGPD
Service Délégué à la Protection des Données (DPD)
3. Les règles d’or de la protection des données
Pour être conforme, un traitement doit respecter 6 principes. Ce sont les fondements de la mise en place de ce règlement.
Exemples de respect de ces grands principes
Service Délégué à la Protection des Données (DPD)
• Sur quelle base juridique je collecte des données à caractère personnel ?
• Pourquoi cette collecte ? Quelle finalité ?
• Les données collectées sont-elles proportionnées par rapport à l’utilisation finale ?
• De quelles données ai-je réellement besoin ?
• Une durée de conservation des données collectées a-t-elle été arrêtée ?
• Comment et quand les données sont-elles rafraichies ?
• Une politique de sécurité et de confidentialité des données a –t-elle été définie ?
• Qui a le droit d’accéder aux données ?
• Une procédure de notification en cas de perte de données a-t-elle été définie ?
• S’agit-il de données sensibles ? Dans l’affirmative des précautions particulières sont-elles prises ?
• Les personnes dont on collecte les données sont-elles informées ? Ont-elles donné leur consentement ?
• De quelle manière le consentement sera recueilli ?
• Comment les personnes peuvent accéder à leur données, les modifier, demander leur suppression ?
Service Délégué à la Protection des Données (DPD)
Mise en œuvre d’un traitement : les questions à se poser
Les formalités préalables auprès de la CNIL, obligatoires auparavant, ne ferontplus l’objet d’une déclaration car les traitements, leurs finalités, les mesures desécurité mises en place et le sort définitif des données seront consignés dans leregistre des traitement qui vaudra déclaration et dont la tenue devientobligatoire avec la mise en place du RGPD.
Service Délégué à la Protection des Données (DPD)
Que doit-on déclarer ?
Depuis l’entrée en vigueur du RGPD, chaque traitement, automatisé ou non,doit donc être recensé, puis faire l’objet d’une inscription détaillée dans leregistre des traitements. L’obligation de documentation prend toute sa placeainsi que les mentions d’informations afin de garantir une transparence dans lacollecte et l’utilisation dans le temps des données.
Le responsable du traitement :
La personne, l’autorité publique, le service ou l’organisme qui détermine la finalité et les moyens du traitement mis en œuvre.
En pratique, c’est la personne morale incarnée par son représentant légal : il s’agit pour les collectivités territoriales du maire ouprésident,
Il est responsable de l’ensemble des obligations mises à sa charge par le règlement et des dommages causés en cas de perte, vol,divulgation de données…
Le sous-traitant :
Toute personne traitant des données à caractère personnel pour le compte, sous la direction et la responsabilité du responsabledu traitement.
Le RGPD définit un cadre contractuel régissant les relations du RT/ST et élargit le champ de ses obligations :
• Obligation de s’en tenir aux instructions du RT et de prendre toutes les mesures de sécurité requises
• Soutien du RT dans le respect de ses diverses obligations et devoir d’alerte
• Obligation de désigner un DPD dans certains cas et de tenir un registre des catégories de traitement effectués pour le compte du RT
Service Délégué à la Protection des Données (DPD)
4. Les responsabilités des acteurs
Les acteurs : le responsable du traitement (RT) et le sous-traitant (ST)
Les pouvoirs reconnus à la CNIL :
L’autorité de contrôle a pour mission de contrôler l’application du RGPD et de veiller au respect de celui-ci.
Elle peut effectuer des enquêtes sur sa propre initiative ou suite à une réclamation d’une personne concernée.
Elle a le pouvoir d’adopter des mesures correctrices : avertissement, rappel à l’ordre, mise en conformité dans un délai déterminé…
Elle peut prononcer des amendes administratives jusqu’à 20 millions d’Euros
Elle peut saisir les autorités judiciaires en vue de faire appliquer les dispositions du règlement.
Le recours juridictionnel :
Les personnes concernées ont le droit à un recours juridictionnel si elles considèrent que les droits que leur confèrent le règlement ont été violées par le RT ou le ST, en vue d’obtenir la cessation du dommage et la réparation du préjudice moral et/ou matériel subi.
Service Délégué à la Protection des Données (DPD)
Sanctions et voies de recours
Ses missions sont prévues à l’article 39 du Règlement :
Service Délégué à la Protection des Données (DPD)
5. Le délégué à la protection des données
Le nouveau cadre réglementaire sur la protection des données à caractère personnel (RGPD) impose, à compterdu 25 mai 2018, à toutes les collectivités territoriales et établissements publics de désigner un Délégué à laProtection des Données (DPD) en remplacement du Correspondant Informatique et Libertés (CIL).
• Diffuser la culture Informatique et Libertés ; • Cartographier les traitements et leur bonne gestion grâce à la réalisation
d’audit auprès des RT ; • Instaurer des bonnes pratiques en s’assurant de la mise en conformité des
processus en place ; • Mettre en place des procédures de sécurité (comme la conduite à avoir en
cas de faille de sécurité et de perte de données dont la CNIL doit être informée dans les 72heures) ;
• Est l’interlocuteur de la CNIL ; • Sensibiliser les agents, la direction, les élus ; • Tenir le registre de traitement et dresser un bilan annuel de ses activités ; • Réaliser les études d’impacts.
Aucun diplôme spécifique n’est exigé par le RGPD mais sont fortement recommandées :
• Des connaissances en technologies de l’information (pour pouvoir interagir avec lesinformaticiens et garder un esprit critique),
• des connaissances spécialisées du droit (ou une forte appétence pour ces sujets) et despratiques en matière de protection des données,
• des qualités personnelles de communication et de gestion de projet.
Il se doit de maintenir ses compétences et connaissances dans ses domaines respectifs et des’efforcer de les améliorer et de les enrichir constamment par la veille juridique et technologique.
La fonction du DPD va au-delà de la gestion de la donnée à caractère personnel, parfois difficile àdéfinir, voire à identifier. C’est une fonction transversale qui suppose d’interagir avec l’ensemble des« métiers » de la collectivité.
L’organisation de la collectivité devra être adaptée à cette nouvelle fonction. Sa légitimité et sonrattachement hiérarchique sont des questions stratégiques dans la mesure où il doit êtreindépendant, en dehors de tout conflit d’intérêts et respectueux du secret professionnel et de laconfidentialité.
Service Délégué à la Protection des Données (DPD)
Le profil du DPD
La gestion en interne par la collectivité
Externaliser un DPD : avocat, prestataire
Mutualiser un DPD : a l’échelle de l’EPCI, a l’échelle d’un département (CDG), ...
Mutualiser pour éviter le conflit d’intérêt : DGS, DSI… ≠ DPD
Mutualiser pour disposer :
• des ressources nécessaires
• d’un DPD formé et habitué aux problématiques de protection des données
• d’un DPD indépendant
Service Délégué à la Protection des Données (DPD)
Les possibilités de désignation d’un DPD :
Service Délégué à la Protection des Données (DPD)
6. Comment se mettre en conformité ?
La loi n° 84-53 du 26 janvier 1984 modifié par la loi 2016-483 du 20 avril 2016 confie aux centres de gestion lapossibilité de réaliser toute tâche administrative et des missions de numérisation, de conseils juridiques, à lademande des collectivités et établissements.
L’article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entrant enapplication le 25 mai 2018 prévoit que le délégué à la protection des données peut être exercé sur la base d'uncontrat de service ;
Le CDG 48 vous propose un accompagnement dans vos démarches de mise en conformité sur labase d’une convention d’adhésion au Service Mutualisé du Délégué à la Protection des Données.
Service Délégué à la Protection des Données (DPD)
7. L’accompagnement par le CDG
Durées TarifsMission initiale
TarifsMise à jour registre annuelle
De 1 à 500 habitants 2 jours 350 €/J soit 700 € ½ journée – 175 €De 501 à 1 000 habitantsDe 1 001 à 2 000 habitants 3 à 4 jours 350€/J soit
1050 € à 1400 €½ journée – 175 €
ou 1 journée – 350€De 2 001 à 5 000 habitantsDe 5 001 à 10 000 habitants Au moins
5 jours 350€/J soit 1 750 € 1 journée – 350€Au-delà de 10 000 habitants
Les tarifs pour les collectivités
L’offre du CDG 48
Service Délégué à la Protection des Données (DPD)
Procédure d’adhésion au service DPD mutualisé du CDG 48 :
https://www.cdg48.fr/emploi-concours/rgpd-et-delegue-a-la-protection-des-donnees/
Règlement européen du 27 avril 2016 :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Règlement européen : se préparer en 6 étapes
https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf
En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ?
https://www.cnil.fr/fr/RGPD-quel-impact-pour-les-collectivites-territoriales
Devenir délègue a la protection des données :
https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
Documenter la conformité :
https://www.cnil.fr/fr/documenter-la-conformite
Modèle de registre règlement européen :
https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
Service Délégué à la Protection des Données (DPD)
Documentations
Vos questions
Service Délégué à la Protection des Données (DPD)
Contacts :
David JAFFUEL : [email protected]
Didier MONTEILHET : [email protected]
Merci pour votre attention
Service Délégué à la Protection des Données (DPD)