• Taille du texte: Augmenter +6%
  • Taille du texte: Diminuer -6%

Current Size: 100%

Groupement de commandes pour la désignation d’un Délégué à la Protection des Données

Le RGPD (Règlement général Européen sur la Protection des Données) est applicable depuis le 25 mai dans tous les pays de l’Union Européenne. Cette réforme globale ayant pour objectif de permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Les collectivités ne sont pas exemptées d’obligations.

Le RGPD

Le texte de référence est le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne. Une innovation : c’est le premier texte européen dont l’application est extraterritoriale, c’est-à-dire qu’il s’applique à toute organisation qui traite des données de citoyens européens, quel que soit le pays où elle est basée. Les organisations doivent effectuer un recensement le plus complet possible de tous les traitements de données dont elles sont responsables. Les traitements informatiques ne sont pas les seuls concernés. Dès qu’il y a classement de documents, ces derniers relèvent de la protection des données. La mise à jour d’un stock de fiches cartonnées ou bien encore d’une bibliothèque constituent des traitements, de même que la diffusion de données. Tout ce qui peut permettre d’identifier un individu est considéré en tant que donnée personnelle, que cela concerne sa vie privée, publique ou professionnelle. Cela peut être un nom, l’adresse du domicile, une adresse courriel, une photographie, des données bancaires, biométriques, génétiques, une information médicale, des publications sur les réseaux sociaux ou bien encore l’adresse IP d’un ordinateur.

Ce qui change pour les collectivités

Nous le savons, les collectivités traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou la gestion des différents services publics et activités dont elles ont la charge. Certains de ces traitements présentent d’ailleurs une sensibilité particulière, comme les fichiers d’aide sociale par exemple. Au sein d’une mairie par exemple, il peut s’agir des données relatives à l’état civil, au périscolaire, au service de l’eau et de l’assainissement, au service social, à la gestion des places en crèche, aux attributions de logements, au cimetière, aux contacts de messagerie, etcetera. Les collectivités ont l’obligation de rédiger un registre des traitements de données présentant un risque pour les libertés et les droits des personnes, de réaliser pour chaque traitement une étude d’impact, de déclarer un responsable pour chaque traitement (celui-ci pouvant d’ailleurs être un sous-traitant) En outre elles doivent effectuer régulièrement leur autocritique et déclarer les incidents de sécurité. La CNIL (Commission Nationale Informatique et Libertés) est maintenue et même renforcée dans ses missions. Elle pourra prendre différents types de sanctions en cas de manquements à la loi qui lui seraient portés à connaissance, parmi lesquelles des amendes plafonnées à dix millions d’euros, et même à vingt millions d’euros en cas de manquement aux droits des personnes.

La désignation d’un Délégué à la Protection des Données

Chaque organisation, société ou collectivité, doit désigner à la CNIL un Délégué à la Protection des Données (DPD, en anglais DPO, « Data Protection Officer ») Il est celui qui aide et conseille la collectivité dans le recensement, la hiérarchisation des traitements et leur conformité ; il est aussi le référent de la CNIL. Le RGPD et la CNIL ne fixent pas de profil type même si juristes ou/et informaticiens ont la préférence. Le Délégué à la protection des données peut être désigné en interne, parmi les agents de la collectivité. Il peut encore être un agent intercommunal ou un prestataire.  Les principales missions du DPD sont :
 
•  Informer et conseiller les responsables de traitements de données de la collectivité ou le sous-traitant, ainsi que les agents;
•  Diffuser une culture Informatique et Libertés au sein de la collectivité;
•  Contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier;
•  Conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et en vérifier l’exécution;
•  Coopérer avec la CNIL et être le point de contact avec celle-ci.
 
Dans l’exercice de ces missions, le DPD devra être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie et bénéficier d’une liberté certaine dans les actions qu’il décide d’entreprendre.
 

Le SDESM propose de mutualiser la nomination du DPD

Aujourd’hui, si beaucoup de grandes collectivités ont déjà engagé cette démarche, seulement 2% des communes ont désigné à la CNIL un Délégué à la Protection des Données. C’est pour toutes ces collectivités qui partagent des préoccupations identiques, que le SDESM propose, en association avec le SIGEIF (Syndicat Intercommunal pour le Gaz et l’Electricité en Ile-de-France), la mutualisation de la nomination des DPD des différentes collectivités franciliennes. Cette démarche permet de limiter les coûts et de solliciter des professionnels disposant des compétences et de la disponibilité nécessaires à un examen sincère et réaliste de la conformité. Le 17 mai, une convention constitutive de groupement de commandes a été adoptée par le Comité syndical du SDESM. Tous les adhérents du Syndicat ont reçu une proposition au cours du premier trimestre, leur proposant de confier au SDESM et au SIGEIF le choix et la désignation à la CNIL d’un DPD. Les collectivités ont jusqu’au 07 septembre pour retourner leur délibération au SIGEIF. Le SDESM organise avec le SIGEIF le groupement de commandes et réalisera l’analyse des offres. Le SIGEIF lancera le marché en septembre et le notifiera en novembre. Enfin, le SDESM et le SIGEIF organiseront la désignation à la CNIL du Délégué à la protection des données de chaque collectivité adhérente du groupement. Le SDESM ne demande pas aux communes membres du SDESM de frais de participation pour l’adhésion au groupement, cependant les collectivités auront à leur charge les prestations.

Le SDESM et le SIGEIF coordonnent un groupement de commandes pour la désignation mutualisée de votre DPD (Délégué à la Protection des Données). Si vous êtes intéressé, nous mettons à disposition notre convention constitutive de groupement et un modèle de délibération.

Téléchargez ici la convention et le modèle de délibération.