Mettre en œuvre le Règlement Général

européen sur la Protection des Données

personnelles (RGPD) dans sa collectivité
4 octobre 2018
Le plan de la journée
 Mettre en oeuvre le RGPD dans sa collectivité.
I / Pourquoi une nouvelle règlementation ?
- De la loi Informatique et Libertés de 1978 au RGDP de 2018, retour sur
40 ans de règlementation sur les « données » pour améliorer la
protection de la vie privée des citoyens.
- Définitions : qu’est-ce qu’une « donnée » ? quelle différence entre «
donnée normale » et « sensible » ? qu’entend-on par « traitement de
données » ? qu’est-ce que la CNIL ? etc..

II / Ce qui change pour les collectivités.

- Le principe de responsabilisation des collectivités et la fin des
déclarations préalables à la CNIL.
- Le « Délégué à la Protection des Données » (ou DPO) et les «relais
Informatique et Libertés ».
- L’action de groupe et l’élargissement des pouvoirs de la CNIL.
- Le principe de conformité.
3
- Les sanctions.
Mettre en oeuvre le RGPD dans sa collectivité.
III / Passer à l’action en 5 étapes.
- Comment constituer un registre de traitement des données ?
- Cartographier et faire le tri dans ses données.
- Respecter le droit des personnes.
- Sécuriser les données.
- Les moyens humains, techniques, financiers et organisationnels
(internalisation, externalisation, mutualisation, conventionnement,
etc.)

4
1ère partie
RGPD : pourquoi une
nouvelle réglementation
?
 A / 40 ans de réglementation sur la protection des données personnelles

La loi Informatique et Libertés de 1978, une législation d’avant-garde..

- Les législateurs, qui n'avaient pour ambition que de reconnaître de

nouveaux droits aux citoyens à l'égard des grands systèmes
centralisés d'information dont les administrations commençaient à se
doter, ne pouvaient ne serait-ce qu'imaginer le développement
d'Internet et ont toutefois réussi à créer une « loi monument », pilier de
la législation électronique.

- Il s’agit avant tout d’une loi protectrice des libertés : elle inscrit dès
l'article 1er l'informatique dans le cadre des droits de l'homme,
certainement en souvenir des fins auxquelles ont pu être utilisés les
fichiers sous le régime de Vichy :
« L'informatique doit être au service de chaque citoyen. Son
développement doit s'opérer dans le cadre de la coopération
internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni
aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles
ou publiques. » 6
 A / 40 ans de réglementation sur la protection des données personnelles

Concrètement..

7
 A / 40 ans de réglementation sur la protection des données personnelles

Concrètement..

Cette loi a un champ d’application très large, qui concerne

la majorité des traitements ou fichiers mis en œuvre par les
collectivités locales pour gérer les nombreux services qui
relèvent de leur compétence :

- état civil,
- listes électorales,
- inscriptions scolaires,
- action sociale et autres services à la population,
- système d’information géographique, etc..

8
 A / 40 ans de réglementation sur la protection des données personnelles

Concrètement..

Cette loi a par ailleurs connu des modifications et vu son

champs d’application s’étendre aux dispositifs de contrôle
liés aux nouvelles technologies : vidéoprotection, les
applications biométriques, la géolocalisation, les
téléservices administratifs

Par conséquent, suite à diverses évolutions législatives

apportées au texte initial en 2004, 2005, 2006, 2009 et
2011 ; la sphère de compétence de la CNIL fut élargie et
son pouvoir de sanction renforcé sur ces matières.

9
A / 40 ans de réglementation sur la protection des données personnelles

La création d’un « gendarme » de l’informatique : la

CNIL.
Autorité administrative indépendante composée de 18
membres (parlementaires, hauts fonctionnaires, magistrats,
personnalités qualifiées), elle élit son président parmi ses
membres, ne reçoit d’instructions d’aucune autorité et
dispose de son propre budget (17ME – 200 agents).

Elle est chargée de veiller à ce que l’informatique ne porte

pas atteinte ni à l’identité humaine, ni aux droits de
l’homme, ni à la vie privée, ni aux libertés individuelles ou
publiques.
10
 A / 40 ans de réglementation sur la protection des données personnelles

La création d’un « gendarme » de l’informatique : la CNIL.

La CNIL dispose d’un pouvoir de contrôle qui permet à ses

membres et agents d’accéder à tous les locaux professionnels et
de demander, sur place, communication de tout document
nécessaire, quel que soit le support, et en prendre copie, recueillir
tout renseignement utile et accéder aux programmes
informatiques et aux informations enregistrées.
Depuis la loi du 6 août 2004, elle dispose de pouvoirs de
sanctions administratives et pécuniaires importants.
Les collectivités locales sont évidemment soumises à ces
contrôles et dans la majorité des cas, des manquements, le plus
souvent résultant d’une méconnaissance de la loi ou de
négligence, sont constatés, ce qui constitue des infractions.
11
 A / 40 ans de réglementation sur la protection des données personnelles

Les évolutions de la loi Informatique et Libertés.

12
 A / 40 ans de réglementation sur la protection des données personnelles

Pourquoi un nouveau règlement européen ?

1. Harmoniser et renforcer les droits de protection des données
personnelles à l’échelle européenne,

2. S’adapter au contexte de l’hyper-connectivité de nos sociétés (le dernier

règlement datait de 1995, à une époque où par exemple en France, 0,4% de la
population disposait d’une connexion Internet, alors qu’aujourd’hui cela concerne
88% de la population française &, en moyenne, 80% des européens).

3. Rétablir la confiance dans l’économie numérique alors que cette dernière,

et le manque de régulation des pouvoirs publics, ont parfois laissé le champ libre
à l’installation de pratiques ne garantissant pas la préservation de la vie privée : 1
milliard de comptes Yahoo dérobés en 2013 ; affaire Snowden révélant
l’espionnage de masse des citoyens américains & européens ; collecte & revente
de données par Facebook, sans avoir recueilli le consentement des Internautes ;
piratage de 380.000 cartes bancaires de clients British Airways fin août 2018..
13
 B / RGPD : le définitions à importantes à retenir

NB : les titres des législations ne sont jamais anodins !

Pour le RGPD, la thématique qui vient en premier est celle de la « protection », et

en second vient la thématique de la « libre circulation des données ». L’équilibre
du texte s’en ressent.

En cas de litige les juridictions trancheront en ayant en tête ce paramètre ; pour

vous-même, en cas de difficultés d’interprétation du texte et de ses
obligations, veillez à cette articulation : Protection > Libre-circulation (cf
Open Data, désormais obligatoire par défaut depuis le 7/10/2018 pr les CT14de +
de 3500 habitants ou de + de 50 agents).
B / RGPD : le définitions à importantes à retenir

15
B / RGPD : les définitions importantes à retenir
Donnée à caractère personnel :
« Toute information se rapportant à une personne physique, identifiée ou
identifiable ».

Donc = toute donnée relative à une personne physique, qui peut être
identifiée par quelqu’un, quel que soit le moyen d’identification utilisé.

 Données directement identifiantes : nom et prénom, photo, e-mail

nominatif, …

 Données indirectement identifiantes : N° de sécu (NIR), empreinte

digitale, …

 Les recoupements d’informations anonymes, par exemple : « le fils

aîné du notaire habitant 14 place de Jaude à Clermont-Ferrand »,

 On distingue trois grands types de données : sensibles (santé…), à

risque (NIR, difficultés sociales…), standards (identification…). 16
 B / RGPD : les définitions importantes à retenir
Parmi ces données, on distingue trois grands types de données :

- Les données sensibles, i.e celles qui ne sont absolument pas

collectables, exploitables, utilisables, diffusables, SAUF si et
seulement si une disposition législative le prévoit / l’autorise et/ou s’il
existe le consentement express de la personne concernée.

- Les données à risque,

- Les données standards.

29 novembre 2018 17
 B / RGPD : les définitions importantes à retenir

Les données
« sensibles » :

29 novembre 2018 18
 B / RGPD : les définitions importantes à retenir

Les données « à risque » :

Par exemple les informations liées aux difficultés sociales, le n°

de sécurité sociale, les coordonnées bancaires..

Les données « standards » :

Il s’agit des données les plus banales et répandues telles que

l’adresse, le n° de téléphone, une adresse mail, la date de
naissance..

29 novembre 2018 19
 B / RGPD : les définitions importantes à retenir

Consentement :

« Toute manifestation de volonté, libre, spécifique, éclairée et univoque, par laquelle

la personne concernée accepte, par une déclaration ou par un acte positif clair, que
des données personnelles la concernant fasse l’objet d’un traitement. »

Violation de données personnelles :

« violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction,

la perte, l’altération ou la divulgation non autorisée de données personnelles. »

Licéité

Un traitement de donnée est réputé licite dans 2 cas : soit lorsque la personne donne
son consentement express, soit lorsqu’un texte officiel permet la collecte de
données.
29 novembre 2018 20
 B / RGPD : les définitions importantes à retenir
Traitement :
« Toute opération ou tout ensemble d’opérations, effectués ou non à l’aide de
procédés automatisés & appliqués à des données ou des ensemble de données à
caractère personnel »,

Dit autrement = > toute opération portant sur des données à caractère personnel,
quel que soit le procédé utilisé (papier ou numérique).

 Ces données sont utilisées pour répondre à différents objectifs/finalités

 Ces traitements peuvent être liés tant au fonctionnement/gestion qu’aux

missions/cœur d’activité de la collectivité,
 Le détail du « traitement » selon le RGDP : collecte, enregistrement,
organisation, structuration, conservation, hébergement, adaptation,
modification, extraction, consultation, utilisation, communication par
transmission, diffusion ou toute autre forme de mise à disposition,
rapprochement, interconnexion, limitation, effacement, destruction...…

29 novembre 2018 21
 B / RGPD : les définitions importantes à retenir
Responsable de traitement :
Celui qui détermine la finalité et les moyens du traitement mis en œuvre

 En pratique et en général, il s’agit de la personne morale incarnée par son

représentant légal. Pour les collectivités, il s’agit donc de « l’autorité
territoriale » ou :

 La Commune représentée par son Maire,

 Le Département représenté par son Président,
 La Région représentée par son Président,
 L’EPCI représenté par son Président

Sur le plan opérationnel les services de la collectivité ont cependant un rôle

primordial dans la conformité en matière informatique et libertés.

A noter : le responsable du traitement est celui qui a la possibilité de dire STOP au

traitement.
22
 B / RGPD : les définitions importantes à retenir
Sous-traitant :

Toute personne traitant des données à caractère personnel pour le compte,

sous la direction et la responsabilité du responsable du traitement.

 Doit présenter des garanties suffisantes pour assurer la sécurité et la

confidentialité des données,

 Cela concerne qui ?

Par exemple les services propres de la collectivité, ceux d’une autre

collectivité (par exemple dans le cadre de services communs entre la
commune et l’EPCI), une société d’hébergement de site, d’inscription
en ligne, de gestion et suivi d’aides, de prestations de services
(manifestation, vidéosurveillance…), des associations, des organismes
de formation, des transporteurs, le(s) titulaire(s) de marchés publics,
délégations de service public, etc…
29 novembre 2018 23
 B / RGPD : les définitions importantes à retenir

Le délégué à la protection des données (DPD ou DPO):

« Chef d’orchestre » de la conformité en matière de protection des données,
ses principales missions sont :

 Informer et conseiller l’ensemble des acteurs,

 Contrôler le respect du RGPD et de la loi informatique et libertés,
 Conseiller la collectivité sur la réalisation d’études d’impact,
 Coopérer avec la CNIL,
 S’assurer de la bonne tenue de la documentation relative aux
traitements => les registres.

29 novembre 2018 24
 B / RGPD : les définitions importantes à retenir
Les registres de données

Dans le cadre de la collecte, de l’exploitation et du traitement des données, le

RGPD impose à la collectivité la mise en place d’une bonne tenue de la
documentation relative aux traitements => les registres.

Ce(s) registre doit permettre, en cas de contrôle, de répondre aux questions

suivantes :
- Qui est responsable du traitement ?
- Quoi ? => quelles sont les catégories de données traitées ?
- Pourquoi ? => indiquez la ou les finalités pour lesquelles vous collectez ou
traitez ces données,
- Où sont stockées les données ?
- Jusqu’à quand allez-vous conserver les données ?
- Comment ? Quelles mesures de sécurité sont mises en œuvre pour minimiser
les risques d’accès non autorisés aux données et donc d’impact sur la vie privée
des personnes concernées ?

25
2ème partie : ce qui
change pour les
collectivités
 Quelle philosophie générale du RGPD ?
Si le RGPD introduit des changements, il faut quand même se rassurer sur le fait
qu’il s’inscrit néanmoins dans la continuité de ce qui était pratiqué. De fait, pour
une collectivité qui respectait déjà fortement la loi Informatique et Libertés de
1978 modifiée, peu d’efforts seront à fournir pour se mettre à niveau.

Il n’en demeure pas moins que plusieurs changements notables sont à attendre
pour les collectivités et ce, compte tenu de la philosophie nouvelle qu’inspire le
RGPD, laquelle repose notamment sur :
- la RESPONSABILISATION des acteurs (fin du principe de la déclaration);
- un renforcement des droits des individus avec la création du DPO ou DPD
(sorte de mini-CNIL interne à la CT),
- le « droit à l’effacement » des données,
- Le droit à la « portabilité » des données => les personnes concernées ont le
droit de recevoir les données à caractère personnel les concernant qu'elles ont
fournies à un responsable du traitement, dans un format structuré, couramment
utilisé et lisible par machine, et ont le droit de transmettre ces données à un
autre responsable du traitement. Par exemple, j’utilise jusqu’à présent une
plateforme de courriels (yahoo) et je veux passer sur gmail. Je dois pouvoir
récupérer auprès de Yahoo tous mes mails reçus, envoyés, archivés + mon
27
carnet d’adresse et les transférer vers mon gmail.
 Quelle philosophie générale du RGPD ?

- le principe de MINIMISATION (qui reprend celui de la « proportionnalité » déjà

présent dans la LIL de 1978).

- la LIMITATION DE LA CONSERVATION : cela oblige l’établissement à instaurer

une politique d’archivage & de suppression définitive des données, ou tout du
moins d’ANONYMISATION des données. Evidemment, les cas pour lesquels la
réglementation impose leur conservation sans limitation de durée ne sont pas
concernés. Les organismes doivent donc prévoir de purger leur SI ou de
supprimer les dossiers rédigés sur papier, dès lors que le délai de conservation
est achevé ou que la relation avec l’administré est caduque.

- ou enfin une transparence accrue pour les mineurs, puisque c’est à partir de
15 ans que ces derniers pourront décider librement de donner ou non leurs
données, en deçà, il faut le consentement express de leurs parents..

28
 Les nouveautés
- Le principe de responsabilisation des collectivités.

C’est LA grande nouveauté du RGPD. Responsabiliser les organismes,

publics ou privés, en les rendant autonomes par rapport aux obligations
antérieures qu’ils pouvaient avoir / aux autorités de contrôle.

Résultat, le RGPD c’est :

- la fin des déclarations préalables de fichiers / ou des demandes
d’autorisation préalable à la mise en place d’un traitement à la CNIL,
- la tenue obligatoire de registres de traitement des données,
- la nomination d’un Délégué à la Protection des Données avec un rôle
de conseil / d’accompagnement interne fort,
- le renforcement des obligations de sécurisation des données : demande
systématique du consentement ; réalisation obligatoire d’analyse
d’impact pour tout traitement qui comporterait un risque ; notification
des violations de données personnelles auprès de la CNIL 29et des
principaux intéressés.
 Les nouveautés
- Le « Délégué à la Protection des Données » (ou DPO)

Nommer un DPD/DPO est obligatoire pour les organismes publics (article

37), quelle que soit leur taille. C’est le « responsable de traitement des
données » qui nomme.

Le DPO peut être un agent de la collectivité ou une personnalité externe

(agent d’une autre CT dans le cas d’une mutualisation, prestataire de
services informatique, etc..).

Il a un rôle de conseil / d’accompagnement en tant que « référent » et doit

donc être associé à toutes les questions concernant les données
personnelles.

30
 Les nouveautés
- Le « Délégué à la Protection des Données » (ou DPO).

Le DPO agit, même s’il est agent de la CT, en toute INDEPENDANCE. Il ne doit
pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de
DPO avec une autre fonction (ex : DGS, Maire, élu qui serait par ailleurs chef
d’une entreprise de services informatiques, etc..).

Cette indépendance doit pouvoir lui permettre de rendre compte de son

action au plus haut niveau de la direction de l’organisme, sans filtres
intermédiaires..

Enfin le DPO agit SANS RISQUE DE MISE EN CAUSE DE SA

RESPONSABILITE !
Pour aller plus loin : réponse ministérielle du 27/09/2018 à une question au
Gouvernement sur « qui peut être DPD » ? =>
http://www.senat.fr/basile/visio.do?id=qSEQ180605775&idtable=q345889&_nu=05
775&rch=qs&de=20151115&au=20181115&dp=3+ans&radio=dp&aff=sep&tri=dd&
31
off=0&afd=ppr&afd=ppl&afd=pjl&afd=cvn
 Les nouveautés
- Le « Délégué à la Protection des Données » et ses missions.

Ce dernier aura comme principale mission nouvelle d’établir un registre des

traitements, lequel devra permettre d’attester de la parfaite conformité de
l’organisme au RGPD.

Pour ce faire, il lui appartiendra de procéder au recensement de l’ensemble des

traitements ayant fait l’objet ou non de formalités préalables auprès de la
CNIL déployés au sein de l’organisme et de faire un audit général des
mesures de sécurité mises en œuvre pour en garantir la parfaite sécurité. Un
travail de dentelle devra dès lors être opéré au sein de chaque service pour déceler
l’ensemble des traitements existants et les conditions précises de leur exécution.

S’en suivra très probablement l’impulsion de nouvelles méthodes de travail,

lesquelles devront être amenées habilement pour être acceptées et appliquées par
tous.
32
 Les nouveautés
- Le « Délégué à la Protection des Données » et ses missions.

Ce délégué aura ensuite une mission plus particulièrement juridique relative à

la mise en conformité de l’ensemble des contrats liant son organisme dont
l’exécution pourrait donner lieu à un traitement de données à caractère
personnel. L’une des évolutions les plus sensibles du RGPD tient en effet à la
responsabilisation des sous-traitants, laquelle implique cependant des nouvelles
obligations, en termes de contractualisation, pour clarifier précisément les
responsabilités de chaque entité s’agissant de la mise en œuvre d’un traitement de
données à caractère personnel. Pour les acteurs publics, cette évolution va
contraindre leurs cocontractants à se préoccuper davantage de ces enjeux et à leur
proposer des outils intégrant, par eux-mêmes, les enjeux de protection des données
à caractère personnel.
Cependant, dans un premier temps, cela va vous contraindre à un effort
complémentaire dans la rédaction de vos contrats. La parfaite maîtrise de la
réglementation est d’ailleurs, à ce titre, essentielle, puisqu’il est constant qu’elle est
sujette à interprétation et que dans le cadre d’une renégociation contractuelle,
chacun tentera de faire valoir ses propres intérêts et de minimiser 33 ses
responsabilités.
 Les nouveautés
- Le « Délégué à la Protection des Données » (ou DPO) et les «relais
Informatique et Libertés ».

En appui du DPD, la collectivité peut mettre en place, selon sa taille, un

réseau de « relais Informatique et Libertés ».

Il s’agit de référents dont le rôle sera sensiblement le même que celui du

DPD en matière de conseils / d’accompagnement / d’alerte / de formation
ou encore d’acculturation des services et de leurs collègues aux
problématiques liées au respect de la réglementation.

Les « RIL » peuvent être des « sous-traitants », chargés de la tenue d’un

registre particulier par exemple.

Ils ne peuvent cependant remplacer le DPD dans son rôle d’interlocuteur

34
auprès de la CNIL.
 Les nouveautés
- L’action de groupe et l’élargissement des pouvoirs de la CNIL.

L’article 80 du RGPD donnait la possibilité aux Etats-membres de

permettre ou non la mise en place « d’actions de groupe » pour
dénoncer des atteintes / violations relatives à ses données personnelles
& obtenir réparation de préjudices subis. La France a choisi d’activer
cette procédure.

Ainsi, une association de défense des consommateurs ou un syndicat

représentatif de salariés ou de fonctionnaires peuvent désormais
entamer une « action de groupe » en justice, à laquelle chacun peut se
joindre pour faire respecter les nouvelles règles sur la protection de ses
données personnelles.

35
 Les nouveautés
- L’action de groupe et l’élargissement des pouvoirs de la CNIL.

La CNIL a la possibilité désormais d’effectuer des contrôles en ligne, lui

permettant de constater à distance, depuis un ordinateur connecté à
internet, des manquements à la loi Informatique et Libertés.

Ces constatations seront relevées dans un procès-verbal adressé aux

organismes concernés et leur seront opposables.

Cette modification crée les conditions juridiques qui permettent d’adapter

le pouvoir d’investigation de la CNIL au développement numérique. Elle
lui offre l’opportunité d’être plus efficace et réactive dans un univers en
constante évolution.

36
 Les nouveautés
- L’action de groupe et l’élargissement des pouvoirs de la CNIL.

La Commission pourra ainsi rapidement constater et agir en cas de

failles de sécurité sur internet. Elle pourra aussi vérifier la conformité des
mentions d’information figurant sur les formulaires en ligne, ou des
modalités de recueil de consentement des internautes en matière de
prospection électronique.

Ce nouveau pouvoir s’appliquera aux « données librement accessibles

ou rendues accessibles » en ligne ; il ne donnera évidemment pas la
possibilité à la CNIL de forcer les mesures de sécurité mises en place
pour pénétrer dans un système d’information.

37
 Les nouveautés
- Le principe de « conformité », revers de la médaille de votre
« responsabilité ».

38
 Les nouveautés
- Le principe de « conformité », revers de la médaille de votre
« responsabilité ».

39
 Les nouveautés
- Le principe de « conformité », revers de la médaille de votre
« responsabilité ».

40
 Les nouveautés
- Des sanctions renforcées.

Afin de dissuader le non respect des règles du RGPD ; l’article 79 du

règlement prévoit des sanctions administratives extrêmement lourdes
selon deux cas :

- Sanction pécunière pouvant aller jusqu’à 10 ME

- Sanction pécunière pouvant aller jusqu’à 20 ME ou 4% du chiffre
d’affaires mondial consolidé pour les entreprises.

Auparavant, le plafond était fixé à 150 KE.

Ces sommes conséquentes encouragent tous les organismes à respecter

la réglementation en vigueur.
41
3ème Partie
Passer à l’action en 5
étapes
A / Comment constituer un registre de traitement des données ?

Rappel : le(s) registre(s) doit permettre, en cas de contrôle, de répondre aux

questions suivantes :
- Qui est responsable du traitement ?
- Quoi ? => quelles sont les catégories de données traitées ?
- Pourquoi ? => indiquez la ou les finalités pour lesquelles vous collectez ou
traitez ces données,
- Où sont stockées les données ?
- Jusqu’à quand allez-vous conserver les données ?
- Comment ? Quelles mesures de sécurité sont mises en œuvre pour
minimiser les risques d’accès non autorisés aux données et donc d’impact
sur la vie privée des personnes concernées ?

Voir exemples de registres sur le site de la CNIL : https://www.cnil.fr/fr/RGDP-

le-registre-des-activites-de-traitement

43
B / Cartographier vos traitements de données

44
B / Cartographier vos traitements de données

45
 C / Respecter le droit des personnes
Conformément à la loi n° 78-17 du 6 janvier 1978 modifiée et au
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27
avril 2016 relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de
ces données (règlement général sur la protection des données), les
personnes disposent d’un droit d’accès, de rectification et
d'effacement des informations qui les concernent, d'un droit
d'opposition pour des motifs légitimes, d'un droit à la limitation du
traitement et d'un droit de réclamation auprès de la CNIL. Les
informations personnelles que vous nous communiquez par l’envoi d’un
courrier électronique, service en ligne, formulaire ou par tout autre
moyen sont strictement confidentielles et destinées au traitement de vos
demandes par les services de XXXXX. Elles ne sont transmises à aucun
tiers non autorisés ni à titre onéreux ni à titre gratuit. Chaque téléservice
mis à disposition via notre site internet comportera les mentions
d'informations détaillées obligatoires le concernant, accessibles via un
lien spécifique. Les personnes peuvent exercer leurs droits en
46
s’adressant par courriel électronique à cet email .
 D / Sécuriser les données

Pour gérer au mieux les risques, il convient d’agir sur :

47
 E / Les moyens humains, techniques, financiers
Différentes possibilités s’offrent aux communes et aux intercommunalités
pour procéder à la désignation de leur DPD : soit en interne, par
exemple, en attribuant cette mission à un agent déjà en poste ou en
transformant le poste de correspondant informatique et libertés (CIL) en
DPD, soit en ayant en recours à l’externalisation (avec un prestataire de
services privé par exemple), soit en optant pour une
mutualisation/coopération entre communes et EPCI.

Compte tenu des charges & contraintes financières qui pèsent sur les
CT actuellement, a fortiori celles dont les moyens humains et
budgétaires sont limités, cette dernière voie est vivement recommandée.

Elle peut revêtir plusieurs formes, sur la base des outils juridiques
existants dans le CGCT.

48
E / Les moyens humains, techniques, financiers

D’abord, il pourrait être envisagé d’opérer une mise à disposition individuelle

de l’agent d’une collectivité au profit d’une autre, sur la base de l’article 61 de la
loi n° 84-53 du 26 janvier 1984.

Dans ce cadre, la mise à disposition individuelle d’un agent implique

nécessairement l’accord de ce dernier, celui de la collectivité d’accueil, ainsi
que la consultation de la commission administrative paritaire compétente.

La mise à disposition est ensuite prononcée par arrêté de l’autorité territoriale

investie du pouvoir de nomination. L’article 61.1.II de la loi n° 84.-53 susvisée
impose également que la mise à disposition donne lieu à remboursement
(portant sur les modalités de remboursement de la rémunération du
fonctionnaire mis à disposition notamment).

Les modalités de remboursement devant être définies dans une convention de

mise à disposition.

49
 E / Les moyens humains, techniques, financiers
Il pourrait ensuite être envisagé de mettre en place un service unique
pour plusieurs collectivités, qui comprendrait le ou les agents concernés
par le traitement des données et qui serait appelé à intervenir pour les
collectivités membres du service unique.

S’agissant des communes membres d’un EPCI à fiscalité propre et de

cet EPCI à fiscalité propre, l’article L. 5211-4-2 du CGCT prévoit la
possibilité de mettre en place un service commun pour les services non
rattachés à une compétence, service qui serait piloté par l’EPCI.

Une convention prévoit les modalités de ce service commun à l’EPCI et

aux communes membres de ce dernier (article L. 5211-4-2 du CGCT).
La mutualisation permise par la mise en place d’un service commun
concerne ainsi les services chargés de l’exercice de missions
fonctionnelles ou opérationnelles.
50
 E / Les moyens humains, techniques, financiers
Un service unifié peut aussi être créé (article L. 5111-1-1 du CGCT).

Celui-ci a pour objet d’assurer l’exercice en commun d’une compétence

reconnue par la loi ou transférée. La mise en place de ce dispositif
s’effectue par la voie d’une convention qui peut prévoir :

- soit la mise à disposition du service et des équipements d’un des

cocontractants à la convention au profit d’un autre de ces
cocontractants ;

- soit le regroupement des services et équipements existants de chaque

cocontractant à la convention au sein d’un service unifié relevant d’un
seul de ces cocontractants.

Formule plus souple que la précédente, car elle peut concerner

51
uniquement 2 ou 3 communes par exemple.
 E / Les moyens humains, techniques, financiers

Enfin, il est également possible d’envisager, non pas une

mutualisation en tant que telle du DPD, mais plutôt une
mutualisation des moyens destinés à choisir le DPD :

il s’agira par exemple de mettre en place un groupement de

commandes destiné à désigner un DPD externe cette-
fois ci.

52
Le mot de la fin

BON COURAGE

et merci de votre attention !

53