Académique Documents
Professionnel Documents
Culture Documents
4
1ère partie
RGPD : pourquoi une
nouvelle réglementation
?
A / 40 ans de réglementation sur la protection des données personnelles
- Il s’agit avant tout d’une loi protectrice des libertés : elle inscrit dès
l'article 1er l'informatique dans le cadre des droits de l'homme,
certainement en souvenir des fins auxquelles ont pu être utilisés les
fichiers sous le régime de Vichy :
« L'informatique doit être au service de chaque citoyen. Son
développement doit s'opérer dans le cadre de la coopération
internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni
aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles
ou publiques. » 6
A / 40 ans de réglementation sur la protection des données personnelles
Concrètement..
7
A / 40 ans de réglementation sur la protection des données personnelles
Concrètement..
- état civil,
- listes électorales,
- inscriptions scolaires,
- action sociale et autres services à la population,
- système d’information géographique, etc..
8
A / 40 ans de réglementation sur la protection des données personnelles
Concrètement..
9
A / 40 ans de réglementation sur la protection des données personnelles
12
A / 40 ans de réglementation sur la protection des données personnelles
15
B / RGPD : les définitions importantes à retenir
Donnée à caractère personnel :
« Toute information se rapportant à une personne physique, identifiée ou
identifiable ».
Donc = toute donnée relative à une personne physique, qui peut être
identifiée par quelqu’un, quel que soit le moyen d’identification utilisé.
29 novembre 2018 17
B / RGPD : les définitions importantes à retenir
Les données
« sensibles » :
29 novembre 2018 18
B / RGPD : les définitions importantes à retenir
29 novembre 2018 19
B / RGPD : les définitions importantes à retenir
Consentement :
Licéité
Un traitement de donnée est réputé licite dans 2 cas : soit lorsque la personne donne
son consentement express, soit lorsqu’un texte officiel permet la collecte de
données.
29 novembre 2018 20
B / RGPD : les définitions importantes à retenir
Traitement :
« Toute opération ou tout ensemble d’opérations, effectués ou non à l’aide de
procédés automatisés & appliqués à des données ou des ensemble de données à
caractère personnel »,
Dit autrement = > toute opération portant sur des données à caractère personnel,
quel que soit le procédé utilisé (papier ou numérique).
29 novembre 2018 21
B / RGPD : les définitions importantes à retenir
Responsable de traitement :
Celui qui détermine la finalité et les moyens du traitement mis en œuvre
29 novembre 2018 24
B / RGPD : les définitions importantes à retenir
Les registres de données
25
2ème partie : ce qui
change pour les
collectivités
Quelle philosophie générale du RGPD ?
Si le RGPD introduit des changements, il faut quand même se rassurer sur le fait
qu’il s’inscrit néanmoins dans la continuité de ce qui était pratiqué. De fait, pour
une collectivité qui respectait déjà fortement la loi Informatique et Libertés de
1978 modifiée, peu d’efforts seront à fournir pour se mettre à niveau.
Il n’en demeure pas moins que plusieurs changements notables sont à attendre
pour les collectivités et ce, compte tenu de la philosophie nouvelle qu’inspire le
RGPD, laquelle repose notamment sur :
- la RESPONSABILISATION des acteurs (fin du principe de la déclaration);
- un renforcement des droits des individus avec la création du DPO ou DPD
(sorte de mini-CNIL interne à la CT),
- le « droit à l’effacement » des données,
- Le droit à la « portabilité » des données => les personnes concernées ont le
droit de recevoir les données à caractère personnel les concernant qu'elles ont
fournies à un responsable du traitement, dans un format structuré, couramment
utilisé et lisible par machine, et ont le droit de transmettre ces données à un
autre responsable du traitement. Par exemple, j’utilise jusqu’à présent une
plateforme de courriels (yahoo) et je veux passer sur gmail. Je dois pouvoir
récupérer auprès de Yahoo tous mes mails reçus, envoyés, archivés + mon
27
carnet d’adresse et les transférer vers mon gmail.
Quelle philosophie générale du RGPD ?
- ou enfin une transparence accrue pour les mineurs, puisque c’est à partir de
15 ans que ces derniers pourront décider librement de donner ou non leurs
données, en deçà, il faut le consentement express de leurs parents..
28
Les nouveautés
- Le principe de responsabilisation des collectivités.
30
Les nouveautés
- Le « Délégué à la Protection des Données » (ou DPO).
Le DPO agit, même s’il est agent de la CT, en toute INDEPENDANCE. Il ne doit
pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de
DPO avec une autre fonction (ex : DGS, Maire, élu qui serait par ailleurs chef
d’une entreprise de services informatiques, etc..).
35
Les nouveautés
- L’action de groupe et l’élargissement des pouvoirs de la CNIL.
36
Les nouveautés
- L’action de groupe et l’élargissement des pouvoirs de la CNIL.
37
Les nouveautés
- Le principe de « conformité », revers de la médaille de votre
« responsabilité ».
38
Les nouveautés
- Le principe de « conformité », revers de la médaille de votre
« responsabilité ».
39
Les nouveautés
- Le principe de « conformité », revers de la médaille de votre
« responsabilité ».
40
Les nouveautés
- Des sanctions renforcées.
43
B / Cartographier vos traitements de données
44
B / Cartographier vos traitements de données
45
C / Respecter le droit des personnes
Conformément à la loi n° 78-17 du 6 janvier 1978 modifiée et au
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27
avril 2016 relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de
ces données (règlement général sur la protection des données), les
personnes disposent d’un droit d’accès, de rectification et
d'effacement des informations qui les concernent, d'un droit
d'opposition pour des motifs légitimes, d'un droit à la limitation du
traitement et d'un droit de réclamation auprès de la CNIL. Les
informations personnelles que vous nous communiquez par l’envoi d’un
courrier électronique, service en ligne, formulaire ou par tout autre
moyen sont strictement confidentielles et destinées au traitement de vos
demandes par les services de XXXXX. Elles ne sont transmises à aucun
tiers non autorisés ni à titre onéreux ni à titre gratuit. Chaque téléservice
mis à disposition via notre site internet comportera les mentions
d'informations détaillées obligatoires le concernant, accessibles via un
lien spécifique. Les personnes peuvent exercer leurs droits en
46
s’adressant par courriel électronique à cet email .
D / Sécuriser les données
47
E / Les moyens humains, techniques, financiers
Différentes possibilités s’offrent aux communes et aux intercommunalités
pour procéder à la désignation de leur DPD : soit en interne, par
exemple, en attribuant cette mission à un agent déjà en poste ou en
transformant le poste de correspondant informatique et libertés (CIL) en
DPD, soit en ayant en recours à l’externalisation (avec un prestataire de
services privé par exemple), soit en optant pour une
mutualisation/coopération entre communes et EPCI.
Compte tenu des charges & contraintes financières qui pèsent sur les
CT actuellement, a fortiori celles dont les moyens humains et
budgétaires sont limités, cette dernière voie est vivement recommandée.
Elle peut revêtir plusieurs formes, sur la base des outils juridiques
existants dans le CGCT.
48
E / Les moyens humains, techniques, financiers
49
E / Les moyens humains, techniques, financiers
Il pourrait ensuite être envisagé de mettre en place un service unique
pour plusieurs collectivités, qui comprendrait le ou les agents concernés
par le traitement des données et qui serait appelé à intervenir pour les
collectivités membres du service unique.
52
Le mot de la fin
BON COURAGE
53