protection des données Présentatio n Qu’est-ce que le RGPD ?
• Règlement européen le 14 avril 2016 et entrant en
adopté application le 25 mai 2018. • Modifie et unifie les lois en matière de protection des données personnelles.
• Apporte un caractère obligatoire au respect
de ces nouvelles normes.
• Renforce le pouvoir de sanction de la CNIL.
Champ d’application du RGPD Qui est concerné par le RGPD ?
• Critère d’établissement : tout établissement effectuant des
traitements de données personnelles et situé sur le territoire de l’UE. • Critère du ciblage : tout établissement traitant des données personnelles concernant des résidents de l’UE afin de leur faire une offre de services ou de biens. Les données à caractère personnel (DCP)
Données à caractère personnel
= Personne physique
Identifiable Identifiée
Éléments Identifiant (nom, n°
spécifiques propres identification,, à son identité données de physique, son localisation, activité économique identifiant en ligne… ou culturelle °
Données sensibles: qui comportent un risque
important de porter atteinte aux droits fondamentaux Violation des données
Nature Description
Perte de confidentialité Les DCP ont été compromises
Perte d’intégrité Les DCP ont été modifiées de manière
non désirée
Perte de disponibilité Les DCP ont disparu
Responsable de traitement = celui qui « détermine ses finalités et
ses moyens » = Président
L’autorité territoriale doit rendre compte en cas de violation
RGPD Janvier 2018
Les 6 règles d’or de la protection de données • Le traitement est-il licite ? Licéité • Recueil de consentement, contrat, intérêt public, obligations légales…
• Dans quel(s) but(s) les données sont-elles collectées/utilisées ?
Finalité
• Pertinence et proportionnalité des données
Minimisation • Sont-elles toutes indispensables ?
• Les durées sont-elles optimales et en adéquation avec les
Durée de préconisations légales ? conservation
• Obligation de sécurité, les mesures de sécurité sont-elles suffisantes ?
Intégrité et confidentialité
• Les procédures sont-elles conformes aux nouvelles normes pour faciliter
et répondre aux demandes d’exercice des droits (modification, Droits des suppression, portabilité…) personnes Principe général et obligations
Nommer un Registre des Mise à jour des
DPO (ou DPD) traitements procédures
• Obligatoire pour tout • Liste les traitements • Révision des
établissement de données contrats de sous- public personnelles mis en traitance • Conseille et pilote œuvre par la • Procédure en cas de les démarches de collectivité violation de mise en conformité • Document données • Peut être obligatoire et central • Règles de bonnes mutualisé pour la conformité pratiques, charte informatique Principe général et obligations
Analyses d’impacts et Conformité permanente
analyses des risques et dynamique • Principe de privacy by design • Principe d’accountability (protection de la vie privée dès (nécessité de rendre compte) la conception du traitement) • Nécessité de pouvoir prouver • Les traitements à risques à tout moment son implication doivent faire l’objet d’une étude dans la protection de d’impact données personnelles • Obligation d’analyser les • Documentation systématique risques et de déterminer des mesures correctives AVANT la des actions et décisions au mise en œuvre du traitement regard du RGPD L’offre de mutualisation
DPO • Mise à disposition du DPO mutualisé du CDG 54.
• Accompagne les collectivités dans leur démarche de mutualisé mise en conformité.
• Le DPO mutualisé fournit à la collectivité un lien vers
Questionnaire un questionnaire d’audit recensant les traitements de données personnelles mis en œuvre. d’audit • Les réponses saisies par la collectivité servent de base essentielle à toute la démarche (autodiagnostic)
Création du • Le DPO mutualisé crée le registre des traitements de
la collectivité après récupération des réponses au registre questionnaire. • Le DPO mutualisé analyse le registre et dispense les des premières préconisations. traitements • Le DPO mutualisé identifie traitements Analyses nécessitant les des analyses d’impacts. • Les collectivités bénéficiant de leur registre des d’impacts traitements avant le 25 mai 2018 disposent d’un délai de 3 ans pour réaliser les analyses d’impacts.
• La collectivité reçoit un accès sécurisé à un
extranet créé par le CDG 54. Extranet en • L’extranet regroupe les documents importants de la conformité RGPD ainsi qu’une base ligne documentaire d’informations utiles à la compréhension des enjeux de la protection de données.
• Le DPO mutualisé propose un plan d’action
Pilotage de la annuel adapté à la collectivité, en fonction des soucis de conformité identifiés. mise en • Un formulaire de contact en ligne est disponible tout au long de la mission afin de répondre aux conformité questions des collectivités. Captures d’écran : questionnaire d’audit (extrait) Captures d’écran : questionnaire d’audit (extrait) Captures d’écran : questionnaire d’audit (extrait) Captures d’écran : questionnaire d’audit (extrait) Captures d’écran : questionnaire d’audit (extrait) Captures d’écran : questionnaire d’audit (extrait) Captures d’écran : questionnaire d’audit (extrait)