Qu’est-ce que le RGPD ?

• Le RGPD est le Règlement Général sur la Protection des

Données, règlement européen créé pour protéger les
données personnelles des citoyens européens.
• En France, il remplace la loi Informatique et Libertés de
1978, et s’applique a tout support de données :
traitements informatiques et papier.
• Voté en 2016, il s’applique depuis le 25 mai 2018 dans tous
les Etats de l’UE et à toutes les structures, dans le monde,
utilisant des données personnelles des membres de l’UE.
• Il impacte le public et le privé : sociétés, collectivités
locales, associations.
 Quel impact pour les collectivités
territoriales ?
• Les collectivités territoriales traitent chaque jour de
nombreuses données personnelles, que ce soit pour assurer
la gestion administrative de leur structure (fichiers de
ressources humaines), la sécurisation de leurs locaux
(contrôle d’accès par badge, vidéosurveillance) ou la gestion
des différents services publics et activités dont elles ont la
charge.
• Certains de ces traitements présentent une sensibilité
particulière, comme les fichiers d’aide sociale et ceux de la
police municipale.
 Notions au cœur du RGPD
La dématérialisation des procédures, conjuguée à la multiplication des
risques d’atteinte à la sécurité explique aujourd’hui l’importance que
prend la protection des données personnelles.
•Une donnée à caractère personnel est constituée par toute information
qui se rapporte à une personne physique, qu’elle soit identifiée, voire
simplement identifiable.
•Une donnée sensible est une donnée à caractère personnel concernant
l’origine raciale ou ethnique, les opinions politiques, philosophiques ou
religieuses, l’appartenance syndicale, la santé ou la vie sexuelle.
•Un traitement de données est défini comme toute opération ou tout
ensemble d’opérations effectuées ou non à l’aide de procédés
automatisés.
•Le Délégué à la Protection des Données : Interne ou externe, est
chargé de mettre en œuvre la conformité au règlement européen sur
la protection des données pour l’organisme qui l’a désigné.
 Le RGPD, une obligation légale centrée sur la donnée
• La mise en conformité des organismes publics et privés est une
obligation légale.
• Le Maire est Responsable de Traitement et tenu pénalement
responsable du traitement des données.
• Le RGPD prévoit des obligations à la charge des organismes
responsables de traitement mais le règlement est également
applicable aux entités qui traitent les données en qualité de sous-
traitant.
• Le(s) sous-traitant(s) agissent par définition uniquement pour le
compte (et donc sur instruction) du responsable de traitement,
certaines obligations spécifiques sont mises à sa charge par le
règlement.

• Les pénalités sont accrues et rendues publiques : 4% du budget annuel

d’une collectivité (fonctionnement +investissement), 20 millions
d’euros pour une société.
Quelques points clés du RGPD pour les collectivités locales
Les acteurs du RGPD
Le respect de la donnée personnelle,
fondement du RGPD
 Les principes concernant le traitement des données
• Principe de transparence
• Les données doivent être traitées de manière loyale, licite et transparente

• Principe de limitation des finalités

• Les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne
pas être traitées ultérieurement d’une manière incompatible avec ces finalités

• Principe de minimisation des données

• Les données traitées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des
finalités pour lesquelles elles sont traitées

• Principe d’exactitude des données

• Les données traitées doivent être exactes et mises à jour régulièrement (rectification, voire effacement)

• Principe de limitation de la conservation des données

• Les données ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au
regard des finalités pour lesquelles elles sont traitées

• Principe de sécurité, d’intégrité et de confidentialité des

données
• Les données doivent être traitées de façon à leur garantir une sécurité appropriée
Conformité avec le RGPD
 Processus de mise en conformité
3 phases pour gérer une mise en conformité facilitée
 Pour les Ulis
- Externalisation du DPO, la CPS propose une solution qui
toutefois nous impose de désigner un référent, un adjoint
au référent, ainsi que des référents sur chaque pôle.
- Désignation d’un délégué interne à la protection des
données.
Il est en charge de maintenir le registre des traitements et représente notre
collectivité auprès de la CNIL.
Son travail se fait en collaboration avec l’ensemble des services. Il lui faut
recenser :
• les différents traitements de données personnelles,
• les catégories de données personnelles traitées,
• les objectifs poursuivis par les opérations de traitement de données,
• les acteurs (internes ou externes) qui traitent ces données,
• les flux en indiquant l’origine et la destination des données, afin
d’identifier les éventuels transferts de données.
Merci de votre attention