• Le RGPD est le Règlement Général sur la Protection des
Données, règlement européen créé pour protéger les données personnelles des citoyens européens. • En France, il remplace la loi Informatique et Libertés de 1978, et s’applique a tout support de données : traitements informatiques et papier. • Voté en 2016, il s’applique depuis le 25 mai 2018 dans tous les Etats de l’UE et à toutes les structures, dans le monde, utilisant des données personnelles des membres de l’UE. • Il impacte le public et le privé : sociétés, collectivités locales, associations. Quel impact pour les collectivités territoriales ? • Les collectivités territoriales traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou la gestion des différents services publics et activités dont elles ont la charge. • Certains de ces traitements présentent une sensibilité particulière, comme les fichiers d’aide sociale et ceux de la police municipale. Notions au cœur du RGPD La dématérialisation des procédures, conjuguée à la multiplication des risques d’atteinte à la sécurité explique aujourd’hui l’importance que prend la protection des données personnelles. •Une donnée à caractère personnel est constituée par toute information qui se rapporte à une personne physique, qu’elle soit identifiée, voire simplement identifiable. •Une donnée sensible est une donnée à caractère personnel concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. •Un traitement de données est défini comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés. •Le Délégué à la Protection des Données : Interne ou externe, est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données pour l’organisme qui l’a désigné. Le RGPD, une obligation légale centrée sur la donnée • La mise en conformité des organismes publics et privés est une obligation légale. • Le Maire est Responsable de Traitement et tenu pénalement responsable du traitement des données. • Le RGPD prévoit des obligations à la charge des organismes responsables de traitement mais le règlement est également applicable aux entités qui traitent les données en qualité de sous- traitant. • Le(s) sous-traitant(s) agissent par définition uniquement pour le compte (et donc sur instruction) du responsable de traitement, certaines obligations spécifiques sont mises à sa charge par le règlement.
• Les pénalités sont accrues et rendues publiques : 4% du budget annuel
d’une collectivité (fonctionnement +investissement), 20 millions d’euros pour une société. Quelques points clés du RGPD pour les collectivités locales Les acteurs du RGPD Le respect de la donnée personnelle, fondement du RGPD Les principes concernant le traitement des données • Principe de transparence • Les données doivent être traitées de manière loyale, licite et transparente
• Principe de limitation des finalités
• Les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités
• Principe de minimisation des données
• Les données traitées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
• Principe d’exactitude des données
• Les données traitées doivent être exactes et mises à jour régulièrement (rectification, voire effacement)
• Principe de limitation de la conservation des données
• Les données ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
• Principe de sécurité, d’intégrité et de confidentialité des
données • Les données doivent être traitées de façon à leur garantir une sécurité appropriée Conformité avec le RGPD Processus de mise en conformité 3 phases pour gérer une mise en conformité facilitée Pour les Ulis - Externalisation du DPO, la CPS propose une solution qui toutefois nous impose de désigner un référent, un adjoint au référent, ainsi que des référents sur chaque pôle. - Désignation d’un délégué interne à la protection des données. Il est en charge de maintenir le registre des traitements et représente notre collectivité auprès de la CNIL. Son travail se fait en collaboration avec l’ensemble des services. Il lui faut recenser : • les différents traitements de données personnelles, • les catégories de données personnelles traitées, • les objectifs poursuivis par les opérations de traitement de données, • les acteurs (internes ou externes) qui traitent ces données, • les flux en indiquant l’origine et la destination des données, afin d’identifier les éventuels transferts de données. Merci de votre attention