Informations réservées aux membres.
> En savoir plus
> Se connecter
Synthèse
Le règlement européen de 2018 sur les données personnelles (RGPD) impose une obligation de résultats avec la mise en place de procédures de documentation et de sécurité. Les collectivités doivent nommer, d’ici au 25 mai 2018, un délégué à la protection des données (DPD) et se mettre en conformité avec la loi, sous peine d’une très lourde amende. Il s’agit de désigner au plus vite une personne qui recense tous les traitements de données à caractère personnel, prépare les procédures spécifiques et sensibilise les agents.
Actions
La mission principale du DPD est de faire en sorte que le système d’information soit en conformité avec le cadre légal relatif aux données personnelles, le Règlement Européen.
Cet objectif est atteint au travers des missions suivantes :
a) Informer et sensibiliser, diffuser une culture « Informatique et Libertés »
Le Délégué à la protection des données :
• mène ou pilote, des actions visant à sensibiliser la direction, les collaborateurs (dont le personnel participant aux opérations de traitement) aux règles à respecter en matière de protection des données à caractère personnel,
• fait en sorte de présenter les efforts de mise en conformité comme productifs et positifs, et non comme seulement des contraintes,
• s’assure que les personnes concernées sont informées
o des traitements opérés impliquant leurs données personnelles,
o de leurs droits.
b) Veiller au respect du cadre légal
Le DPD veille en toute indépendance au respect du Règlement européen (RGPD) en matière de protection des données à caractère personnel. Ses analyses et conseils s’étendent aux sous-traitants et prestataires prenant part aux traitements décidés par le responsable de traitement.
Le DPD conseille les directions Métiers concernées et, si besoin, le Responsable de traitement. Il émet des avis et recommandations motivés et documentés. Pour mener à bien ses tâches, le DPD se fait communiquer par le Responsable de traitement l’ensemble des informations nécessaires. Il dispose de l’ensemble des moyens adéquats.
Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et peut faire toute recommandation au Responsable de traitement.
c) Informer et responsabiliser, alerter si besoin son responsable de traitement
Le DPD informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. À cette fin, il peut faire toute recommandation au Responsable des traitements et présenter des demandes d’arbitrage. Il veille à formaliser une procédure pour informer directement le Responsable de traitement d’une non-conformité majeure.
d) Analyser, investiguer, auditer, contrôler
Le DPD mène, fait mener ou pilote de façon indépendante, toute action permettant :
• de juger du degré de conformité de l’organisme,
• de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.),
• de vérifier le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.
e) Établir et maintenir une documentation au titre de « la Responsabilité »
Le DPD rédige et maintient une documentation relative aux traitements de données à caractère personnel (le registre des traitements) et assure son accessibilité à l’autorité de contrôle.
f) Assurer la médiation avec les personnes concernées
Le DPD reçoit les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille au respect du droit des personnes. Il traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.
g) Présenter un rapport annuel à son responsable de traitement
Le DPD rend compte de son action en présentant chaque année un rapport à son Responsable de traitement. Ce rapport est le reflet fidèle de son action au cours de l’année écoulée et fait état des éventuelles difficultés rencontrées.
h) Interagir avec l’autorité de contrôle
Le DPD est le point de contact privilégié de l’autorité de contrôle, avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre. Il n’endosse pas la responsabilité juridique qui pèse sur le responsable de traitement concernant la conformité.
Résultats
Mise en conformité avec le règlement du RGPD
Liens
Bénéfices
Recommandations
Outils
Prestataires & Partenaires
Services10
- Des actions de sensibilisation aux questions de sécurité sur internet (identité numérique du citoyen, désinformation, cyber-sécurité…)
- Des espaces personnels sécurisés d'archivage et de conservation des données (coffre-fort numérique, carte d'identification et de services professionnels pour les agents…)
- La confidentialité, le droit d'accès et de modification des données personnelles (la création d'un registre du traitement des données personnelles)
- La déclaration des fichiers à la CNIL, la désignation d'un délégué à la protection des données personnelles
- La sensibilisation, la protection des mineurs et l'éducation critique aux médias (sensibilisation des parents et des enfants à l'usage des écrans et à la sélection des contenus)
- L'application du droit de retrait (droit à l'oubli)
- L'application stricte du respect de la vie privée dans le cadre des politiques de données ouvertes (opendata) et particulièrement dans le cas d'approvisionnement par la foule (bigdata, objets connectés…) passif et non volontaire
- Le respect et l'information sur les droits d'auteurs
- Une réflexion éthique sur les libertés privées et publiques et un débat démocratique sur la vidéo-surveillance et la cyber-défense
- Une charte publique de bonne utilisation d'internet
