Foire aux questions


Suis-je dans l’obligation de nommer un Délégué à la Protection des Données ?

OUI, la désignation d’un Délégué à la Protection des Données est obligatoire pour :

  • Les autorités et organismes publics (ministères, collectivités territoriales, établissements publics…) ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (compagnies d’assurances, banques…)

 

Ai-je le droit de ne pas m’engager dans une démarche de mise en conformité au RGPD ?

NON, l’obligation de se mettre en conformité concerné tous les organismes publics comme privés, quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Qu’est-ce qu’une donnée personnelle ?

Toute information contenant des données se rapportant à une personne identifiée ou identifiable (nom, adresse, numéro de sécu, âge, nationalité, données de santé…) est une donnée personnelle.

Le Maire peut-il être désigné comme Délégué à la Protection des Données ?

NON, il est déjà responsable de Traitement et à ce titre il ne peut pas être nommé DPD. Ces 2 rôles sont par définition distincts. Le responsable de Traitement doit Désigner le DPD.

Qui peut être nommé Délégué à la Protection des Données ?

Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).

La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :

  • l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »). 
  • une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre.
  • une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
  • un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme.
A quelles sanctions je m’engage en ne mettant pas en place la démarche RGPD ?

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative. 
Comment nommer mon Délégué à la Protection des Données ?

La nomination du DPD se fait en deux temps :

  • auprès de la CNIL qui valide ensuite via un mail la désignation du DPD. Elle peut néanmoins refuser celle-ci si elle estime que la personne nommée ne possède pas les compétences requises, les moyens suffisants ou encore la capacité d'agir en toute indépendance.

 

Puis-je faire appel à un prestataire externe pour exercer les missions de Délégué à la Protection des Données ?

OUI, le DPD peut être externalisé ou mutualisé entre plusieurs structures. Il n’y a pas de règles. Le facteur déterminant sera la complexité de l’organisation de la collectivité et son budget.

 

 

Je collecte des informations pour créer une nouvelle prestation, quelles sont mes obligations au regard du RGPD ?

Vous souhaitez organiser une prise de rendez-vous pour venir en déchetterie, mettre en place un dispositif de soutien psychologique, créer un fichier pour la distribution de masques, modifier les listes d’accueils d’enfants en crèches et écoles…

Pour toute création ou modification de fichiers, adoptez d’emblée les bons réflexes RGPD : 

  • Informer les personnes sur l’objectif de la collecte des données et leurs durées de conservation
  • Informer les personnes sur leurs droits
  • Vérifier que les données recueillies sont des données autorisées (éviter de recueillir des données sensibles)
  • Sécuriser les données recueillies
Je suis vigilant avec les contrats avant de mettre en place un nouvel outil numérique:

Vous souhaitez mettre en place une plateforme d’aide aux commerçants, une photothèque…

Toute nouvelle création d’outil numérique avec un prestataire doit donner lieu à la signature d’un contrat incluant des clauses RGPD de sous-traitance de données personnelles. La CNIL propose un modèle de clauses : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

Je diffuse des informations via une newsletter:

La collecte ou l’utilisation d’adresses électroniques pour une diffusion numérique d’information via une newsletter (lettre d’information), nécessite auprès des personnes concernées :

  • Leur consentement
  • Une information sur le traitement de leurs données personnelles
  • La possibilité à tout moment de ne plus recevoir ces informations
Je souhaite utiliser des outils numériques RGPD conformes:

La période de confinement a développé le travail à distance et l’usage de nouveaux outils : visioconférence, transfert de fichiers, etc. dont les pratiques vont perdurer.

Nous vous proposons une liste d’outils gratuits à usage professionnel respectueux des données personnelles et du RGPD.

A consulter : Principaux outils numériques préconisés

Je souhaite réunir le Conseil municipal / communautaire en visioconférence:

Tenir un conseil à distance est possible depuis le passage en état d’urgence sanitaire (ordonnance n° 2020-391 du 1er avril 2020). Pour cela choisissez un outil de visioconférence (RGPD conforme, voir liste ci-dessus) qui permette d’accueillir simultanément tous les participants et de diffuser en direct la séance afin de garantir son caractère public. Initiez vos collègues élus aux usages de cet outil. Informez participants et spectateurs sur les modalités pratiques. A la première séance, délibérez sur trois principes de fonctionnement.

A consulter : Points_Clé_Conseil municipal à distance

Je souhaite distribuer des masques à mes concitoyens:

Vous pouvez utiliser (partiellement et temporairement) le fichier de la taxe d’habitation pour informer vos concitoyens et organiser auprès d’eux la distribution de masques de protection. Retrouvez nos conseils pour une campagne également respectueuse des données personnelles.

A consulter : Guide_distribution de masque_covid19.V1.0

Je souhaite demander aux agents de la collectivité de relever et de transmettre leur température quotidiennement par mesure de précaution:

La Commission nationale informatique et libertés (CNIL) souligne qu’il est interdit "d’obliger les employés à transmettre chaque jour à leur hiérarchie des relevés de température". La collectivité peut cependant le proposer, avec accord de l’employé.

L’employeur peut rappeler aussi qu’au titre de l'article L. 4122-1 du code du travail, chaque employé doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même… et donc informer son employeur s'il craint être contaminé par le Covid 19. 

Lien utile : https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les

Je souhaite contacter le service de DPD du CDG38:

Vous pouvez nous envoyer un mail à dpd@cdg38.fr