Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Données personnelles

Mise en œuvre du RGPD : comment documenter sa conformité

Publié le 17/01/2018 • Par Auteur associé • dans : Dossiers d'actualité, Fiches méthode, France

378 metadonnees de fonds darchives martin grandjean cc byy sa 3
Martin Grandjeau CC BY SA 3.0
Le règlement RGPD, relatif à la protection des personnes à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sera applicable en France dès le 25 mai. Le RGPD impose aux collectivités de se mettre en conformité avec les règles relatives à la protection des données et de pouvoir démontrer qu'elles les respectent. La documentation de la conformité repose en premier lieu sur l'élaboration et la mise à jour obligatoires d'un registre des traitements.

Elisa Corazza

Avocate - Cabinet Goutal, Alibert et associés

Se sentir concerné et mobiliser ses services avant le 25 mai 2018

Le règlement européen du 27 avril 2016 (règlement général sur la protection des données, RGPD) oblige chaque responsable de traitement de données à caractère personnel à constituer, regrouper et actualiser régulièrement un certain nombre de documents. Cette première étape est souvent décrite, quoi que l’on pense de la qualité de l’expression, comme l’obligation de « documenter ». Une fois la base d’information réunie, ses éléments doivent pouvoir être fournis sur simple demande de l’autorité de contrôle (en France, la Commission nationale informatique et libertés, la Cnil).

Toutes les collectivités publiques, quelle que soit leur taille, sont soumises à cet impératif qui prendra effet dès le 25 mai de cette année ; et aucune ne peut s’en considérer exonérée au motif qu’elle ne disposerait d’aucun matériel informatique : dès lors qu’elle dispose de la liste de ses électeurs sur support papier, ou encore d’un fichier sur ses agents, une collectivité réalise des traitements de données à caractère personnel. Il importe d’engager au plus tôt, si cela n’est pas déjà fait, l’élaboration de la documentation requise par le RGPD.

Il serait, en particulier, imprudent d’attendre l’adoption du projet de loi relatif à la protection des données personnelles (1). En effet, ce dernier ne fera que préciser ou compléter certaines des prescriptions du RGPD ; les collectivités qui se seront déjà mises en conformité avec le RGPD n’auront à procéder qu’à quelques aménagements mineurs au moment de son adoption – à une date qui reste inconnue.

Déterminer les éléments constituant le dossier de conformité

Cette première tâche est compliquée par le fait qu’il n’existe pas de « dossier standard » : le RGPD ne comprend pas de liste exhaustive définissant simplement sa composition. Le registre des traitements (2), document cartographiant précisément les traitements de données mis en œuvre, en constituera cependant la pièce maîtresse. Il est impératif d’établir ce document en priorité, afin de pouvoir, dans un second temps, identifier et concevoir, selon les caractéristiques des traitements recensés, les autres documents indispensables. C’est pourquoi, on s’attachera ici à donner des conseils pratiques concernant l’établissement de ce document en particulier.

On retiendra pour l’essentiel que devront dans tous les cas faire partie du dossier documentaire, outre le registre des traitements : la description des procédures et moyens adaptés pour la sécurité des traitements (3), les procédures internes en cas de violation de données (4), les informations sur le délégué à la protection des données (5) (description des missions, moyens, etc.), les mentions d’information à la personne concernée, les modèles de recueil du consentement et les procédures mises en place pour l’exercice des droits (6). Selon les cas seront en outre requises les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés envers les droits et libertés (7) (par exemple : les activités de vidéosurveillance) et/ou les éventuels contrats avec les sous-traitants) (8).

Le RGPD prévoit également, à titre facultatif, la possibilité pour les responsables de traitement de se voir délivrer une certification, attestant de leur conformité à la réglementation ; il faudra cependant attendre l’adoption du projet de loi relatif à la protection des données personnelles et ses textes d’application pour connaître les modalités de ce dispositif.

Etablir ou faire établir le registre des traitements propre à sa collectivité

Même lorsqu’elle confie la gestion de ses traitements de données à un tiers (par exemple : centre de gestion de la fonction publique territoriale pour la gestion de certains agents, sociétés de stockage de données, etc.), une collectivité doit disposer d’un registre listant les traitements qui ont lieu sous sa responsabilité (9).

Parallèlement, son éventuel sous-traitant devra tenir son propre registre des activités de traitement réalisées pour le compte du responsable du traitement. Le registre doit donc être établi individuellement pour chaque collectivité et ne pourra pas être mutualisé comme l’est, par exemple, la fonction de délégué à la protection des données (DPD). Il est en revanche concevable de confier la gestion de la documentation à un DPD mutualisé. Ce dernier devra alors tenir un registre pour chaque responsable de traitement par lequel il a été désigné.

Concrètement, il est recommandé d’associer à l’établissement du registre l’ensemble des agents

Article réservé aux abonnés Gazette
i

Contenu réservé aux abonnés

  • Gazette des communes

Pour lire la totalité de cet article, abonnez-vous à La Gazette

Cet article n’est pas disponible dans l’offre d’essai du club. Pour lire la totalité de cet article, abonnez-vous au à La Gazette

Votre offre d’essai est arrivée à terme. Pour lire la totalité de cet article, abonnez-vous au à La Gazette

S'abonner Déjà abonné ? connexion

Cet article fait partie du Dossier

Données personnelles : un gisement sous haute protection

Sommaire du dossier

  1. Données personnelles : ce que dit la (nouvelle) loi française
  2. Le bloc communal à la traîne pour désigner les délégués à la protection des données
  3. Point complet sur le règlement européen relatif aux données personnelles
  4. Protection des données personnelles: une responsabilité des collectivités très encadrée
  5. Données personnelles : appliquer la nouvelle réglementation en six étapes clés
  6. Données personnelles : un délégué externalisé, la solution pour bon nombre de collectivités
  7. RGPD : les RH doivent s’interroger sur le traitement des données de leurs agents
  8. « Le self data permet au citoyen d’améliorer son quotidien »
  9. Données personnelles et commande publique : de nouvelles clauses contractuelles à prévoir
  10. Le self data met l’habitant au centre des décisions sur son territoire
  11. RGPD : protéger les données à caractère personnel dès la conception des traitements
  12. Mise en œuvre du RGPD : comment documenter sa conformité
  13. Réaliser une analyse d’impact pour protéger les données en cinq étapes
  14. Désigner un délégué à la protection des données au sein de sa collectivité en 6 étapes
  15. Comment gérer les droits des agents et des administrés en matière de données personnelles en 7 étapes
  16. Données personnelles : la mise en conformité n’attend plus
  17. Données personnelles : 5 règles à respecter pour protéger les citoyens
  18. Données à caractère personnel : « Les citoyens demandent des règles claires et précises »
  19. Améliorer les services, mieux cibler les politiques publiques, avec les données personnelles
  20. Charente-Maritime : les agents sensibilisés à la protection des données à caractère personnel
  21. Les données personnelles, une denrée sous-utilisée par les collectivités
Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Mise en œuvre du RGPD : comment documenter sa conformité

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement