A compter du 25 mai, avec l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), les collectivités seront responsables des données personnelles qu’elles possèdent. Il leur appartiendra de prendre toutes les mesures utiles afin d’assurer une protection optimale et permanente de celles-ci : c’est le principe d’accountability. On passe – sauf dans le cas des données les plus sensibles, où des formalités préalables restent d’actualité – d’une logique de contrôle a priori, avec des démarches administratives lourdes, à une logique de contrôle a posteriori, d’autocontrôle dynamique et permanent, sous le regard et avec l’accompagnement de la Cnil. Pour se préparer à ce changement de philosophie, plusieurs étapes sont nécessaires.
Désigner un pilote
C’est la priorité. Il faudra, d’ici le 25 mai, nommer un délégué à la protection des données personnelles (DPD). Celui-ci aura différentes missions. D’une manière générale, c’est lui qui pilotera la mise en conformité de la collectivité à la nouvelle réglementation, puis qui contrôlera l’application de celle-ci dans le temps. Il devra notamment informer et conseiller, de façon indépendante, le « responsable de traitement », chef de l’exécutif de la collectivité. De même, la sensibilisation, voire la formation, de l’ensemble des agents de sa collectivité est l’une de ses principales tâches (lire ci-dessous). D’ailleurs, dès sa nomination, il lui est recommandé de faire savoir à l’ensemble des agents sa désignation. Pour l’aider dans ses fonctions, la Cnil préconise de choisir des relais internes, appelés « relais informatique et libertés » dans les différents services.
Mais attention, le choix du délégué ne peut se faire à la légère. Virginie Langlet, correspondante informatique et libertés (CIL) du département des Alpes-Maritimes, explique ainsi que « le pilote doit être désigné pour ses qualités professionnelles et techniques. Il peut être intéressant qu’il ait déjà suivi des formations, ou qu’il soit prêt à en suivre, car il doit attester de la mise à jour de ses compétences tout au long de sa mission ». Et ce n’est pas la seule contrainte. La personne désignée doit être à l’abri des conflits d’intérêts. « Il ne peut s’agir ni du directeur général des services ni du directeur des systèmes d’information », précise Laurence Kerviel, juriste au centre de gestion du Finistère. A noter que le poste de DPD peut être mutualisé ou externalisé, une solution avantageuse pour les petites communes. Le formulaire nécessaire à la désignation du DPD sera prochainement disponible sur le site de la Cnil.
Cartographier les traitements de données personnelles
Le recensement de l’ensemble des traitements de données personnelles, telles les opérations concernant la collecte, l’enregistrement ou la consultation de ces données, peut être initié avant même la nomination officielle d’un DPD. Le tout est à consigner dans un registre des traitements, qui doit être
[70% reste à lire]
Article réservé aux abonnés
Club Techni.Cités
Cet article fait partie du Dossier
Données personnelles : ce qu'il faut faire pour respecter le RGPD
1 / 9
article suivantSommaire du dossier
- Données personnelles : appliquer la nouvelle réglementation en six étapes clés
- Tout savoir sur la communication des courriers électroniques
- Désigner un délégué à la protection des données au sein de sa collectivité en 6 étapes
- Tout savoir sur le délégué à la protection des données
- Personne publique et covid-19, gare à la collecte de données de santé !
- RGPD : protéger les données à caractère personnel dès la conception des traitements
- Réaliser une analyse d’impact pour protéger les données en cinq étapes
- Mise en œuvre du RGPD : comment documenter sa conformité
- Tout savoir sur le droit des personnes à maîtriser leurs données
Domaines juridiques
