Base de connaissances RGPD

Le RGPD soulève beaucoup de questions et il n’est pas simple de retenir toutes les réponses. C’est pour cette raison que nous avons développé une base de connaissances qui recense les questions courantes concernant le RGPD. Vous pouvez accéder aux questions et réponses via la liste complète de questions.

Questions générales

1. Qui est concerné par le RGPD ?
2. Quelles sont les obligations pour les collectivités ?
3 Comment mettre en pratique le RGPD ?
4. À quoi sert le RGPD ?

Le DPO

5. Suis-je obligé de nommer un DPO pour ma mairie ?
6. Est-il possible de nommer un DPO pour plusieurs entités publiques ?
7. Quel est le rôle du DPO ?
8. Quelle responsabilité pour le DPO en cas de non-respect du RGPD ?
9. Un responsable informatique peut-il être désigné DPO ?
10. Le maire peut-il être DPO ?
11. Et la secrétaire de mairie ?
12. Devons-nous inscrire le DPO auprès de la CNIL ?
13. Quelles sont les compétences attendues d’un DPO ?
14. Faut-il donner une lettre de mission au DPO ?

Le responsable de traitement

15. Comment déterminer qui est le responsable de traitement ?
16. Qu’est-ce qu’un responsable conjoint ?
17. Quelle est la responsabilité de ma collectivité vis-à-vis du RGPD ?
18. Nouveau maire : qu’est ce qui change pour le DPO ?

Données personnelles

19. Qu’est-ce qu’une donnée à caractère personnel ?
20. Toutes les données à caractère personnel doivent-elles être traitées de la même manière ?
21. Qu’est-ce qu’une donnée sensible ?
22. Le numéro de téléphone et l’adresse e-mail professionnels d’une personne peuvent-ils être considérés comme des « données à caractère personnel » ?

Finalité

23. Qu’est-ce que la finalité d’un traitement ?  
24. Peut-on utiliser les données d’un traitement pour un autre ?

Base juridique ou légale des traitements

25. Qu’est-ce que la base légale d’un traitement ?
26. Comment déterminer la base légale d’un traitement ?
27. Quelles sont les bases juridiques prévues par le RGPD ?
28. Quelle est la différence entre la finalité et la base légale d’un traitement ?

 

Focus sur le consentement

29. Le consentement est-il nécessaire pour tous les traitements ?
30. Quelle est la différence entre le consentement des utilisateurs et les informations obligatoires à donner aux utilisateurs ?
31. Quels sont les critères de validité du consentement ?
32. Le consentement dans le BtoB (entre professionnels)

Collecte de données

33. Quelles sont les mentions d’information à donner aux personnes concernées ?
34. Que faut-il faire si les données n’ont pas été collectées auprès de la personne concernée ?

Localisation des données

35. Qu’est qu’une cartographie de données ? Est-elle obligatoire ?
36. Comment trouver et localiser toutes les données à caractère personnel ?
37. Faut-il déclarer un traitement pour chaque fichier ou je stocke des données à caractère personnel ?
38. Les documents papiers sont-ils concernés par le RGPD ?

Sous-traitance

39. Qu’est-ce qu’un sous-traitant ?
40. Comment faire la différence entre un sous-traitant et un prestataire ?
41. Le Trésor Public, l'INSEE, sont-ils des sous-traitants ? Comment identifier un sous-traitant ?
42. La banque ou la compagnie d’assurances sont-ils des sous-traitants ?
43. Quelles sont les obligations des sous-traitants ?
44. Le sous-traitant a t-il le droit de transférer des données en dehors de l’Union Européenne ?
45. Que doit prévoir le contrat de sous-traitance ?

Sécurité et sensibilisation

46. Comment sécuriser le traitement des données à caractère personnel dans ma collectivité ?
47. Pourquoi doit-on sensibiliser le personnel de ma collectivité au RGPD ?
48. Comment réaliser cette sensibilisation ?

 Durée de conservation

49. La durée de conservation est-elle définie par le responsable de traitement ou par les textes législatifs ? 
5.0 Quelle est la logique sous-jacente des durées de conservation ?
51. Où trouver des exemples de durée de conservation ?

Droits des personnes

52. Quels sont les droits des personnes concernées vis-à-vis de leurs données ?
53. Quelles sont les exceptions des droits des personnes relatives aux traitements de leurs données ?
54. Une personne demande des informations sur ses données stockées. Par quel moyen doit-on transmettre ces informations et sous quelle forme ?

Registre de traitements

55. À quoi sert le registre d’activité de traitement ?
56. Quels sont les documents qui constituent le dossier de conformité ?
57. Les traitements réalisés par une école doivent-ils être intégrés au registre de traitements de la collectivité ?
58. Les traitements réalisés par l’agence postale communale doivent-ils être intégrés au registre de traitements de la collectivité ?
59. Comment utiliser les modèles de traitement de Super Chef ?
60. Le registre doit-il être envoyé à la CNIL ?
61. Si quelqu’un me demande le registre de traitements, suis-je obligé de le lui fournir ?

Violation des données

62. Qu’est-ce qu’une violation de données à caractère personnel ? Dans quel délai faut-il réagir ?
63. Que doit-on faire si on constate une violation de données ?
64. À qui doit-on signaler une violation de données ?
65. Doit-on signaler une violation aux personnes concernées dans tous les cas ?
66. Combien de temps avons-nous pour déclarer une violation des données à la CNIL ?

Analyse d’impact

67. Dans quel cas recourir à une analyse d’impact relative à la protection des données ?
68. Quels sont les traitements nécessitant une analyse d'impact pour une collectivité ?
69. Avez-vous un exemple d’analyse d’impact d’une collectivité ?

Super Chef

70. Quelles ressources propose Super Chef ?
71. Quelle est l’utilité de la page “Mes documents” de Super Chef ?
72. Comment utiliser le “Plan d’action” de Super Chef ?

Cookies & traceurs

73. Cookie & traceur : qu'est-ce que c'est?

74. Cookies & traceurs : quelles obligations ?

Questions diverses

75. Qui contrôle le respect du RGPD ?
76. Le BREXIT aura-t-il des conséquences sur les données hébergées au Royaume-Uni ?

Questions générales

Le RGPD s’applique à toute organisation ou personne physique effectuant un traitement de données personnelles :

• Si l’organisation ou personne physique est établie sur le territoire de l’union européenne
• Ou si son activité touche à la collecte au stockage et/ou à l’utilisation de données à caractère personnel de citoyens de l’UE

Toutes les organisations établies sur le territoire Français sont donc concernées par le règlement, parmi lesquelles les collectivités territoriales, quelle que soit leur taille.

Revenir à la table de matières

Les éléments essentiels que la collectivité doit prendre en compte pour être en conformité avec le RGPD :
. Formalités 

• Nommez un DPO
• Déclarez votre DPO à la CNIL

. Accueil de la mairie

• Les accès aux locaux sont-ils sécurisés ?
• La porte de la mairie est fermée lorsqu’il n’y a personne à l’accueil ?
• Est-ce que le contenu de l’écran de la secrétaire de mairie est visible par le public ?
• Des clés USB sont à la portée du public ?

. Postes de travail

• Les postes de travail sont protégés par login et mot de passe ?
• Les postes de travail sont verrouillés automatiquement ?
• Utilisez-vous un anti-virus mis à jour régulièrement ?
• Une charte informatique des bonnes pratiques des données personnelles ?

. Gestion des mots de passe

• Les exigences de la Cnil en matière d’authentification par mot de passe sur la page : https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
• Utilisation généralisée de KeePass : logiciel de gestion de mots de passe https://docs.ternum-bfc.fr/outil-gestion-mots-passe-keepas

 Sécurisez les données

• Sensibiliser ‘ensemble de l’équipe aux règles de sécurité élémentaires proposées par la CNIL
• Faites des sauvegardes (p.e. DD externe) et conservez-les dans un emplacement sécurisé.
• Sécurisation des échanges (évitez Gmail, clés USB accessibles à l'ensemble des agents, etc).
• . Sous-traitants et prestataires
• Evitez les outils de Google, Dropbox, etc
• Si vous avez des sous-traitants, formalisez et encadrez la relation : voir https://rgpd-registre.e-bourgogne.fr/sous-traitants

. Traitements

• Identifiez les données utilisées par votre organisme
• Organisez-les en fonction des finalités pour lesquelles elles sont utilisées
• Créez votre registre de traitements. 

. Informez

• Informations obligatoires lors de la collecte de données

Revenir à la table de matières

3. Quelles sont les obligations auxquelles les collectivités territoriales doivent répondre ?

Responsabilité des traitements : les traitements ne sont plus autorisés en amont par la CNIL. Vous devez désormais pouvoir prouver à tout moment que vos traitements respectent le RGPD.
Vous êtes responsable de la sécurité des données que vous traitées. A ce titre, vous devez assurer qu’il n’y a ni perte, ni vol, ni accès non autorisé à ces données. (voir page sécurité de Super Chef).
Vous devez faire en sorte que tous les droits des personnes dont vous traitez les données puissent être effectifs.
Vous devez informer les personnes concernées d’un certain nombre d’informations obligatoires.
Vous devez recenser les informations à propos des activités ou traitements que vous réalisez avec les données, pour élaborer un registre de traitement.
Vous devez revoir le contrat avec vos sous-traitants, qui contient ses obligations en matière de droit des personnes ou de sécurité du traitement, pour plus de détails consultez la page : https://rgpd-registre.e-bourgogne.fr/sous-traitants
Vous êtes censé documenter toute violation de données à caractère personnel
Vous devez effectuer une analyse d’impact pour tous traitement de données susceptible d’engendrer des risques élevés pour la vie privée des personnes concernées.

Revenir à la table de matières

4. À quoi sert le RGPD ?

Le Règlement Général sur la Protection des Données à caractère personnel permet d'encadrer le traitement et la circulation des données au sein des organismes. Il s'agit aussi d'harmoniser le panorama juridique européen en matière de protection des données à caractère personnel.

Ce texte oblige toute organisme qui traite des données à caractère personnel à respecter le règlement afin de se mettre en conformité.

DPO

5. Suis-je obligé de nommer un DPO pour ma mairie ?

Oui, le RGPD précise qu‘un DPO doit être désigné lorsque le traitement est effectué par une autorité publique ou un organisme public et cela concerne les collectivités.

Revenir à la table de matières

6. Est-il possible de nommer un DPO pour plusieurs autorités publiques ?

Oui, cette pratique est autorisée par l’article 37 du RGPD, qui indique explicitement qu’un seul DPO peut être désigné par plusieurs autorités publiques.
Cependant, la mutualisation des fonctions de DPO ne doit pas nuire ou ralentir l’exercice de l’une de ses missions.

Revenir à la table de matières

7. Quel est le rôle du DPO ?

Le DPO facilite la mise en conformité de votre organisme avec le RGPD. 
Plus précisément, le DPO informe et conseille le responsable du traitement et les employés sur les obligations en matière de traitement de données, contrôle le respect du RGPD, préconise toute analyse d’impact nécessaire, coopère avec l’autorité de contrôle.
Pour plus de détails, consultez la page : https://rgpd-registre.e-bourgogne.fr/lettre-mission

Revenir à la table de matières

8. Quelle est la responsabilité du DPO si votre collectivité ne respecte pas le RGPD ?

En cas de non-respect du RGPD, le DPO ne sera pas responsable vis-à-vis de la CNIL. C’est le responsable de traitement ou le sous-traitant qui porte la responsabilité et qui doit être en mesure de démontrer que les traitements sont effectués conformément au présent règlement.

En revanche, en France, il existe des situations où le Délégué pourrait, comme n'importe quel autre employé ou agent, voir sa responsabilité pénale engagée :

• S’il enfreint intentionnellement les dispositions pénales des règles protectrices des données personnelles.
• Ou en tant que complice s’il aide le responsable du traitement ou le sous-traitant à enfreindre ces dispositions pénales.

Référence article CNIL, consulté le 18/06/2020 : https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-quelle-responsabilite-pour-le-delegue-la-protection-des

Revenir à la table de matières

9. Un responsable informatique peut-il être désigné DPO ?

Le DPO est la personne chargée de mettre en œuvre la conformité au RGPD. Il est donc celui ou celle qui juge si un traitement respecte ou pas le règlement.
Pour éviter tout conflit d’intérêts, le DPO ne peut pas occuper des fonctions au sein de son organisme, qui le conduisent à déterminer les finalités et les moyens d’un traitement, car dans ce cas, il se trouverait en position de juge et partie.
Il faut donc évaluer au cas par cas si le responsable informatique détermine les finalités et les moyens de traitement des données à caractère personnel. Si oui, il peut avoir un conflit d’intérêts et donc une incompatibilité.
Ce raisonnement est applicable à toutes les fonctions qui peuvent donner lieu à un conflit d’intérêts.
Dans tous les cas, on vous conseille de tracer votre raisonnement et de consulter la CNIL (service DPO si vous avez déjà été désigné.e) si la situation n’est pas claire.

Revenir à la table de matières

10. Le maire peut-il être DPO ?

Non, le maire d’une commune ne peut se désigner lui-même délégué à la protection des données personnelles.
En effet, un maire est considéré, au sens du RGPD, comme le responsable des traitements effectués par sa commune. Or, le DPO, en plus de sa mission de conseil et d’information, est tenu de contrôler la régularité de ces traitements, ce qui montre la distinction de ces deux rôles.

Revenir à la table de matières

11. Et la secrétaire de mairie ?

Cela est possible, mais à condition que cette nouvelle responsabilité n’aura pas d’impact sur l’exercice de son travail.
La secrétaire de mairie doit être capable de mener ses missions sans créer de conflits d’intérêts au sein de la collectivité.

Revenir à la table de matières

12. Devons-nous inscrire le DPO auprès de la CNIL ?

Une fois que la collectivité a désigné le DPO, elle doit procéder à son inscription en ligne auprès de la CNIL, qui vous propose une page permettant de déclarer le DPO : https://designations.cnil.fr/dpo/designation/organisme.designant.delegue.action

Revenir à la table de matières

13. Quelles sont les compétences attendues d’un DPO ?

 Idéalement, le DPO doit posséder des connaissances spécialisées de la législation et des pratiques en matière de protection des données. Son niveau d’expertise doit être adapté à l’activité de l’organisme pour lequel il est délégué et à la sensibilité des fichiers qui y sont mis en œuvre.

Revenir à la table de matières

14. Faut-il donner une lettre de mission au DPO ?

La lettre de mission concrétise l’accord entre la collectivité et le DPO et définit les taches que le DPO doit réaliser et celles qui restent à la charge de la collectivité ainsi que les obligations de chacun.
La rédaction de cette lettre n’est pas obligatoire, mais elle est conseillée pour garantir l’effectivité de ses missions.
Vous pouvez préparer la lettre de mission sur Super Chef à partir de la page: https://rgpd-registre.e-bourgogne.fr/lettre-mission , il suffit de remplir les informations du formulaire.

Revenir à la table de matières

Responsable des traitements de données

15. Comment déterminer qui est le responsable de traitement ?

Selon la CNIL, le responsable de traitement est la personne morale (entreprise, commune, service, etc.) o’u physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.
Par exemple, dans le cadre du plan départemental d’alerte et d’urgence la collectivité est responsable des traitements de données des personnes vulnérables puisque c’est elle qui détermine la finalité et les moyens du traitement;

Revenir à la table de matières

16. Qu’est-ce qu’un responsable conjoint?

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement
Par exemple, Territoires Numériques et chacun de ses adhérents, se positionnent en tant que responsables conjoints des services de la plate-forme.

Revenir à la table de matières

17. Quelle est la responsabilité de ma collectivité vis-à-vis du RGPD ?

Votre collectivité est censée se conformer rapidement aux exigences du RGPD car les plafonds des sanctions sont particulièrement élevés. Avant d’arriver à la pénalité maximum, la collectivité pourra faire l’objet d’un premier avertissement si par exemple les traitements réalisés sont susceptibles de violer les dispositions du présent règlement ou encore d’une mise en demeure pour le contraindre à finaliser sa mise en conformité.
En effet, si la collectivité choisit de ne pas se mettre en conformité malgré les mises en garde préalables, le montant des sanctions peut s’élever jusqu’à 20 millions d’euros selon la gravité des faits.

Revenir à la table de matières

18. Nouveau maire : Qu’est ce qui change pour le DPO ?

Le changement du maire dans une collectivité entraîne un changement de la déclaration du DPO par rapport aux informations renseignées sur le responsable du traitement.

Suite à ce changement la collectivité doit :

• Adresser un mail à la CNIL expliquant la situation avec mention du numéro de désignation du DPO afin de demander l'annulation de la déclaration
• Refaire une nouvelle inscription avec les informations du nouveau maire 

Revenir à la table de matières

 
Données personnelles

19. Qu’est-ce qu’une donnée à caractère personnel ?

Les données à caractère personnel englobent toutes les informations relatives à une personne identifiée ou identifiable. Cette identification peut être directe en reliant immédiatement une donnée à une personne exemple son nom, image... ou indirecte à partir du croisement d’un ensemble de données par exemple un homme de nationalité ruse vivant à Beaune et travaillant dans le secteur industriel.
Ne sont pas considérées comme données personnelles les coordonnées d’une structure, exemple le nom de la structure, l’adresse postale, le numéro de téléphone de son standard...

Revenir à la table de matières

20. Toutes les données personnelles sont-elles traitées de la même manière ?

La donnée dite « sensible » est à distinguer d’une donnée à caractère dite « personnel » du fait que le traitement présente un risque plus élevé pour les droits et libertés des personnes concernées ce qui nécessite un niveau de sécurité supplémentaire.
Par exemple le traitement plan départemental d’alerte et d’urgence, nécessitent une vigilance particulière et des mesures techniques et organisationnelles appropriées car c’est un traitement qui collecte des données sensibles qui pourraient avoir un impact sur les personnes concernées si le risque produisait. 

Revenir à la table de matières

21. Qu’est ce qu’une donnée sensible ?

La donnée sensible est une donnée qui permet de connaître la race, l’ethnie, la tendance religieuse, l’opinion politique ou le syndicat d’une personne. Elle aide également à obtenir des informations sur son état de santé et son orientation sexuelle.

Revenir à la table de matières

22. Le numéro de téléphone et l’adresse e-mail professionnels d’une personne peuvent-ils être considérés comme des « données à caractère personnel » ?

Oui, toute information pouvant être utilisées pour identifier de manière directe ou indirecte une personne sont des données à caractère personnel y compris les informations professionnelles.
Cependant, toute information professionnelle n’est pas forcement identifiante.

Par exemple :

• contact@mamairie.fr (adresse mail de la collectivité): L’adresse mail de la collectivité n’est pas considérée comme une donnée personnelle car elle n’identifie pas une personne physique
• Steph.dupond@mamaire.fr ( Adresse mail d’un agent): Dès que le nom et/ou le prénom de la personne physique y sont intégrés, l’adresse mail professionnelle est bien considérée comme étant une donnée personnelle

Revenir à la table de matières

Finalité

23. Qu’est-ce que la finalité d’un traitement ?

Déterminer la finalité des traitements de données à caractère personnel est une obligation essentielle imposée par le RGPD. Cette finalité répond aux questions de pourquoi est-ce que la collectivité collecte ces données et quel est l’objectif poursuivi avec l’utilisation de ces données.
Les données doivent être collectées pour un but bien déterminé et légitime et ne doivent pas être traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.
Exemples de finalité :

• Gestion financière et comptable de la collectivité
• Gestion des cimetières
• Gestion des listes électorales

Revenir à la table de matières

 

24. Peut-on utiliser les données d’un traitement pour un autre ?

Oui, mais uniquement si la nouvelle finalité est compatible avec la finalité initiale.
Exemple : Dans le cadre du plan départemental d’alerte et d’urgence, la collectivité peut utiliser les informations de la liste électorale pour informer les habitants de la mise en place du plan afin que ces personnes puissent procéder à l’inscription au registre.
Par voie d’exception la CNIL autorise aux collectivités dans le cadre d’urgence du coronavirus, à utiliser le fichier de la taxe d’habitation pour extraire les données strictement nécessaires à la distribution des masques.

Revenir à la table de matières

Base juridique ou légale des traitements

25. Qu’est-ce que la “base légale” d’un traitement ?

La base légale est le fondement juridique qui autorise légalement et donne le droit à un organisme de traiter les données personnelles de façon licite.
Les bases légales auxquelles vous pouvez faire appel sont limitées et définies par le règlement :

• Le consentement de la personne concernée au traitement de ses données;
• Le traitement est nécessaire à l’exécution d’un contrat,
• Le respect d’une obligation légale de la collectivité (par exemple le traitement lié à la gestion administrative de ses personnels)
• Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
• Le traitement est nécessaire à l’exécution d’une mission d’intérêt public.
• Traitement fondé sur un un intérêt légitime, sachant que l’organisme doit vérifier au préalable que ses intérêts ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. Par contre le RGPD prévoit que l’intérêt légitime ne peut pas constituer la base légale d’un traitement mis en œuvre par une autorité publique dans l’exécution de ses missions.

Cette base légale doit être figurée dans le registre de traitement pour prouver que les données personnelles sont traitées avec respect.

Revenir à la table de matières

26. Comment déterminer la base légale d’un traitement ?

L’identification de la base légale est une opération décisive, qui doit intervenir avant toute mise en œuvre du traitement des données.
Par exemple :

•  Les mairies doivent gérer l’Etat Civil. Cette gestion répond aussi bien à une obligation légale à laquelle la mairie est soumise qu’à une mission d’intérêt public. La mairie peut dans ce cas invoquer ces deux bases légales.
• Le traitement lié à la gestion administrative du personnel est tenu conformément aux dispositions législatives et réglementaires, ainsi qu’un dispositif contractuel entre la mairie et le personnel, ce traitement est donc fondé sur deux bases légales: nécessaire à l’exécution d’un contrat et à une obligation légale que la mairie est soumise.

En effet, chaque traitement doit être fondé sur au moins l’une des bases juridiques prévues par le RGPD.

Revenir à la table de matières

27. Quelles sont les bases juridiques prévues par le RGPD ?

Les bases juridiques définies par le RGPD sont :

• Le consentement de la personne concernée
• Le traitement est nécessaire à l'exécution du contrat
• Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis
• Le traitement est nécessaire à la sauvegarde des intérêts vitaux d'une personne
• Le traitement est nécessaire à l'exécution d'une mission d'intérêt public
• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers

Revenir à la table de matières

28. Quelle est la différence entre la finalité et la base légale d’un traitement ?

La base légale est le fondement juridique qui vous permet de réaliser un traitement de façon licite. Tandis que la finalité du traitement indique l’objet principal de l’utilisation des données à caractère personnel.
Tout traitement de données à caractère personnel doit être fondé sur une base légale et une finalité bien définie.

Revenir à la table de matières

Focus sur le consentement

29. Le consentement est-il nécessaire pour tous les traitements ?

Tout traitement doit se baser sur l’une de bases juridiques prévues par le RGPD :

• Le consentement
• L’exécution d’un contrat
• Une obligation légale
• intérêt publique
• Intérêt légitime

Le consentement n’est donc qu’un fondement juridique parmi d’autres, sur lequel on peut s’appuyer pour traiter des données personnelles.

Revenir à la table de matières

 

30. Quelle est la différence entre les informations obligatoires à donner aux personnes concernées par un traitement et la collecte du consentement de ces mêmes personnes ?

ll faut distinguer :
Le devoir d’informer les personnes des traitements qui leur concernent.
Le devoir d’avoir une base juridique pour réaliser tout traitement (consentement, contrat, intérêt légitime...).
Concernant le devoir d’information, tout responsable de traitements doit informer les personnes concernées de façon transparente et compréhensible de :

1. L’identité et les coordonnées du responsable de traitement et le cas échéant les coordonnées du DPO
2. La finalité du traitement et sa base juridique
3. Les destinataires des données
4. L’existence d’un transfert des données hors UE ou pas
5. La durée de conservation des données
6. Les droits des personnes concernées et les moyen de les faire effectifs

Quant à la collecte du consentement, il ne s’agit que de garder une trace de cette base juridique en vue d’utiliser les données dans une finalité précise.

Revenir à la table de matières

 

31. Quels sont les critères de validité du consentement ?

3 critères doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

1. Libre et claire : Le consentement doit être libre de toute pression ou contrainte et il doit être adapter au niveau de compréhension des utilisateurs
2. Spécifique : Le consentement doit correspondre à un seul traitement, pour une finalité déterminée
3. Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté à l’expression du consentement ne peut demeurer.

Revenir à la table de matières

32. Le consentement dans le BtoB (entre professionnels)

Avec le public en général, le principe c’est qu’il n’y a pas de sollicitation tant que la personne ne donne pas son consentement.
Dans le cadre professionnel, le principe est que la personne doit, au moment de la collecte de ses données, être informée que ces données seront utilisées à des fins de prospection et qu’elle soit en mesure de s’opposer à cette utilisation de manière simple, vous devez aussi vous assurez que la sollicitation soit en rapport avec la profession de la personne démarchée.
Pour plus d’informations consultez les pages de la Cnil dédiées à la prospection commerciale : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique
https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000006465785&dateTexte=&categorieLien=cid

Revenir à la table de matières

Collecte de données

33. Quelles sont les mentions d’information à donner aux personnes concernées ?

Le RGPD impose de transmettre à la personne concernée une information concise, transparente, compréhensible et aisément accessible. Cette information permet à la personne :

• De connaître la raison de la collecte de données ;
• De comprendre le traitement qui sera fait de sa donnée ;
• De faciliter l’exercice de ses droits.

Les informations que la collectivité doit fournir aux personnes concernées sont :

• Identité et coordonnées du responsable du traitement et du DPO ;
• Finalités du traitement ;
• Base légale du traitement de données, c’est-à-dire la raison juridique qui vous permet de traiter les données;
• Destinataires ou catégories de destinataires des données ;
• Durée de conservation des données (ou critères permettant de la déterminer) ;
• Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements)
• Droit d’introduire une réclamation auprès de la CNIL.

Revenir à la table de matières

34. Que faut-il faire si les données n’ont pas été collectées auprès de la personne concernée ?

Dans ce cas, le responsable de traitement doit transmettre à ces personnes dans un délai qui ne dépasse pas un mois, toutes les informations visées dans la question 21 et il devra lui informer si ses données vont être utilisées à d’autres fins.

Revenir à la table de matières

Localisation des données

35. Qu’est qu’une cartographie de données ? Est-elle obligatoire ?

Pour répondre aux exigences du RGPD la collectivité doit tenir une documentation interne complète sur ses traitements de données personnelles (registre de traitement) et s’assurer qu’elle respecte bien les obligations légales. Pour ce faire la collectivité peut s’appuyer sur une cartographie des différents traitements, afin de recenser où se trouvent les données qui circulent au sein de la collectivité. 
La cartographie n’est donc pas obligatoire mais c’est un support utile car elle offre une vue globale des données personnelles collectées et traitées par la collectivité. Une bonne cartographie est une étape déterminante dans la réussite de sa mise en conformité.

Revenir à la table de matières

36. Comment localiser et trouver toutes les données pour la cartographie ?

La première chose à faire est de lister toutes les activités de traitement mises en œuvre par la collectivité, c’est à dire recenser :

• L’ensemble des opérations possibles sur des données personnelles,
• Les catégories de données personnelles traitées,
• Les objectifs poursuivis par les opérations de traitements de données
• Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires et sous-traitants afin d’actualiser les clauses de confidentialité ;
• Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

Vous aurez une vision complète des données utilisées et traitées par votre collectivité et vos prestataires.
Vous pouvez vous inspirer de la liste de traitement des communes sur la page suivante :  https://rgpd-registre.e-bourgogne.fr/node/13

Revenir à la table de matières

37. Faut-il déclarer un traitement pour chaque fichier où je stocke des données à caractère personnel ?

Non. Il ne faut pas confondre un fichier et un traitement. Pour faire la distinction, dîtes-vous que les fichiers sont les données (téléphone, e-mail, rémunération, ...) et que les traitements sont les usages que vous faites de ces données (envoi de newsletter, bulletin de paie).
En suivant cette logique, pour réaliser un traitement comme la paie plusieurs fichiers peuvent être nécessaires. Inversement, parfois un seul fichier peut servir à plusieurs traitements. Par exemple le fichier de la taxe d’habitation peut également servir pour la distribution des masques par les collectivités territoriales. 
Dans la plupart des cas, les mêmes fichiers sont utilisés par plusieurs traitements. Prenons l’exemple du service RH qui utilise plusieurs logiciels et fichiers, qui en termes de RGPD ne constituent souvent que 3 traitements : 

• Gestion administrative du personnel
• Gestion des recrutements
• Gestion des rémunérations et des formalités administratives

Revenir à la table de matières

38. Les documents papiers sont-ils concernés par le RGPD ?

Le RGPD utilise la notion de « fichier », qui est « L’ensemble structuré de données à caractère personnel accessibles selon des critères déterminés ». A noter que le règlement ne dit rien sur le support (papier, informatique ou autre) de ce fichier.
Un traitement de données personnelles n’est donc pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
A titre d’exemple, une série de papiers contenant des tableaux de données structurés utilisant le même format, seraient concernés par le RGPD. A contrario, un simple numéro de téléphone sur un post-it ne le serait pas car cette donnée ne serait pas structurée.

Revenir à la table de matières

Sous-traitance

39. Qu’est ce qu’un sous-traitant ?

Est considéré comme sous-traitant toute personne physique ou morale traitant des données à caractère personnel pour le compte et sous l’autorité d’un responsable de traitement.
Lorsqu’une entreprise gère, conserve, traite la totalité ou une partie de certaines données personnelles pour le compte d’une autre entreprise, elle est donc considérée comme étant un sous-traitant.
Par exemple : la commande d’un logiciel de gestion de projet avec des fonctionnalités personnalisées

Revenir à la table de matières

40. Comment faire la différence entre un sous-traitant et un prestataire ?

Pour faire la distinction entre un sous-traitant et un prestataire, vous pouvez poser les questions suivantes :
Niveau d’autonomie du prestataire dans la réalisation du traitement. Est-il libre dans la manière dont il traite les données personnelles ? Ou suit-il les instructions de la collectivité ?
 La surveillance exercée par la collectivité. Est qu’on est en mesure de surveiller la manière dont il traite les données personnelles, et de contrôler sa conformité aux instructions données ?
Est-ce que nous définissons d’une façon quelconque la façon dont les traitements sont faits ou l’on suscrit une prestation prédéfinie sur laquelle on a aucune influence ?
Donc, si le service réalisé par la société est influencé par les instructions de la collectivité on peut dire que c’est un sous traitant, mais si au contraire la société réalise le service de façon autonome et ne suit pas les instructions dans ce cas la société est considérée comme un prestataire.

Revenir à la table de matières

41. Le Trésor Public, l'INSEE, sont-ils des sous-traitants ? Comment identifier un sous-traitant ?

Il est important de noter que le sous-traitant réalise des traitements pour le compte du responsable du traitement.
Pour qualifier un prestataire de sous-traitant il faut notamment que celui-ci suive les instructions du responsable du traitement et ce, avec une marge d’autonomie limitée.
En l’occurrence, L’INSEE réalise ses fonctions sans suivre aucune instruction des mairies et en poursuivant ses propres finalités. De ce fait L’INSEE n’est pas un sous-traitant des mairies.

Revenir à la table de matières

42. La banque ou la compagnie d’assurances sont des sous-traitants ?

Normalement la banque et la compagnie d’assurances définissent de façon autonome quelles sont leurs prestations (p.e.: un compte courant, une assurance véhicule) et la collectivité ne fait qu’adhérer à leur offre. Dans ce cas, il faut considérer qu’il s’agit d’un prestataire et pas d’un sous-traitant.
Mais si la banque ou la compagnie d’assurances réalisent des traitements pour le compte de la collectivité et en suivant ses instructions dans ce cas elles peuvent être considérées comme étant des sous-traitants.
Par exemple : la mise en place avec la banque d’un système de paiement en ligne ayant des contraintes de traitement et de sécurité particulières que la collectivité a spécifié.

Revenir à la table de matières

43.Quelles sont les obligations des sous-traitants ?

Le RGPD exige que la relation de la collectivité avec les sous-traitants soit encadrée strictement. Le document qui régit cette relation (contrat, annexe, avenant, ...) doit contenir :
Des informations sur chaque traitement que le responsable confie au sous-traitant : finalité, nature, type de données collectées, catégories de personnes concernées et durée du traitement.
Les obligations du responsable et celles du sous-traitant, en particulier en ce qui concerne l’exercice de droits, la sécurité et la notification de violation de données à caractère personnel.
Vous avez à votre disposition un modèle d’avenant sur les ressources de Super Chef : https://rgpd-registre.e-bourgogne.fr/ressources
Pour plus de précisions veuillez-vous référer à l’Art 28

Revenir à la table de matières

44.Le sous-traitant a-t-il le droit de transférer des données en dehors de l’Union Européenne ?

Oui sous certaines conditions. Le RGPD encadre strictement les transferts de données à caractère personnel de résidents européens vers des destinations situées en dehors de l’Espace économique européen. Dans certains cas, vous devez mettre en place un mécanisme juridique spécifique, tel qu’un contrat, ou adhérer à un mécanisme de certification afin de permettre ces transferts.

• Le pays de destination (hors UE) a fait l’objet d’une décision d’adéquation
• Le transfert fait l’objet de garanties appropriées pour la protection des données personnelles

Revenir à la table de matières

45. Que doit prévoir le contrat de sous-traitance ?

Le contrat doit prévoir que le sous-traitant :

• Traite les données personnelles seulement sur instructions documentées du responsable de traitement et uniquement pour la finalité qui fait l’objet de la sous-traitance ;
• Veille à ce que les opérationnels traitant les données personnelles soient tenus à la confidentialité (les modalités dépendent de la sensibilité des données, à préciser en annexe au contrat),
• Assure la sécurité du traitement ;
• Respecte les conditions pour recourir à son tour à la sous-traitance ;
• Répercute à tout nouveau sous-traitant éventuel les obligations prises avec le responsable de traitement ;
• Aide le responsable de traitement par des mesures techniques et organisationnelles, à exécuter ses obligations à l’égard des personnes qui font l’objet de traitements,
• Aide le responsable de traitement à garantir le respect des obligations concernant la sécurité des données personnelles, la réalisation d’analyse d’impact et la consultation préalable de la CNIL,
• Selon le choix du responsable de traitement, supprime toutes les données personnelles ou les lui renvoie au terme de la prestation, et détruit les copies des traitements de données existantes (à préciser en annexe au contrat),
• Met à la disposition du responsable de traitement toutes les informations documentant le respect de ces obligations vis-à-vis du RGPD.

Rendez-vous sur la page “Ressources” de l’outil, pour voir un modèle de contrat de sous traitant : https://rgpd-registre.e-bourgogne.fr/ressources

Revenir à la table de matières

 Sécurité et de sensibilisation

46. Comment sécuriser le traitement des données à caractère personnel dans ma collectivité ?

Afin de sécuriser les données au sein de la collectivité, nous vous proposons 7 points de contrôle concernant la sécurité des données:

• La première chose à sécuriser c’est les mots de passe , puisque c’est le point d’accès à tous les services, donc sa faible sécurisation est considérée comme la première cause des attaques informatiques. Pour éviter le danger de façon simple. Vous devez utiliser des mots de passe forts et faciles à retenir, et les renouveler selon une périodicité pertinente et raisonnable et surtout ne jamais enregistrer les mots de passe dans votre navigateur.
• Le 2éme point de contrôle concerne les appareils mobiles, qui peuvent contenir des données à caractère personnel ce qui présente des risques accrus de perte ou de volet et sont souvent moins sécurisé. Pour éviter le risque, vous devez protéger le téléphone avec un mot de passe ou un schéma de verrouillage pour l’activer quand il est en veille et surtout séparer les usages personnels des usages professionnels;
• Le 3éme point à contrôler c’est les postes de travail, qui nécessitent des mesures de sécurité strictes. Pour ce faire, vous devez vérifier que chaque poste de travail est protégé par login et mot de passe au démarrage et qu’il dispose d’un anti-virus mis à jour régulièrement;
• Le 4éme point à vérifier c’est la sensibilisation du personnel à la protection des données, car c’est impossible de protéger les données si les usages des personnes qui les utilisent ne sont pas adaptés. Donc vous devez organiser une mini séance de sensibilisation via des formations internes aussi vous pouvez utiliser les affiches qui vous sont proposées sur Super Chef ; https://rgpd-registre.e-bourgogne.fr/ressources
• Le 5éme point à vérifier c’est les sauvegardes, vous devez faire des copies pour préserver vos données, plus concrètement il faut identifier les appareils et supports qui contiennent des données à caractère personnel, faire des copies et les sauvegardées sur un dispositif comme un disque dur externe;
• Le 6ème point concerne les mises à jour : Vous devez activer les mises à jour automatiques des applications et surtout téléchargez les mises à jour uniquement depuis les sites officiels.
• Puis le 7éme point concerne la protection des locaux, comme il n’y a pas de protection des données sans protection des accès aux locaux et aux bureaux, vous devez vous assurer que la porte de la mairie soit fermée à clé lorsqu’il n’y a personne à l’accueil et que les clés ne soient pas à la portée de tout le monde.

Pour plus de détails consultez la page sécurité globale sur Super Chef : https://rgpd-registre.e-bourgogne.fr/securite

Revenir à la table de matières

47. Pourquoi doit-on sensibiliser le personnel de ma collectivité au RGPD ?

Parce que en cas de non-conformité des traitements de votre collectivité vis-à-vis du RGPD, c’est votre collectivité qui verra sa responsabilité engagée.
Prenons l’exemple d’un agent qui n’est pas formé aux risques liés aux mots de passe. Il a l’habitude d’utiliser un mot de passe trop simple qu’il utilise aussi bien pour accéder à ses comptes personnels que professionnels. Dans ce cas, le risque de piratage de son mot de passe est découplé par le fait que le pirate aura accès à tous ses comptes personnels et professionnels.

Revenir à la table de matières

48. Comment réaliser cette sensibilisation ?

Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée est l’une des exigences du RGPD. Pour rendre cela effectif, la collectivité doit former et sensibiliser ses personnels à la protection des données, avec des rappels périodiques. Les moyens utilisés peuvent être des messages par email, des affiches collées à la mairie, des petites séances d’information sur des sujets concrets comme les mots de passe, etc.
Vous pouvez utiliser les affiches qui vous sont proposées sur Super Chef : https://rgpd-registre.e-bourgogne.fr/ressources

1. Les questions du chef.
2. La démarche Super Chef RGPD
3. Bonnes pratiques de sécurité informatique
4. Les mots de passe n’ont plus de secret pour vous.

Revenir à la table de matières

Durée de conservation

49. Les durées de conservation sont définies par le responsable du traitement ou par les textes législatifs ?

Les données doivent être conservées le minimum nécessaire vis-à-vis des finalités du traitement. Si une norme juridique impose une durée de conservation, celle-ci doit être respectée. En cas contraire, le responsable des traitements doit déterminer pendant combien de temps il est nécessaire de conserver le fichier.
Par exemple :

• les données relatives à la gestion de la paie peuvent être conservées pendant 5 ans (obligation définie par un texte législatif : Article L3243-4 du Code du travail)
• Les données relatives à la liste électorale la durée de conservation est maximum 3 ans (obligation définie par un texte législatif : Dispense n°12 délibération n°2008-116 du 20 mai 2008)
• Les données relatives au plan départemental d’alerte et d’urgence sont conservées tant que la personne concernée ou son représentant légal ne manifeste pas son souhait d’être désinscrite du fichier. (Défini par le responsable de traitement en fonction des besoins du traitement)

Revenir à la table de matières

50. Quelle est la logique sous-jacente des durées de conservation ?

Il y a globalement deux critères qui déterminent la durée de conservation des données personnelles, dans certains cas la durée doit être liée aux finalités de traitement définies par le responsable de traitement, c’est à dire que si la finalité a été atteinte la donnée n’est plus nécessaire.
Dans d’autres cas, la donnée pourrait être conservée de façon indéfinie mais le législateur, en fonction de l’intérêt de la personne concernée prévoit des délais de conservation différents, par exemple :

• Les données issues d’un système de vidéosurveillance peuvent être conservées un maximum d’un mois ;
• Les délais de traitement des documents RH, pour produire les bulletins de paie, ne seront pas conservés plus de 5 ans ;
• Les délais de traitement des données de santé relatives aux dossiers médicaux, ne seront pas conservés plus de 10 ans ;

On observe que si le traitement est fait dans l’intérêt de la personne concernée, le législateur impose des durées de conservation plus longues car cela bénéficie à cette personne. Au contraire, si le traitement est réalisé dans l’intérêt de l’organisme, le législateur prévoit une courte durée pour conserver les données.

Revenir à la table de matières

51. Où trouver des exemples de durée de conservation ?

Vous pouvez trouver un référentiel de la CNIL qui prévoit des durées de conservation précises, sur la page ressources de Super Chef : https://rgpd-registre.e-bourgogne.fr/ressources

Revenir à la table de matières

 Droit des personnes

52. Quels sont les droits des personnes concernées vis-à-vis de leurs données ?

Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant la maîtrise des informations les concernant.
Le RGPD donne aux individus 8 droits liés aux traitements de leurs données personnelles. À noter que certaines exceptions sont applicables (par ex.: on ne peut pas effacer ses informations du registre civil) :

• Droit d’être informé : Vous devez informer les individus des données que vous possédez les concernant.
• Droit d’accès et de rectification : la personne concernée a le droit d’accéder aux informations la concernant et peut demander à tout moment la rectification des information inexactes ou incomplètes.
• Droit à l’effacement : l’individu a le droit de demander l’effacement de ses données.
• Droit à la limitation du traitement : l’individu a le droit de demander de limiter l’utilisation de ses données
• Droit à la portabilité des données : l’individu peut obtenir et réutiliser ses données personnelles à ses propres fins et pour d’autres services.
• Droit d’opposition : l’individu a le droit de s’opposer à tout moment au traitement des données personnelles.
• Droits liés à la prise de décision automatisée y compris le profilage : la personne concernée a le droit de contester l’utilisation de ses données personnelles pour des décisions prises sans l’intervention humaine, exemple : analyser son comportement pour évaluer sa performance au travail.

Revenir à la table de matières

 

53. Quelles sont les exceptions des droits des personnes relatives aux traitements de leurs données ?

Le RGPD a prévu des exceptions aux droits des personnes. Lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique, à des fins statistiques ou des missions d’intérêt public, le droit d’effacement ne s’applique pas selon l’Art 17 du RGPD.
L’Art 20, 21 du RGPD énoncent que le droit d’opposition et de portabilité ne s’appliquent pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.
Également, on ne peut pas faire valoir le droit à la suppression prévu par le RGPD pour faire supprimer ses données du Registre de l’État Civil. 
Cela montre que les droits des personnes relatifs aux traitements de leurs données ne sont pas des droits absolus.

Revenir à la table de matières

54. Une personne demande des informations sur ses données stockées. Par quel moyen doit-on transmettre ces informations et sous quelle forme ?

Il n'y a pas de forme légale. L’art. 15 du RGPD exige uniquement que « Lorsque la personne concernée en fait la demande par voie électronique, et sauf demande contraire de la personne concernée, les informations doivent être fournies sous une forme électronique communément utilisée. »
Donc la façon la plus simple de le faire serait par email, en y joignant par exemple un tableau Excel.

Revenir à la table de matières

Registre de traitement

55. À quoi sert le registre d’activité de traitement ?

C’est un outil de démonstration de votre conformité au RGPD, il vous permet de documenter tous vos traitements de données personnelles.
L’élaboration du registre implique pour la collectivité d’effectuer, au préalable, un état des lieux des traitements mis en œuvre sous sa responsabilité ( par exemple : gestion administrative du personnel, gestion de l’état civil, bulletin municipal, gestion de la facturation...)
Le RGPD impose à la collectivité d’enrichir le registre avec des informations liées au responsable de traitement, au DPO, à la finalité du traitement, aux destinataires, aux catégories des données et des personnes concernées.

Revenir à la table de matières

56. Quels sont les documents constituant le dossier de conformité ?

Être en conformité avec le RGPD ne suffit pas, encore faut-il pouvoir démontrer cette conformité. C’est l’élaboration et la mise à jour du registre de traitements qui peut constituer la preuve de cette conformité.
La collectivité doit donc, en premier lieu, disposer d’un registre qui liste les traitements qui ont eu lieu sous sa responsabilité. Y sera joint la description des procédures internes en cas de violation de données, les informations sur le DPO, les modèles de recueil du consentement et les procédures mises en place pour l’exercice des droits. L’analyse d’impact pourra compléter, le cas échéant, cette documentation. Le sous-traitant de la collectivité devra également tenir son propre registre d’activités.
Pour plus de précision consultez la page https://www.cnil.fr/fr/documenter-la-conformite

Revenir à la table de matières

57. Les traitements réalisés par une école doivent-ils être intégrés au registre de la collectivité ou peut-on estimer que c’est à l’Éducation Nationale de prendre en charge ce sujet ?

Rappelons 2 concepts :
Le responsable du traitement est celui qui définit les finalités et les moyens à mettre en œuvre pour réaliser un traitement.
De notre point de vue, la principale finalité des traitements qui sont effectués par les écoles, est d’éduquer les enfants. Cela est une mission de service publique qui fait partie des compétences de l’Éducation Nationale. La mairie peut fournir du matériel, mais c’est bien l’Éducation Nationale qui détermine tous les traitements qui sont faits à l’école se situant dans le rôle de responsable des traitements.
Un cas de figure différent serait si, dans le cadre de l’école, la mairie est à l’initiative d’un traitement indépendant. Par exemple, la mairie organise un concours avec les élèves et leur demande de s’inscrire pour y participer. Étant donné que ce traitement n’aurait pas été défini par l’Éducation Nationale, ce serait à la mairie de l’inscrire dans son registre et de veiller à que le RGPD soit respecté.

Revenir à la table de matières

58. Les traitements réalisés par l’agence postale communale doivent-ils être intégrés au registre de traitements de la collectivité ?

Ce qui va déterminer qui est responsable des traitements est la réponse à la question suivante : qui est à l’initiative ?
Si La Poste ne fait que mettre à disposition le matériel et que la mairie décide librement des traitements réalisés par l’agence postale communale, la mairie se place en tant que responsable des traitements.

Revenir à la table de matières

59. Comment utiliser les modèles de traitement de Super Chef ?

Pour vous accompagner et accélérer la saisie de traitements, Super Chef vous propose des fiches de traitement préremplies.
Les informations qu’elles contiennent sont génériques et vous devez vous assurer qu’elles correspondent à votre réalité et les adapter si besoin.

Revenir à la table de matières

60. Le registre doit-il être envoyé à la CNIL ?

Non, Le registre des activités de traitement de la collectivité ne doit pas être envoyé à la CNIL, il doit seulement être tenu à sa disposition en cas de contrôle.

Revenir à la table de matières

61. Si quelqu’un me demande le registre de traitements, suis-je obligé de le lui fournir ?

Il n’y a pas d’obligation à communiquer votre registre à quelqu’un, mais en vertu du principe de transparence, certains responsables de traitement choisissent de publier sur leur site internet tout ou partie de leur registre.

Revenir à la table de matières

Violation des données

62. Qu’est-ce qu’une violation de données à caractère personnel ?

Une violation de données à caractère personnel peut être :

• Une destruction de données : quand les données n’existent plus ou ne sont plus utilisables.
• Une perte de données : lorsque le responsable du traitement ne les possède plus ou ne peut plus y accéder.
• Une altération de données : si les données ont été modifiées, corrompues ou ne sont plus complètes.
• Un accès non autorisé aux données : par exemple la divulgation auprès de personnes non autorisées.

Revenir à la table de matières

 

63. Que doit-on faire si on constate une violation de données ?

En cas de violation de données personnelles, la collectivité est tenue d'informer la CNIL dans les meilleurs délais, “ au plus tard 72h ” et sous certaines conditions, les personnes concernées comme indiqué dans les questions suivantes (36 et 37).
La collectivité doit dans tous les cas documenter cette violation de données à caractère personnel dans le registre de violation en indiquant :
- La nature de la violation ;
- Les catégories et le nombre approximatif des personnes concernées ;
- Les catégories et le nombre approximatif de fichiers concernés ;
- Les conséquences probables de la violation ;
- Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
- Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.
Vous pouvez signaler et documenter toute violation de données sur Super Chef depuis la page : https://rgpd-registre.e-bourgogne.fr/violation
Le registre de violation et le document récapitulatif de la notification à la CNIL permettent de répondre à l’obligation de documentation interne.
En cas de risque élevé, vous devez également notifier les personnes concernées et, en cas de doute, notifier à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.

Revenir à la table de matières

64. À qui doit-on signaler une violation de données ?

D’après la CNIL, tous les organismes qui traitent des données personnelles doivent mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d’incident. Cette violation doit être signalée auprès de la CNIL sous un délai de 72 h maximum après en avoir pris connaissance, sinon elle doit être accompagnée d’un motif de retard.
Lorsqu’une violation de données menace les droits et les libertés des individus, vous devrez également informer la personne concernée sauf si vous avez mis en place des mesures qui rendent les données incompréhensibles (comme le chiffrement), ou des mesures qui neutralisent le risque.

Revenir à la table de matières

65. Doit-on signaler une violation aux personnes concernées dans tous les cas ?

Non, le responsable de traitement a l’obligation de communiquer une violation de données aux personnes concernées si la violation entraîne un risque élevé pour les droits et libertés de la personne et cela dans les meilleurs délais.
Cette communication n’est pas nécessaire si l’une des conditions prévues par l’article 34 du RGPD est remplie.

Revenir à la table de matières

 

66. Combien de temps avons-nous pour déclarer une violation des données à la CNIL ?

Vous avez 72 heures à partir de la prise de connaissance de la faille pour en informer la CNIL, sinon la déclaration doit être accompagnée d’un motif de retard.

Revenir à la table de matières

 Analyse d’impact

67. Dans quel cas recourir à une analyse d’impact relative à la protection des données ?

Dès lors que le traitement de données personnelles est susceptible d’engendrer des risques élevés pour la vie privée des personnes concernées, les collectivités territoriales devront effectuer des analyses d’impact.
Les traitements qui remplissent ces critères concernent la surveillance systématique de zones accessibles au public (télésurveillance), la collecte de données sensibles ou à large échelle, le traitement de données biométriques ou de données relatives à des infractions ou des condamnations pénales.
Vous pouvez consulter la liste de traitements pour lesquelles une analyse d’impact est requise https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

Revenir à la table de matières

68. Quels sont les traitements nécessitant une analyse d'impact pour une collectivité ?

Les traitements entrant dans le périmètre de l’analyse d’impact sont tous les traitements présentant des « risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités » comme précisé dans la question précédente. La collectivité remplit certains de ces critères en réalisant 3 traitements.
Liste des traitements qui nécessitent une analyse d’impact :

• Plan communal de sauvegarde (évènements de sécurité civile)
• Plan départemental d’alerte et d’urgence (personnes âgées, handicapées)
• Suivi de personnes vulnérables

Revenir à la table de matières

69. Avez-vous un exemple d’analyse d’impact d’une collectivité ?

Pour vous aider à comprendre la logique de l’analyse d’impact, nous avons réalisé 2 analyses d’impact :
La première concerne le traitement “plan départemental d’alerte et d’urgence” réalisé par une mairie qui ne respecte pas les exigences du RGPD.
La deuxième présente le traitement “plan communal de sauvegarde” réalisé par une mairie qui suit les exigences du RGPD et adopte des mesures de sécurité techniques et organisationnelles appropriées.
 Revenir à la table de matières

Super Chef

70. Quelles ressources propose Super Chef ?

La page ressources proposée par Super Chef englobe tous les documents qui vont vous aider à la mise en conformité au RGPD. La page contient :

• Des affiches de sensibilisation
• Des exemples de traitements des communes
• Des documents utiles relatifs à la collecte de données, à la durée de conservation, au contrat de sous-traitant, à la gestion des mots de passe, à la sensibilisation des personnes et à la sécurité numérique...

Vous pouvez consulter la page depuis : https://rgpd-registre.e-bourgogne.fr/ressources

Revenir à la table de matières

71. Quelle est l’utilité de la page “Mes documents” de Super Chef ?

Dans cette page vous retrouverez toutes les pièces jointes que vous avez ajoutées à Super Chef. Si par exemple, vous avez ajouté un document contenant votre cartographie de données dans la partie “Localiser les données”, et des documents concernant les avenants avec vos sous-traitants dans la partie “Les sous-traitants”, vous verrez tous ces document apparaître dans la rubrique “Mes documents”. Cette page constitue en quelque sorte un dossier de conformité.
Vous pouvez consulter la page ici : https://rgpd-registre.e-bourgogne.fr/mediatheque

Revenir à la table de matières

72. Comment utiliser le “Plan d’action” de Super Chef ?

Le plan d’action de Super Chef vous permet d’identifier et de prioriser les actions correctives que vous aurez identifiées pour combler les écarts et vous rapprocher de la conformité.
Le Plan d’action est réalisé à partir des données indiquées dans le registre des traitements, onglet “Plan d’action” qui se trouve dans la page outil de conformité, il est constitué des écarts que vous avez constatés avec chaque traitement et les actions mises en place pour corriger la situation.
Vous pouvez consulter la page depuis : https://rgpd-registre.e-.fr/rgpd/activite

Revenir à la table de matières

Cookies & traceurs

73. Cookie traceur : qu'est ce que c'est?

Un cookie est un petit fichier informatique, généralement constitué de lettres et de chiffres, qui permet d'enregistrer des informations relatives à la navigation de votre ordinateur sur le site interne.

Revenir à la table de matières

74. Cookies traceurs : quelles obligations ?

En application le RGPD, les traceurs (cookies ou autres) nécessitant un recueil du consentement ils ne peuvent être déposés ou lus, tant que la personne n’a pas donné son consentement.

En pratique, vous devez :

• Informer les internautes de la finalité des cookies. Dans la page politique de confidentialité, vous devez ajouter un paragraphe qui informe sur la finalité et la durée de conservation des informations collectées.
• Obtenir le consentement des internautes
• Fournir aux internautes un moyen de les refuser.

Les éditeurs ont donc l'obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.

Revenir à la table de matières

Questions diverses

75. Qui contrôle le respect du RGPD ?

En France, c’est la CNIL qui contrôle le respect du règlement RGPD. En effet, cette autorité administrative est chargée de faire respecter les atteintes à la vie privée et aux libertés des utilisateurs.
Vous pouvez la contacter directement sur son site https://www.cnil.fr/professionnel

Revenir à la table de matières

76. Le BREXIT aura-t-il des conséquences sur les données hébergées au Royaume-Uni ? Resterait-on dans le cadre du RGPD ?

Le RGPD (art. 3) indique que le règlement s’applique au traitement des données à caractère personnel des personnes qui se trouvent sur le territoire de l’Union Européenne si le traitement est lié :
- à une offre de biens ou de services
- au suivi du comportement de ces personnes
Dans la mesure où l’hébergement de données semble lié à une offre de services, les données ainsi hébergées au Royaume-Uni seraient concernées par le RGPD.
Le transfert de ces données vers le Royaume-Uni doit être encadré. Pour cela, ce transfert hors UE peut prendre appui sur :
- une décision d’adéquation de la Commission Européenne concernant certains pays assurant un niveau de protection.
- la mise en place de garanties adéquates.
Concernant la transposition du RGPD avec des lois internes britanniques, rien ne nous dit qu’une fois sortis de l’Union Européenne cette législation. L’ICO (CNIL britannique) dit que rien ne devrait bouger, mais rien n’est moins sûr.

Revenir à la table de matières