Questions générales

Mise à jour le

25-07-2025

1.1. Qui est concerné par le RGPD ?

Le RGPD s’applique à toute organisation ou personne physique effectuant un traitement de données personnelles :

Si l’organisation ou personne physique est établie sur le territoire de l’union européenne
Si son activité touche à la collecte, au stockage et/ou à l’utilisation de données à caractère personnel de citoyens de l’UE

Toutes les organisations établies sur le territoire français sont donc concernées par le règlement, parmi lesquelles les collectivités territoriales, quelle que soit leur taille.

Référence :

Art 3 du RGPD

1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union
[...]

1.2 Quelles sont les obligations pour les collectivités ?

Les éléments essentiels que la collectivité doit prendre en compte pour être en conformité avec le RGPD :

1. Formalités

Nommer un DPO (Délégué à la Protection des Données)
Déclarer le DPO à la CNIL (Commission Nationale Informatique et Libertés)

2. Accueil de la mairie

Les accès aux locaux sont-ils sécurisés ?
La porte de la mairie est-elle fermée en l'absence d'une personne à l’accueil ?
Le contenu de l’écran de la ou du secrétaire de mairie est-il visible par le public ?
Des clés USB sont-elles à la portée du public ?

3. Postes de travail

Les postes de travail sont-ils protégés par login et mot de passe ?
Les postes de travail sont-ils verrouillés automatiquement ?
Utilisez-vous un anti-virus mis à jour régulièrement ?
Disposez-vous d'une charte informatique des bonnes pratiques de l'utilisation des données personnelles ?

4. Gestion des mots de passe

Appliquez les exigences de la CNIL en matière d’authentification par mot de passe : https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
Utilisez KeePass, un logiciel de gestion de mots de passe https://docs.ternum-bfc.fr/outil-gestion-mots-passe-keepas

5. Sécurisez les données

Sensibilisez l‘ensemble de l’équipe aux règles de sécurité élémentaires proposées par la CNIL
Faites des sauvegardes (p.e. un disque dur externe) et conservez-les dans un emplacement sécurisé.
Sécurisation des échanges (évitez Gmail, les clés USB accessibles à l'ensemble des agents, etc).
Évitez les outils en ligne qui envoient des données aux Etats-Unis comme ceux de Google.
Si vous avez des sous-traitants (cf. les sous-traitants), formalisez et encadrez la relation : voir https://rgpd-registre.e-bourgogne.fr/sous-traitants

6. Traitements

Identifiez les données utilisées par votre organisme
Organisez-les en fonction des finalités pour lesquelles elles sont utilisées
Créez votre registre de traitements.

7. Informez

Informations obligatoires lors de la collecte de données (cf. collecte de données)

1.3 Quelles sont les obligations auxquelles les collectivités territoriales doivent répondre ?

Les traitements de données ne nécessitent plus d'une autorisation en amont par la CNIL. On est passés d'une logique d'autorisation à une logique de responsabilisation : si vous traitez une donnée, vous devez être en mesure de prouver à tout moment que ce traitement respecte le RGPD.

Vous êtes responsable de la sécurité des données que vous traitez. À ce titre, vous devez être en mesure d'assurer qu’il n’y a ni perte, ni vol, ni accès non autorisé à ces données. (voir page sécurité de Super Chef).
Vous devez faire en sorte que tous les droits des personnes dont vous traitez les données puissent être effectifs.
Vous devez informer les personnes concernées d’un certain nombre d’informations obligatoires.
Vous devez recenser les informations relatives aux activités ou traitements que vous réalisez avec les données, pour élaborer un registre de traitement.
Vous devez examiner le contrat avec vos sous-traitants : il doit contenir leurs obligations en matière de droit des personnes ou de sécurité du traitement, pour plus de détails consultez la page : https://rgpd-registre.ternum-bfc.fr /sous-traitants
Vous êtes censé documenter toute violation de données à caractère personnel
Vous devez effectuer une analyse d’impact pour tout traitement de données susceptible d’engendrer des risques élevés pour la vie privée des personnes concernées.

1.4 A quoi sert le RGPD?

Le Règlement Général sur la Protection des Données à caractère personnel, permet d'encadrer le traitement et la circulation des données au sein des organismes. Il s'agit aussi d'harmoniser le panorama juridique européen en matière de protection des données à caractère personnel.

Ce texte oblige tout organisme qui traite des données à caractère personnel à respecter le règlement afin de se mettre en conformité.

> Suivant