Offres
API
Connexion
Documents similaires
Déliberation - DELIB 4 PJ CONVENTION RGPD 54
Déliberation - delib 5 pj convention de servitude enedis
Déliberation - delib 9 pj convention citeo
Acte - 2022 02 02 Convention RGPD 54
Déliberation - delib 7 pj convention ancv 2023
Déliberation - delib 3 pj convention referent deontologue des e
Déliberation - delib 4 pj convention rgpd54
Déliberation - DELIB 5 Adhésion à la RGPD proposeé par le CDG54
Déliberation - ns 19 pj convention prestation integree xdemat
Déliberation - delib 5 pj convention prestations a lacte
Déliberation - DELIB 5 pj Convention Rgpd 54
Document publié le Mercredi 13 juillet 1983 par la commune d'Essey-lès-Nancy.
Lien du pdf (Déliberation - DELIB 5 pj Convention Rgpd 54)
Thèmes du document : Données personnelles, Consommateurs, Justice et droit,
CONVENTION DE MISSION D’ACCOMPAGNEMENT POUR LA MISE EN CONFORMITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL AU REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD)
Les termes de la présente convention sont régis par :
- la loi n°83-634 du 13 juillet 1983 modifiée portant droits et obligations des fonctionnaires ;
- la loi n°84-53 du 26 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique territoriale ;
- le décret n°85-643 du 26 juin 1985 relatif aux centres de gestion institués par la loi n°84-53 du 26 janvier 1984 modifiée ;
- la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés;
- Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entrant en application le 25 mai 2018 (dit Règlement Général sur la Protection des données, soit « RGPD ») ;
- le décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi modifiée n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- La délibération du conseil d'administration du centre de gestion de Meurthe-et Moselle n°17/65 du 29 novembre 2017: Organisation de la mutualisation de la mission relative au Délégué à la Protection des Données.
- la délibération du conseil d'administration du centre de gestion de Meurthe-et- Moselle n°18/17 du 29 janvier 2018 – Mise en place effective de la mission DPD ;
- la délibération du conseil d'administration du centre de gestion de Meurthe-et- Moselle n°18/30 du 22 mars 2018 – Poursuite de la mise en place de la mission RGPD – DPD ;
- La délibération du conseil d’administration du centre de gestion de Meurthe-et- Moselle n°21/40 du 1er décembre 2021 – Nouvelle convention RGPD 2022-2024.
CECI ETANT EXPOSE, ENTRE:
Le centre de gestion de la fonction publique territoriale de Meurthe-et-Moselle, représenté par son Président en exercice, Monsieur Daniel MATERGIA, agissant en cette qualité et en vertu de la délibération n° 20/38 et des
délibérations citées dans le préambule, ci-après désigné « Le CDG 54 » d'une part,
ET
La collectivité, Type de collectivité (Commune, SIVU etc.) Nom de la collectivité, représentée par nom et prénom , qualité (Maire / Président),
située Adresse postale , ci-après désignée « La collectivité » en dernière part,
Etant ensemble désignés « Les Parties » et individuellement « La Partie ».
IL EST CONVENU CE QUI SUIT : Préambule:
Le règlement européen 2016/679 dit « RGPD » est entré en vigueur le 25 mai 2018. Il introduit un changement de paradigme fondé sur la responsabilisation a priori des acteurs traitant de données personnelles et un renversement corollaire de la charge de la preuve, ainsi que de nombreuses modifications en matière de sécurité des données à caractère personnel.
Le RGPD n’est ni un document de prescriptions, ni un document d’interdictions. C’est un règlement d’encadrement qui fixe des obligations et des principes, mais les solutions permettant son respect incombent au responsable de traitement.
Au regard de l’importance du respect des obligations et des principes posés par le RGPD, des réponses techniques à apporter ainsi que de l'inadéquation potentielle entre les moyens dont la collectivité dispose et lesdites obligations de mise en conformité, la mutualisation de cette mission avec le centre de gestion de la fonction publique territoriale de Meurthe-et-Moselle présente un intérêt certain.
Le centre de gestion de la fonction publique territoriale de Meurthe-et-Moselle propose en conséquence d’exercer une mission d’accompagnement à la conformité au RGPD auprès de collectivités et d’établissements publics volontaires de Meurthe-et-Moselle.
Le centre de gestion de la fonction publique territoriale de Meurthe-et-Moselle peut donc accéder aux demandes d’accompagnement desdits collectivités et établissements publics et partager avec eux son expertise et ses moyens tant en personnel qu’en solution informatique.
ARTICLE 1 : OBJET
La présente convention a pour objet de définir la mission d’accompagnement de la collectivité cosignataire par le CDG 54 dans la mise en conformité au RGPD de ses traitements de données à caractère personnel.
ARTICLE 2 : DEFINITIONS DES ACTEURS
Les présentes définitions s'entendent au sens des articles 4, pris en son 7°, ainsi que 37 à 39 de la règlementation européenne (Règlement européen 2016/679, susvisé).
Deux acteurs de la protection des données sont à définir clairement :
Le Responsable de traitement
Le RGPD définit le responsable d'un traitement de données à caractère personnel comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ». En pratique, le responsable de traitement est incarné par le représentant légal de la collectivité, sauf désignation expresse contraire par des dispositions législatives ou réglementaires relatives à ce traitement.
Le responsable de traitement est : type et dénomination complète de la
collectivité/établissement public. Il est représenté légalement par : nom - prénom - maire/président. L’adresse électronique de contact est : adresse email . La collectivité pourra à tout moment modifier l’adresse électronique de contact dans son ESPACE RGPD.
Le Délégué à la Protection des Données (dénommé ci-après le « DPD »)
Sa désignation est obligatoire pour toute collectivité ou organisme public.
Par la présente, la collectivité désigne auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), le CDG 54 comme étant son Délégué à la protection des données personnelles en qualité de « personne morale ».
Le Délégué à la Protection des Données s’assure que ses agents intervenant au titre de la mission d’accompagnement à la conformité au RGPD des traitements de données personnelles disposent des qualités professionnelles et, en particulier, des connaissances spécialisées du droit et des pratiques en matière de protection des données, et de leur capacité à accomplir les missions visées à l'article 39 du RGPD.
ARTICLE 3 : DESIGNATION DU DELEGUE A LA PROTECTION DES DONNEES
La collectivité effectue les démarches de désignation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) du DPD défini à l’article 2 de la présente, au moyen du télé-service de déclaration de la CNIL (https://www.cnil.fr/fr/designation-dpo) sauf modalité contraire indiquée par la CNIL.
Le CDG 54 met à la disposition de la collectivité les ressources documentaires permettant à la collectivité d’y procéder.
La désignation du DPD prend effet un mois après la date de réception de la notification à la CNIL.
ARTICLE 4 : MODIFICATION DES ACTEURS
En cas de modifications dans la désignation des acteurs définis à l’article 2 de la présente (par exemple : changement d’identité du responsable légal, de coordonnées, …), les Parties s'engagent à s'informer mutuellement de tout changement sous un délai de 30 jours maximum. La collectivité s’engage à notifier à la CNIL toute modification concernant les acteurs désignés.
ARTICLE 5: FIN DE MISSION DU DPD
Au terme de la présente convention ou en cas de dénonciation de celle-ci, visée aux articles 13 et 16 ci-après, la collectivité notifie à la CNIL la fin de la mission du CDG 54 comme DPD « personne morale » de la collectivité.
En outre, le CDG 54 pourra informer la CNIL de la fin de sa mission comme DPD « personne morale » de la collectivité. ARTICLE 6 : TROIS NATURES DISTINCTES DE SERVICES
Le CDG 54 propose à la collectivité trois natures complémentaires de services :
1. Un socle de prestations de conformité au RGPD, service défini à l’article 7 de la présente, au bénéfice duquel l’adhésion de la collectivité à la présente convention donne droit.
Ainsi que, de manière facultative et à la demande de la collectivité :
2. La réalisation par le CDG 54 d’un audit de conformité au RGPD de la collectivité, défini à l’article 8 de la présente.
3. L’exécution de prestations « sur mesure » de conformité au RGPD, définies à l’article 9 de la présente.
ARTICLE 7 : LE SOCLE DE PRESTATIONS DE CONFORMITE AU RGPD
Le socle de prestations de conformité au RGPD est constitué des prestations de services suivantes :
- Accès à un espace numérique « ESPACE RGPD » (7.1) ;
- Communications, informations et sensibilisations relatives à la protection des données personnelles (7.2) ;
- Mise à disposition d’un questionnaire d’audit RGPD (7.3) ;
- Traitement des cas pratiques et des demandes de renseignements en lien avec la protection des données personnelles et la mise en œuvre de la mission (7.4) ; - Accompagnement en cas de demande d’exercice de droits (7.5) ; - Accompagnement en cas de violation de données personnelles (7.6) ; - Accompagnement dans la réalisation d’une analyse d’impact relative à la protection des données (AIPD) (7.7) ;
- Accompagnement dans les relations avec la CNIL (7.8).
Chacune des prestations susvisées est détaillée ci-après.
7.1 – Accès à un espace numérique « ESPACE RGPD »
Le CDG 54 fournit à la collectivité un accès dédié et restreint, protégé par un identifiant et un mot de passe créés et gérés par ladite mission , à un espace numérique dénommé ESPACE RGPD.
L’accès à l’ESPACE RGPD vise notamment à permettre à la collectivité :
- De comprendre ses obligations au regard du RGPD et de faciliter la mise en conformité au RGPD de ses traitements de données à caractère personnel.
- De piloter et de suivre la conformité au RGPD de ses activités de traitement de données personnelles.
- D’accéder à son registre des activités de traitement de données personnelles, de le mettre à jour et de le télécharger dans un format informatique permettant une portabilité et une poursuite aisée de son exploitation en cas de dénonciation de la convention par l’une des Parties.
- De disposer d’un livrable de préconisations relatif au registre des activités de traitement de la collectivité ; ce livrable est constitué d’un ensemble d’éléments pratiques, de conseils et de recommandations destinés à permettre à la collectivité de renforcer la conformité au RGPD de ses activités de traitements. Il est actualisé en cas d’ajout d’un nouveau traitement par la collectivité dans son espace RGPD.
- De centraliser les éléments de la documentation probatoire de conformité au RGPD.
- D’accéder à un ensemble de ressources documentaires et informatives relatives à la compréhension du RGPD, à la conformité à celui-ci, et à la diffusion d’une culture relative à la protection des données au sein de la collectivité.
- De contacter directement par voie électronique les experts du CDG 54 en matière de protection de données personnelles.
7.2 – Communications, informations et sensibilisations relatives à la protection des données personnelles
La collectivité est rendue destinataire, à l’adresse électronique de contact qu’elle a renseignée dans l’ESPACE RGPD, des diverses actions de communication, d’information et de sensibilisation relatives à la protection des données personnelles, quel que soit le support, que le CDG 54 met en œuvre à l’attention de l’ensemble des collectivités adhérentes à la mission.
La collectivité tient à jour l’adresse électronique de contact ainsi que l’ensemble des informations la concernant renseignées dans l’ESPACE RGPD et, le cas échéant, les modifie dans les meilleurs délais directement dans l’ESPACE RGPD.
7.3 – Mise à disposition d’un questionnaire d’audit RGPD
L’établissement d’un registre des activités de traitements constitue une obligation centrale de la protection des données personnelles et participe à la documentation de la conformité ; l’article 30 du RGPD prévoit sa tenue et dispose de son contenu.
Si la collectivité ne dispose pas d’un registre de ses activités de traitement, le CDG 54 met à la disposition de la collectivité un questionnaire lui permettant d’identifier, d’auditer et de renseigner, conformément aux dispositions du RGPD, chacune des activités de traitement de données personnelles qu’elle met en œuvre. Le questionnaire vise également à recueillir diverses informations précises concernant la collectivité et nécessaires au bon fonctionnement de la mission.
Le CDG 54 crée, sur la base des informations renseignées par la collectivité, et met à disposition sur l’ESPACE RGPD le registre des activités de traitement de la collectivité.
Dans le cas où la collectivité n’a pas terminé de renseigner le questionnaire d’audit et de diagnostic RGPD visé par la précédente convention 1 RGPD, elle dispose de la faculté
1 Convention de mise à disposition de personnel pour la mise en conformité des traitements de données à caractère personnel à la loi Informatique et Libertés et à la règlementation européenne technique de poursuivre la démarche qu’elle a initiée.
La collectivité met à jour régulièrement le registre à la faveur de nouveaux traitements de données personnelle (traitements nouvellement identifiés ou réalisés) ou de modifications fonctionnelles et techniques (par exemple, nouvelle catégorie de données collectées, évolution de la durée de conservation, nouveau destinataire du traitement, etc.) apportées aux conditions de mise en œuvre de ses traitements. Pour cela, l’ESPACE RGPD offre à la collectivité une fonctionnalité technique lui permettant de modifier et de tenir à jour aisément son registre des activités de traitement de données personnelles.
7.4 – Traitement de cas pratiques et des demandes de renseignements en lien avec la protection des données personnelles et la mise en œuvre de la mission
La collectivité utilise le bouton « Contacter votre DPD » de l’ESPACE RGPD.
Le CDG 54 accuse réception de la demande de la collectivité sous deux jours ouvrés.
Le CDG 54 apporte réponse dans un délai maximal de 12 jours ouvrés pour les demandes relatives :
au suivi de la mission,
à la gestion administrative et financière de la présente convention, à la conformité de traitements de données personnelles existants ou à venir, nécessitant une analyse sous le prisme du RGPD ou requérant un avis sur un document.
Le délai de traitement par le CDG 54 peut dépasser les 12 jours ouvrés après accusé de réception, dans la limite de 25 jours ouvrés, pour toute demande nécessitant spécifiquement :
la rédaction d’un support d’information de personnes concernées (hors document de politique de confidentialité/de protection des données à caractère personnel), de clauses contractuelles ou conventionnelles dans le champ exclusif de la protection des données,
de mentions d’informations relatives à la protection des données, la création d’une fiche pratique.
En cas de nécessité, le CDG 54 pourra solliciter auprès de la collectivité des informations complémentaires nécessaires au bon traitement de la demande. Le délai de réponse du CDG 54 sera prolongé d’une durée équivalente au délai de transmission par la collectivité des éléments requis.
Si une demande de la collectivité est déjà en cours d’examen par le CDG 54 , le délai de réponse à la nouvelle demande sera effectif à compter de la date de réponse à la précédente demande.
Le CDG 54 traitera dans leur ordre d’arrivée les demandes de la collectivité, sauf priorisation contraire déterminée et communiquée par celle-ci.
Eu égard aux délais fixés par le RGPD, le CDG 54 traite toutefois en priorité les sollicitations de conseil de la collectivité relatives aux violations de données personnelles et aux demandes d’exercice de droits, respectivement visées aux articles 7.6 et 7.5 de la présente convention. Pour sa part, la collectivité, pour chacune de ses demandes, s’engage à :
- Veiller à la complétude des informations indispensables à la bonne appréciation de la demande par le CDG 54. Les informations nécessaires concernent : le contexte et à la problématique de la demande ou de l’utilisation du document considéré, les éventuels textes législatifs sous-jacents, la liste exhaustive des finalités, la liste exhaustive des destinataires et des personnes concernées, la liste exhaustive des données nécessaires pour l’atteinte de la (des) finalité(s) ainsi que les durées de conservation envisagées ou définies.
- Transmettre au CDG 54 les éléments complémentaires demandés par lui. - Prioriser les demandes, en cas de sollicitations simultanées ou multiples.
7.5 – Accompagnement en cas de demande d’exercice de droits
Les articles 15 à 22 du RGPD ont trait aux droits que les personnes concernées peuvent exercer auprès du responsable de traitement.
L’article 12 du RGPD dispose notamment des modalités d’exercice de ces droits et des obligations générales du responsable de traitement en la matière.
Ces obligations incombent à la collectivité en sa qualité de responsable de traitement. Leur respect ne saurait engager la responsabilité du CDG 54.
A – Cas de demandes d’exercice de droits adressées par les personnes
concernées directement au délégué à la protection des données
Dans ce cadre, le CDG 54 s’engage à :
- Transmettre la demande à la collectivité, sous 2 jours ouvrés à compter de sa réception.
- Conseiller la collectivité dans l’analyse de la demande et dans l’élaboration de la réponse à apporter.
La collectivité s’engage à :
- Assurer la gestion administrative des demandes d’exercice des droits. - Mener les investigations permettant de répondre précisément à la demande exercée.
- Recueillir les pièces et données personnelles visées par la demande exercée. - Fournir au CDG 54 les informations demandées par lui pour analyser la
demande exercée.
- Dans les formes adéquates et dans le respect des délais fixés par le RGPD, faire réponse à la personne concernée accompagnée le cas échéant des données personnelles et pièces sollicitées, procéder à toute communication au titre des articles 15 à 22 du RGPD ainsi que, le cas échéant, effectuer les démarches attachées à l’exercice du droit visé.
- Tenir informé le CDG 54 des réponses, communications et démarches éventuelles effectuées.
- Mettre en place, si son organisation le justifie, un parcours interne pour le traitement des demandes de droit d’accès.
- Tenir un registre des demandes d’exercice de droits par les personnes concernées ; à cet égard, une fonctionnalité est à la disposition de la collectivité dans l’ESPACE RGPD.
B – Cas de demandes d’exercice de droits adressées par les personnes
concernées directement auprès de la collectivité
Dans ce cas, la collectivité peut solliciter le conseil du CDG 54 de manière appropriée et en temps utiles pour respecter les délais de réponse fixés par le RGPD.
En cas de sollicitation par la collectivité, le CDG 54 s’engage à :
- Conseiller la collectivité dans l’analyse de la demande et dans l’élaboration de la réponse à apporter.
- Accuser réception de la demande de sollicitation de conseil sous 2 jours ouvrés. - Transmettre son conseil dans un délai de 2 jours ouvrés après accusé de réception.
La collectivité s’engage à:
- Assurer la gestion administrative des demandes d’exercice des droits. - Mener les investigations permettant de répondre précisément à la demande exercée.
- Recueillir les pièces et données personnelles visées par la demande exercée. - Veiller à la complétude des informations indispensables à la bonne appréciation de la demande par le CDG 54.
- Fournir au CDG 54 des informations complémentaires demandées par lui pour analyser la demande exercée.
- Dans les formes adéquates et dans le respect des délais fixés par le RGPD, faire réponse à la personne concernée accompagnée le cas échéant des données personnelles et pièces sollicitées, procéder à toute communication au titre des articles 15 à 22 du RGPD ainsi que, le cas échéant, effectuer les démarches attachées à l’exercice du droit visé.
- Tenir informé le CDG 54 des réponses, communications et démarches éventuelles effectuées.
- Mettre en place un parcours interne pour le traitement des demandes de droit d’accès.
- Tenir un registre des demandes d’exercice de droits par les personnes
concernées.
C – Engagements de la collectivité
Dans chacun des deux cas de figures considérés précédemment, la collectivité s’engage à :
- Assurer la gestion administrative des demandes d’exercice des droits. - Mener les investigations permettant de répondre précisément à la demande exercée.
- Recueillir les pièces et données personnelles visées par la demande exercée. - Fournir au CDG 54 les informations demandées par lui pour analyser la
demande exercée.
- Dans les formes adéquates et dans le respect des délais fixés par le RGPD, faire réponse à la personne concernée accompagnée le cas échéant des données personnelles et pièces sollicitées, procéder à toute communication au titre des articles 15 à 22 du RGPD ainsi que, le cas échéant, effectuer les démarches attachées à l’exercice du droit visé.
- Tenir informé le CDG 54 des réponses, communications et démarches
éventuelles effectuées. - Mettre en place, si son organisation le justifie, un parcours interne pour le traitement des demandes de droit d’accès.
- Tenir un registre des demandes d’exercice de droits par les personnes
concernées ; à cet égard, une fonctionnalité est à la disposition de la collectivité dans l’ESPACE RGPD.
7.6 – Accompagnement de la collectivité en cas de violation de données personnelles
Les articles 33 et 34 du RGPD ont trait aux obligations du responsable de traitement concernant les violations de données personnelles quant à, respectivement, leur notification à l’autorité de contrôle et à leur communication auprès des personnes concernées.
L’article 33 du RGPD dispose notamment qu’ « en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».
Ces obligations incombent à la collectivité en sa qualité de responsable de traitement. Leur respect ne saurait engager la responsabilité du CDG 54.
En cas de constatation d’une violation de données ou d’une suspicion de violation de données, la collectivité s’engage à :
- Informer le CDG 54 dans un délai maximal de 24 heures après la découverte de la violation de données en utilisant le bouton « Contacter votre DPD » de l’ESPACE RGPD. Si, et seulement si l’outil n’est pas accessible, la collectivité utilisera tout autre moyen pour informer le CDG 54 dans les délais requis.
- Fournir les informations nécessaires à l’établissement de la notification initiale à la CNIL dans un délai maximal de 24 heures après le constat : nature de la violation, rappel des circonstances de la constatation de la violation, date et heure de la violation de données personnelles, catégories et nombre (connu ou estimé) de personnes concernées par la violation, catégories et nombre (connu ou estimé) d’enregistrements de données à caractère personnel concernées, description des conséquences probables de la violation de données personnelles, mesures techniques préalables à l’incident, mesures prises ou envisagées pour éviter que l’incident se reproduise ou atténuer les éventuelles conséquences négatives, réalisation d’une déclaration complémentaire auprès d’un autre organisme le cas échéant. Faute de connaître l’ensemble des données au moment de la déclaration, des compléments pourront être ajoutés.
- Valider le contenu de la notification initiale après proposition de rédaction par le CDG 54 dans les plus brefs délais et au plus tard 24h avant le délai de 72 heures imposé par le RGPD (soit au plus tard 48h après le constat de la violation).
- Fournir au CDG 54 les informations nécessaires à l’établissement de la ou des notification(s) complémentaire(s) auprès de la CNIL.
- Valider le contenu de la ou des notification(s) complémentaire(s) après proposition de rédaction par le CDG 54 dans les plus brefs délais, ou à défaut, adresser au CDG 54 les modifications à apporter.
- Tenir informé le délégué à la protection des données des mesures et actions complémentaires, y compris en termes de communication auprès des personnes concernées, que la collectivité a prises ou envisage de mettre en œuvre.
Pour sa part, le CDG 54 s’engage à :
- Proposer un projet de rédaction de notification initiale/complémentaire à la collectivité.
- Réaliser la notification initiale/complémentaire en ligne sur le site de la CNIL conformément au document validé ou amendé par la collectivité.
- Transmettre à la collectivité le récépissé de la CNIL faisant suite à chaque notification (initiale et complémentaire) effectué par la collectivité.
7.7 – Accompagnement dans la réalisation d’une analyse d’impact relative à la protection des données (AIPD)
L’article 35 du RGPD pose au responsable de traitement l’obligation : d’effectuer une analyse d’impact sur la protection des données personnelles lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ;
de demander conseil au délégué à la protection des données lorsqu'il effectue une analyse d'impact relative à la protection des données.
Le respect de l’article 35 du RGPD incombe à la collectivité et ne saurait engager la responsabilité de la « mission RGPD mutualisée des CDG ».
Le CDG 54 et la collectivité privilégient l’utilisation de l’interface didactique d’analyse d’impact développée par la CNIL afin de faciliter, dans une démarche transversale et contributive, la conduite et la formalisation d’AIPD telles que prévues par le RGPD.
La démarche d’AIPD s’inscrit dans le cadre d’un processus itératif d’amélioration continue pour parvenir à un dispositif de protection de la vie privée acceptable, et mobilise l’ensemble des parties prenantes au sein de la collectivité.
Il est acquis qu’un avis favorable du délégué à la protection des données ne vaut pas validation de l’AIPD ; seul le responsable de traitement, ou son représentant habilité, a compétence, conformément au RGPD, pour valider ou invalider une AIPD au regard des résultats de l’étude et de l’avis du délégué à la protection des données.
Lors de la réalisation d’AIPD, la collectivité s’engage à :
- Veiller à associer le délégué à la protection des données, d'une manière appropriée et en temps utile, à la réalisation d’une analyse d’impact.
- Réunir les informations nécessaires à l’établissement d’une analyse d’impact. - Saisir ces informations dans l’interface de la CNIL.
- Transmettre l’AIPD au délégué à la protection des données pour avis à rendre. - Gérer le circuit interne de soumission de l’analyse d’impact au responsable du traitement ou à son responsable habilité. Pour sa part, le CDG 54 s’engage à :
- Présenter la démarche d’analyse d’impact.
- Assurer un rôle de conseil pour la réalisation d’une analyse d’impact. - Evaluer les champs renseignés par la collectivité dans l’interface de la CNIL et portant sur les principes fondamentaux de la protection des données, les mesures de sécurité existantes ou prévues, et les risques liés à la sécurité des données. - Rendre un avis sur la version en vigueur de l’analyse d’impact accompagné, le cas échéant, de commentaires destinés à permettre à la collectivité de réviser l’analyse d’impact.
En respect du principe de neutralité attaché aux fonctions du délégué à la protection des données personnelles, il est acquis qu’il n’appartient pas à ce dernier d’indiquer des solutions techniques à la collectivité.
7.8 – Accompagnement dans les relations de la collectivité avec la CNIL
A – Accompagnement en cas de saisine de la CNIL
L’article 77 du RGPD reconnaît le droit des personnes d’introduire une réclamation auprès d’une autorité nationale de contrôle, en l’occurrence la CNIL en France.
Il appartient à la collectivité d’informer et, si elle souhaite, de solliciter l’accompagnement du CDG 54 en cas de saisine la concernant reçue de la CNIL. Pour sa part, le CDG 54 s’engage à transmettre à la collectivité, sous 2 jours ouvrés à réception, toute correspondance reçue de la CNIL concernant une réclamation visant la collectivité.
Le CDG 54 s’engage à dispenser son conseil à la collectivité dans l’analyse de la saisine et dans l’élaboration de la réponse à apporter.
Il appartient à la collectivité de :
- Recueillir tout élément et document sollicité par la CNIL ou permettant d’étayer une réponse à cette dernière.
- Procéder à toute réponse à la CNIL ainsi qu’à toute communication de documents et
renseignements demandés par celle-ci ou utiles et nécessaires à la documentation
de la réponse apportée.
- D’assurer la gestion administrative et la conservation des dossiers des réclamations
déposées à son encontre auprès de la CNIL.
B – Accompagnement en cas de contrôle de la CNIL
La CNIL a édité et publié sur son site une Charte des contrôles effectués par elle ; cette charte ne se substitue pas aux dispositions légales applicables aux contrôles effectués par la CNIL. Les Parties s’y réfèrent.
En cas de contrôle de la CNIL, et sur sollicitation éventuelle de la collectivité, l’accompagnement et l’assistance de cette dernière par le CDG 54 consiste à :
- Apporter son conseil à la collectivité.
- Répondre à toute audition demandée par la CNIL. La collectivité s’engage à:
- Informer le CDG 54 d’un contrôle de la CNIL.
- Prendre les mesures organisationnelles et techniques ad hoc.
- Procéder à toute réponse à la CNIL ainsi qu’à toute communication de documents et
renseignements demandés par celle-ci ou utiles et nécessaires à l’accomplissement
de la mission de contrôle, à l’exception des informations protégées par l’un des
secrets professionnels cités à l’article 19(III) de la loi Informatique et Libertés.
ARTICLE 8 : REALISATION PAR LA MISSION RGPD MUTUALISEE DES CDG D’UN AUDIT DE CONFORMITE AU RGPD
En supplément du socle de prestations de conformité au RGPD défini à l’article 7 de la présente, le CDG 54 peut réaliser au sein de la collectivité, sur demande formalisée de celle-ci, un audit de conformité au RGPD visant l’établissement du registre des activités de traitement de la collectivité.
Ce service fait l’objet d’une tarification additionnelle (cf. article 10.2). Il peut être sollicité par la collectivité à tout moment de la durée d’exécution de la présente convention, par courrier que l’autorité territoriale adresse au CDG 54 qui propose un devis pour l’intervention.
Il se compose des prestations suivantes :
1. L’animation au sein de la collectivité par le CDG 54 d’ateliers de sensibilisation au RGPD auprès des agents, services, et élus.
Ces ateliers visent à :
o Présenter les principes et obligations du RGPD et de la protection des données personnelles.
o Exposer le déroulement de la prestation d’audit RGPD.
2. La réalisation sur site, scindée en plusieurs journées, d’un audit de conformité. La réalisation de cet audit de conformité se fonde sur des entretiens avec les agents et les responsables ainsi que sur l’étude et l’analyse d’éléments de documentation et de pièces consultés sur place.
3. L’établissement par le CDG 54 du registre des traitements de la collectivité. Le CDG 54 établit le registre des activités de traitements de la collectivité sur la base des éléments qu’il a collectés lors de la phase préalable d’audit sur place. Le CDG 54 met le registre à la disposition de la collectivité sur son ESPACE RGPD.
4. La rédaction d’un rapport d’audit de conformité au RGPD.
Le rapport détaillé fait l’objet d’une première présentation à l’autorité territoriale. Il comprend :
o la formulation de préconisations de mise en conformité au RGPD des activités de traitement de la collectivité, voire la suggestion de changements
organisationnels,
o la proposition d’un plan d’action priorisé selon la criticité des préconisations édictées.
5. Le rapport d’audit définitif est adressé à l’autorité territoriale sous un mois. 6. Une réunion au sein de la collectivité 3 à 6 mois après la restitution du rapport d’audit de conformité
Ce rendez-vous vise à accompagner la collectivité dans la mise en œuvre des actions et le suivi des recommandations de conformité au RGPD.
Le registre des activités de traitements réalisé par le CDG 54 est disponible sur l’ESPACE RGPD de la collectivité.
Afin de garantir le bon déroulement de la mission, la collectivité met à la disposition de l’intervenant du CDG 54 les outils, moyens et lieux nécessaires à la réalisation des prestations.
ARTICLE 9 : PRESTATIONS « SUR MESURE » DE CONFORMITE AU RGPD, A LA DEMANDE DE LA COLLECTIVITE ET SUR DEVIS
Ce service supplémentaire et facultatif vise la réalisation par le CDG 54 de prestations dont l’objet est de répondre de manière spécifique à des besoins particuliers de la collectivité non-couverts par les services définis à l’article 7 et à l’article 8 de la présente convention.
La nature et le contenu de ces prestations « sur mesure » sont déterminés par les Parties.
Elles font l’objet d’une tarification additionnelle visée à l’article 10.2 de la présente convention.
Les prestations suivantes sont mentionnées à titre purement indicatif, elles ne sont ni limitatives, ni exhaustives :
- Accompagnement à une revue de mise en conformité au RGPD de contrats et conventions.
- Assistance à la rédaction d’une convention de responsabilités conjointes de traitement de données à caractère personnel.
- Accompagnement à la rédaction d’une politique générale de protection des données personnelles à l’attention des personnes concernées (administrés, usagers, agents,…).
- Accompagnement dans l’élaboration de procédures internes relatives à la protection des données personnelles.
- Accompagnement au pilotage de la mise en conformité au RGPD (participation à des comités de pilotage, comités techniques, autres instances liées à la gouvernance des données personnes).
- Soutien à l’amplification de la diffusion d’une culture relative à la protection des données : appui à l’action de référents RGPD, actions de sensibilisations sur des sujets particuliers relatifs à la protection des données personnelles, etc. - Participation à des groupes de travail relatifs à la mise en conformité au RGPD de traitements de données à caractère personnel existants ou prévus - Autres prestations « sur mesure ». ARTICLE 10: TARIFICATIONS ET MODALITES DE REGLEMENT
Chacun des services visés aux articles 7 à 9 de la présente convention fait l’objet d’une tarification et de modalités de règlements qui lui sont spécifiques.
10.1 – Tarification et modalités de règlements applicables au socle de prestations de conformité au RGPD.
Le socle de prestations de conformité au RGPD est défini à l’article 7 de la présente convention.
Pour ce service, la participation de la collectivité est exprimée par un taux de cotisation fixé annuellement par délibération du conseil d'administration du CDG 54. Ce taux, en 2021, est de 0,057% de la masse salariale pour la durée des conventions passées en 2021. L’assiette retenue correspond, à la masse au 31 décembre N-1 des rémunérations versées à leurs agents permanents telles qu'elles apparaissent aux états liquidatifs mensuels ou trimestriels dressés pour le règlement des charges sociales dues aux organismes de sécurité sociale, au titre de l'assurance maladie.
Toute modification du taux de cotisation annuel interviendra dans les conditions définies à l’article 11 de la présente convention.
La cotisation est due à partir du premier jour du mois suivant la date de signature de la présente convention.
Dans le cas où le montant calculé par application du taux serait inférieur à 30 euros, c’est un montant de 30 euros qui est forfaitairement retenu afin de compenser les frais liés à la mise en commun des ressources pour l’année considérée.
La collectivité déclare au CDG 54 l’assiette de cotisation et le montant de la cotisation pour l’année N au plus tard le 15/02/N+1, selon les modalités communiquées par le CDG 54.
En cas de non déclaration au 16/02/N+1de l’assiette de cotisation au titre de l’année N, la contribution à verser sera égale à celle due pour l’année N, majorée de 5%. La collectivité règle la cotisation par mandat administratif. La présente convention signée fait office de justificatif auprès de la Trésorerie de la collectivité.
Le paiement par mandatement, identifié « RGPD_DEPARTEMENT_ANNEE CONCERNEE_DENOMINATION DE LA COLLECTIVITE », s'effectue auprès de :
Paierie Départementale 54
48 Esplanade Jacques Baudot
54000 NANCY
10.2 – Tarification et modalités de règlement des services définis aux articles 8 et 9 de la présente convention
Les services respectivement visés aux articles 8 et 9 de la présente convention font l’objet d’un devis au tarif horaire fixé par l’assemblée délibérante du CDG 54. Le CDG 54 adresse le devis pour commande à la collectivité. Il transmet à la collectivité une facture à l’issue de la réalisation de la prestation, sur la base du devis accepté par la collectivité. ARTICLE 11 : MODIFICATION DU TAUX DE COTISATION ANNUEL
Le taux de cotisation visé à l’article 10.1 de la présente peut être révisé annuellement par le Conseil d'Administration du CDG 54. Le CDG 54 notifie à la collectivité toute modification de ce taux de cotisation au plus tard le 30 juin de l’année N avec application au 1 er janvier N+1.
A la suite de cette notification, la collectivité peut dénoncer la présente convention par lettre recommandée avec accusé de réception avec prise d’effet au 1 er janvier N+1.
ARTICLE 12 : OBLIGATIONS, RESPONSABILITES ET ENGAGEMENTS DES PARTIES
12.1 – Obligations du CDG 54
Les données contenues dans les supports et documents du CDG54 et de la collectivité sont strictement couvertes par le secret professionnel (article 226-13 du code pénal). Il en va de même pour toutes les données dont le CDG 54 prendra connaissance à l'occasion de l'exécution de la mission définie par la présente.
La collectivité reste propriétaire de ses données et pourra à tout moment récupérer l’intégralité des données qui auront été éventuellement transmises au CDG 54 .
Conformément à l'article 121 de la loi n°78-17 du 6 janvier 1978 modifiée relative à informatique, aux fichiers et aux libertés, le CDG 54 s'engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées.
De fait, il s'engage à respecter les obligations suivantes :
- ne prendre à titre personnel aucune copie des documents et supports d'informations qui lui sont confiés ;
- ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées à la présente convention ;
- ne pas divulguer ces documents ou informations à d'autres personnes, qu'il s'agisse de personnes privées ou publiques, physiques ou morales ; - prendre toutes mesures permettant d'éviter toute utilisation détournée ou frauduleuse des fichiers informatiques étudiés ;
- prendre toutes mesures de sécurité, notamment matérielle, pour assurer la conservation et l'intégrité des documents et informations traités pendant la durée de la présente convention ;
La collectivité se réserve le droit de procéder à toutes vérifications qui lui paraîtraient utiles pour constater le respect des obligations précitées.
12.2 – Responsabilités de la collectivité
1. La collectivité effectue la désignation auprès de la CNIL du CDG 54 comme DPD « personne morale ».
2. La collectivité notifie à la CNIL tout changement relatif à la désignation du DPD et au responsable de traitement. 3. La collectivité notifie à la CNIL la fin de la mission du CDG 54 comme DPD « personne morale ».
4. L’article 24.1 du RGPD établit clairement que le responsable du traitement est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions.
Par conséquent, la collectivité reconnaît par la présente que le CDG 54 , en tant que personne morale agissant au titre de DPD de la collectivité, n’est pas responsable en cas de violation des dispositions du RGPD et que la désignation d’un DPD n’a pas pour effet de transférer à celui-ci cette responsabilité.
12.3 – Engagements de la collectivité
La collectivité s’engage à :
- en vertu de l’article 38.1 du RGPD, associer d’une manière appropriée et en temps utile le CDG 54, en qualité de DPD personne morale de la collectivité, à toutes les questions relatives à la protection des données à caractère personnel en son sein.
- tenir compte des analyses et conseils en matière de protection des données personnelles adressés par la « mission RGPD mutualisée des CDG » et, dans le cas où ses recommandations ne seraient pas retenues, à en documenter les raisons ;
- informer par voie électronique (bouton « Contacter votre DPD » de l’ESPACE RGPD) lors de toute création de traitement de données à caractère personnel et lors de toute modification dans le traitement des données actuelles ;
- prendre connaissance dans les plus brefs délais de la documentation CNIL/RGPD diffusée par le CDG 54 ;
- fournir aux intervenants du CDG 54 l'accès aux données et aux opérations de traitement ;
- faciliter l'accès aux intervenants du CDG 54 aux données et informations manquantes détenues par d'éventuels sous-traitants.
ARTICLE 13 : DUREE
La présente convention prend effet à compter de sa signature et prendra fin le 31 décembre 2024.
ARTICLE 14 : DENONCIATION DE LA CONVENTION
La présente convention peut être dénoncée par une Partie, sous réserve de notification à l’autre Partie par lettre recommandée avec accusé de réception, au plus tard le 30 novembre de l’année N avec une date d’effet au 1 er janvier de l’année N+1.
ARTICLE 15 : AVENANT Hormis la modification du taux de cotisation visée à l’article 11 de la présente convention, toute autre modification dans les conditions de mise en œuvre de la présente convention se fera par avenant.
ARTICLE 16: CONTENTIEUX
En cas de litige sur l'interprétation ou sur l'application de la convention, les parties s'engagent à rechercher toute voie amiable de règlement. A défaut, le Tribunal administratif de NANCY est compétent.
Fait à NOM VILLE ,
le JJ/MM/AAAA ,
Fait à VILLERS-LES-NANCY,
le 24/01/2022,
(cachet et signature)
Prénom - Nom
Maire/Président
Dénomination de la
collectivité
(cachet et signature)
Daniel MATERGIA
Président du centre de gestion de
Meurthe-et-Moselle