Offres
API
Connexion
Documents similaires
Déliberation - delib 25 02 05 Annexe 4 tampon
Déliberation - delib 2023 10 03 Annexe tampon
Déliberation - delib 2023 10 02 Convention dadhesion au RGPD du C
Déliberation - delib 25 02 27 02 Annexe tampon
Déliberation - delib 25 10 05 Annexe tampon
Déliberation - delib 24 02 29 04 Annexe tampon
Déliberation - delib 25 02 05 Annexe 3 tampon
Déliberation - Delib 2023 02 04 Annexe tampon
Déliberation - delib 24 02 29 06 Annexe tampon
Déliberation - Annexe Delib 2022 12 04 Convention Sante et Preven
Déliberation - delib 2023 10 02 Annexe tampon
Document publié le Jeudi 12 janvier 2023 par la commune de Sézanne.
Lien du pdf (Déliberation - delib 2023 10 02 Annexe tampon)
Thèmes du document : Données personnelles, Consommateurs, Union Européenne,
Centre de Gestion de la Fonction
Publique Territoriale de la Marne
Convention d’adhésion à la mission R.G.P.D. Page 1 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
CONVENTION
D’ADHESION A LA MISSION R.G.P.D.
ENTRE
……………………………………………….
&
Le Centre de Gestion de la Fonction
Publique Territoriale de la Marne
Mission R.G.P.D.
Tél. : 03 26 69 99 05
E-mail : rgpd@cdg51.fr Convention d’adhésion à la mission R.G.P.D. Page 2 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
Entre le Centre de Gestion de la Fonction Publique Territoriale de la Marne, représenté par son Président, Monsieur Patrice VALENTIN, habilité par la délibération 202137 du Conseil d’Administration en date du 08 novembre 2021 ;
Ci après dénommé le « Centre de Gestion »,
d’une part,
Et ……………………………………………………………… représenté(e) par son Maire /Président, M…………………………………, mandaté(e) par délibération en date du ………………… ; Ci après dénommé(e) la « Collectivité »,
d’autre part,
En vertu des dispositions législatives et réglementaires suivantes :
- Loi n°84-53 du 26 janvier 1984 modifiée portant dispositions statutaires relatives à la Fonction Publique Territoriale et plus particulièrement son article 25, - Décret n°85-643 du 26 juin 1985 modifié relatif aux Centres de Gestion, - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entrant en application le 25 mai 2018 (dit Règlement Général sur la Protection des données, soit « RGPD »).
- Loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés,
- Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés,
Article 1 : OBJET DE LA CONVENTION
La présente convention a pour objet la mise à disposition de moyens humains et matériels au profit de la collectivité en vue d’accompagner l’autorité territoriale dans la mise en conformité avec le Règlement Général sur la Protection des données et les dispositions législatives et réglementaires susvisées, des traitements des données personnelles de la collectivité et ceux mis en œuvre pour son compte par ses sous- traitants.
Elle a pour finalité la maîtrise pour la collectivité des risques juridiques et financiers liés au traitement des données à caractère personnel.
Article 2 : CONTENU DE LA MISSION
La mission confiée au Centre de Gestion est d'assister et de conseiller l'Autorité Territoriale dans la démarche d'évaluation des risques liés à la protection des données personnelles et dans la mise en place d'une politique de mise en conformité avec les dispositions susvisées.
Cette mission comprend :
- Une prestation de base
o Mise à disposition d’un délégué à la protection des données (DPD) o Mise à disposition d’une plateforme de gestion RGPD comprenant des outils types, la réception et le traitement des demandes d’exercice de droit Convention d’adhésion à la mission R.G.P.D. Page 3 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
o Animation d’une veille « sécurité RGPD » (sensibilisation, conseils, documentation)
o Accompagnement à la déclaration auprès de la CNIL en cas de violation de données
- Une option complète la prestation de base pour permettre l’aide à la reprise et la mise à jour d’un registre antérieurement créé par la collectivité.
- Des prestations individualisées
o Réalisation du registre de traitement des données à caractère personnel o Réalisation d’audit de conformité (analyse des contrats, des conventions, des formulaires, des dossiers, apports de préconisations et de mention) o Réalisation d’étude d’impact
o Accompagnement à la gestion des demandes de droits d’accès aux données
Article 3 : DEFINITIONS
Deux acteurs de la protection des données sont à définir :
• Le Responsable de traitement
Le responsable d'un traitement de données à caractère personnel est l’autorité territoriale (le maire ou président).
• Le Délégué à la Protection des Données (dit ci-après le « DPD »)
Sa désignation est obligatoire.
En application de la présente convention, la collectivité désigne le Centre de Gestion de la Marne en tant que personne morale comme étant son DPD.
Pendant ses interventions, les interlocuteurs du DPD sont :
▪ Elu référent : ________________________________________________ Coordonnées : _______________________________________________
▪ Agent référent : ______________________________________________ Coordonnées : _______________________________________________
Toute modification dans la désignation des acteurs et/ou interlocuteurs doit être notifiée au cocontractant sous un délai de deux mois maximums.
Article 4 : ENGAGEMENT DES PARTIES
La collectivité et le Délégué à la Protection des Données s'engagent mutuellement en signant la Lettre de Mission et la Charte déontologique annexées à la présente convention.
Obligations du Centre de Gestion Convention d’adhésion à la mission R.G.P.D. Page 4 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
Toutes les données dont le DPD (ou les autres experts du Centre de Gestion qui l’assistent le cas échéant) prendra connaissance à l'occasion de l'exécution de sa mission sont strictement couvertes par le secret professionnel.
De fait, il s'engage notamment à respecter les obligations suivantes : • ne prendre à titre personnel aucune copie des documents et supports d'informations qui lui sont confiés ;
• ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées à la présente convention;
• ne pas divulguer ces documents ou informations à d'autres personnes, qu'il s'agisse de personnes privées ou publiques, physiques ou morales.
Obligations de la collectivité
La collectivité désignera par arrêté de nomination comme son Délégué à la Protection des Données le Centre de gestion de la Marne et procédera à sa déclaration en ligne auprès de la CNIL. La transmission à la mission RGPD du Centre de gestion du numéro de désignation du DPD obtenu auprès de la CNIL conditionnera le début de la mission.
Pour la réalisation des missions et des accompagnements qui auront été demandés, la collectivité s’engage à communiquer au DPD toutes les informations ou pièces nécessaires et indispensables.
Article 5 : RESPONSABILITES
La présente convention n’a ni pour objet, ni pour effet d’exonérer l’Autorité Territoriale de ses obligations résultant des dispositions législatives et réglementaires dans le domaine de la protection des données à caractère personnel.
La responsabilité de la mise en œuvre des recommandations, avis ou suggestions formulés par le DPD appartiennent à l’adhérent.
Le DPD ne peut intervenir que dans le cadre défini par la réglementation. Il est soumis à l’obligation de réserve et de confidentialité.
La responsabilité du CDG de la Marne ne peut en aucune manière être engagée en ce qui concerne les conséquences des décisions prises et les mesures retenues par l’Autorité Territoriale.
Article 6 : CONDITIONS FINANCIERES
Les tarifs sont fixés conformément à la délibération annuelle du Conseil d’Administration du Centre de Gestion relative aux tarifs des missions conventionnées.
Les nouvelles conditions financières feront l’objet d’une notification du Centre de Gestion à la Collectivité.
Article 7 : DUREE DE LA CONVENTION Convention d’adhésion à la mission R.G.P.D. Page 5 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
La présente convention prend effet à compter de la date de signature, sous réserve de la réception du numéro de désignation du DPD auprès de la CNIL. Elle court jusqu’au 31 décembre 2026.
Elle peut toutefois être dénoncée, par l’une ou l’autre des parties, sous préavis de deux mois avant chaque fin d’année civile, par lettre recommandée avec avis de réception.
Article 8 : APPORT DE MODIFICATIONS
Toute modification susceptible d’être apportée à la présente convention se fera sous la forme d’un avenant modificatif numéroté.
Article 9 : LITIGES
En cas de difficultés quant à l’application de la présente convention, le Centre de Gestion et la Collectivité s’engagent à rechercher une solution amiable.
Les litiges pouvant résulter de l’application de la présente convention relèvent de la compétence du Tribunal Administratif de Châlons-en-Champagne. Convention d’adhésion à la mission R.G.P.D. Page 6 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
Article 10 : MISE EN ŒUVRE DU R.G.P.D.
I. Objet
Le présent article a pour objet de définir les conditions dans lesquelles le Centre de Gestion, en tant que « sous-traitant », s’engage à effectuer pour le compte de la Collectivité, « responsable de traitement », les opérations de traitement de données à caractère personnel dans le cadre de l’exécution de la présente convention.
Les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
II. Obligations du responsable de traitement vis-à-vis du sous-traitant
Le responsable de traitement s’engage à :
1. fournir au sous-traitant les données nécessaires à l’exécution de la présente convention,
2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant,
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant,
4. superviser le traitement, y compris réaliser des audits et des inspections si nécessaire.
III. Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires à l’exécution de la présente convention.
A ce titre, il s'engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la présente convention.
2. traiter les données conformément aux instructions du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement.
3. garantir la sécurité et la confidentialité des données à caractère personnel traitées dans le cadre de la présente convention.
4. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées Convention d’adhésion à la mission R.G.P.D. Page 7 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
du sous-traitant ultérieur. Le responsable de traitement dispose d’un délai minium de 15 jours à compter de la date de réception de cette information pour présenter ses objections.
Le sous-traitant ultérieur est tenu de présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
IV. Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
V. Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée.
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable de traitement.
VI. Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, aux personnes concernées.
La notification contient au moins :
• la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; • la description des conséquences probables de la violation de données à caractère personnel ;
• la description des mesures prises ou envisagées pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard Convention d’adhésion à la mission R.G.P.D. Page 8 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
indu.
VII. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données recueillies dans le cadre de la présente convention.
VIII. Sort des données
Lorsqu’elles n’ont plus d’utilité pour l’exécution des prestations définies dans la présente convention, le sous-traitant s’engage à détruire dans un délai raisonnable toutes les données à caractère personnel et toutes les copies existantes dans son système d’information.
IX. Documentation
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire (Registre des catégories d’activités de traitement, …) pour démontrer le respect de toutes ses obligations.
Fait à …………………….. le …………………
Le Président du Centre de Gestion,
Patrice VALENTIN
Le Maire/Président de ……………………….,
……………………….. Convention d’adhésion à la mission R.G.P.D. Page 9 sur 9
Version adoptée par le Conseil d’Administration du 8 novembre 2021
ANNEXES
- Lettre de mission
- Charte de déontologie du Délégué à la Protection des Données
- Grille tarifaire 2022