Offres
API
Connexion
Documents similaires
Déliberation - 72 2024 20241216 A DeliberationMetropole
Procès Verbal - 72 2024 20241216 D RenouvellementconventtionDPOsig
Déliberation - 74 2024 20241216 A Avenantn04
Procès Verbal - 74 2024 20241216 D DALKIAavenantn4signee
Déliberation - 77 2024 20241216 A NoteTechniqueinstaurationDPclot
Conseil Municipal - 75 2024 20241216 A NoteTechniqueventelogtsocialV2
Arrêté - 76 2024 20241216 A NoteTechniqueprojetdarretPLUiV2
Procès Verbal - 75 2024 20241216 D Cesiondunlogementsocialsignee
Procès Verbal - 71 2024 20241216 D Ouverturesdominicalessignee
Acte - 78 2024 20241216 D DemandedesubventionACTEEAMOCPEs
Déliberation - 72 2024 20241216 A ProjetConventionmutualisationPULNOY
Document publié le Jeudi 11 juillet 2024 par la commune de Pulnoy.
Lien du pdf (Déliberation - 72 2024 20241216 A ProjetConventionmutualisationPULNOY)
Thèmes du document : Données personnelles, Justice et droit, Consommateurs,
Page 1 19/08/2024 CONVENTION DE MUTUALISATION DU DELEGUE A LA PROTECTION DES DONNEES DE LA METROPOLE AVEC LA COMMUNE DE PULNOY Entre les soussignés : La Métropole du Grand Nancy, située au 22-24 Viaduc Kennedy 54035 Nancy, représentée par son Président, Monsieur Mathieu KLEIN, habilité à cet effet par délibération du Conseil métropolitain n° DEL20240711_C24 du 11 juillet 2024 ; ci-après dénommée : « Métropole du Grand Nancy », D’UNE PART Et La commune de Pulnoy, représentée par son maire, Marc OGIEZ habilité à cet effet par délibération du Conseil Municipal du 16 décembre 2024 ci-après dénommée : « l’Adhérent » D’AUTRE PART La Métropole du Grand Nancy et l’Adhérent sont désignés individuellement et collectivement « Partie » et « Parties ». Page 2 19/08/2024 Préambule La transformation numérique de la société, qui nous amène à repenser nos modes de vie et de communication, génère de plus en plus de traitements de données personnelles dont la complexité est renforcée par l’utilisation de nouvelles technologies (Cloud, Intelligence artificielle, etc...). Le règlement européen sur la protection des données (« RGPD » ci-après), qui harmonise au niveau européen des obligations autrefois nationales, fait peser depuis le 25 mai 2018 de nouvelles responsabilités sur les organismes. Ainsi, les communes et les services publics locaux, pour assurer leurs missions, doivent- elles intégrer la gouvernance de la protection des données comme une composante fondamentale de la gestion de leurs activités. A ce titre, toute autorité publique a l’obligation de désigner un délégué à la protection des données à caractère personnel (« DPO », ci-après) dont la mission est de piloter la conformité RGPD du responsable de traitement. La responsabilité des organismes se trouve ainsi renforcée. Ceux-ci doivent en effet être en mesure de démontrer à tout moment la conformité des traitements aux principes du RGPD. Le non-respect de ces principes expose les responsables de traitement et les sous-traitants à des sanctions et amendes administratives plus lourdes et plus rapides qu’auparavant, conformément aux articles 58, 83 et 84 du RGPD. Contexte La Métropole du Grand Nancy a désigné un DPO dès le 25 mai 2018 et créé une mission déléguée à la protection des données (ci-après la « Mission DPO »). Pour répondre à la problématique de désignation d’un délégué à la protection des données des communes et comme le RGPD l’y autorise, la Métropole du Grand Nancy a proposé aux communes et aux établissements publics locaux qui le souhaitaient de mutualiser la Mission DPO et de désigner le même délégué à la protection des données que la Métropole du Grand Nancy. Cette mutualisation prend la forme d’un service commun. C’est dans ce cadre que les parties ont conclu une convention de mutualisation à la suite de la délibération n°25 du conseil métropolitain du Grand Nancy du 8 juin 2018. Afin de continuer à garantir une expertise personnalisée et confidentielle de la protection des données à caractère personnel, il est proposé aux communes et/ou établissements publics locaux qui le souhaitent de poursuivre la mutualisation avec la Mission DPO de la Métropole du Grand Nancy en concluant une nouvelle convention. Page 3 19/08/2024 L’objectif est comme pour l’exercice précédent d’appliquer les règles de protection des données personnelles de la façon la plus uniforme possible à l’échelle du territoire et de simplifier l’exercice des droits pour les usagers. Ainsi, fidèle à l’ambition du « faire mieux ensemble » qui a initialement prévalu, il est proposé à l’Adhérent de renouveler la mutualisation avec la Mission DPO de la Métropole du Grand Nancy afin de garantir une expertise personnalisée et objective de la protection de leurs données, collectivement pertinente. L’Adhérent pourra disposer de l’expertise du délégué à la protection des données mutualisé pour les missions techniques et complexes demandées dans le cadre de l’évolution de la réglementation relative à la protection des données à caractère personnel. Il est prévu dans les textes que celui-ci soit associé suffisamment à l’amont des projets pour permettre une conformité RGPD dès le démarrage des projets. Comme pour les collectivités ayant mutualisé la gestion de leur système d’information au sein de la DSIT, la mutualisation de la fonction de délégué à la protection des données permettra de bénéficier des études et travaux conduits par les services support au bénéfice de l’ensemble des adhérents. Ainsi, vu les textes de référence suivants : - La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 24 avril 2016 - Les articles 83 et 84 du Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - L’article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles - Le Code général des collectivités territoriales, notamment l’article L5211-4-2 IL A ETE CONVENU DE CE QUI SUIT ARTICLE 1 – OBJET DE LA CONVENTION Conformément à l’article 37 du RGPD, la présente convention définit les modalités selon lesquelles le service de la Mission DPO de la Métropole du Grand Nancy est mutualisé avec la ville de Pulnoy (ci-après la « Convention »). La Convention définit les moyens organisationnels et matériels permettant d’assurer les missions décrites à l’article 39 du RGPD moyennant contribution décrite ci-après. ARTICLE 2 – ORGANISATION DU SERVICE COMMUN Page 4 19/08/2024 Le service commun est chargé de l’exercice de la mission de mise en conformité et maintien de la conformité en matière de protection des données à caractère personnel, en vertu du RGPD. Il comporte un agent titulaire, exerçant la fonction de délégué à la protection des données, ainsi qu’un agent contractuel ou titulaire et un collaborateur juriste. La Convention et ses annexes sont soumis à l’avis du ou des comités sociaux territoriaux compétents. Le service commun est géré par la Métropole du Grand Nancy, qui emploie seule les agents composant le service. Aucun agent des communes n’est transféré au service commun. ARTICLE 3 – DELEGUE A LA PROTECTION DES DONNEES Le délégué à la protection des données a été désigné le 25 mai 2018 par le Président de la Métropole du Grand Nancy, responsable du traitement des données à caractère personnel de cet établissement. Le DPO est signataire de la charte de déontologie de l’AFCDP, association nationale référente dans le domaine de la protection des données. Par la présente, l’Adhérent s’engage à désigner ce délégué comme étant également le sien. La Mission DPO se charge de la désignation du DPO auprès de l’autorité de contrôle (CNIL) pour chaque responsable de traitements (communes ou organisme) et pour tout nouvel adhérent. ARTICLE 4 – MISSIONS DU SERVICE COMMUN Le service commun exerce notamment les missions décrites ci-dessous (ci-après les « Missions ») : Conseiller et accompagner la commune : expertise et conseil auprès de la direction du responsable de traitement, afin que celle-ci puisse assurer la conformité des traitements, diffusion de la culture et des principes de la protection des données auprès des gestionnaires de traitements des données personnelles, rédaction et mise à jour des règles ou politiques internes de protection des données, Et plus concrètement : élaboration et actualisation du registre des activités de traitements, Page 5 19/08/2024 examen de la nécessité de réaliser une étude d’impact dur la protection des données (AIPD) assistance à la réalisation des analyses de risques, réponse aux demandes d’exercice des droits des personnes concernées, gestion des violations de données et conseil sur les mesures à prendre ainsi que sur la notification à la CNIL et aux personnes concernées, rédaction et communication d’un rapport d’activité, réunion annuelle d’un comité de pilotage et de suivi (voir article 7 de la présente Convention). veille informative et juridique (exemples : rappel des règles à l’occasion d’une sanction de la CNIL, utilisation de guides pratiques, de fiches conseil du DPO, de procédures en cas d’incident, accessibles depuis l’intranet, etc.). Contrôler l’effectivité des règles : le DPO est investi d’une mission de contrôle du respect du RGPD. Cela peut prendre la forme d’audits externes menés par le DPO ou en collaboration avec d’autres fonctions clefs telles que le RSSI ou l’archiviste. Cette démarche s’accompagne d’un suivi du plan d’action correctives et évolutives. L’objet de ces audits (notamment chez les prestataires) peut consister en : des vérifications de l’exactitude des informations figurant au registre des traitements, des vérifications de la conformité des traitements les plus sensibles, sur la base des AIPD, la mise en place d’outils de suivi et de contrôle automatisés (Exemple : pour la conformité des sites internet), le contrôle de l’effectivité des mesures techniques et organisationnelles de protection des données que l’organisme s’est engagé à mettre en place. Etre le point de contact de l’organisme sur les sujets RGPD avec la CNIL : le DPO est amené à coopérer avec l’autorité de contrôle pour jouer un rôle de « facilitateur » : réponses aux demandes lors d’un contrôle, instruction d’une réclamation, consultation dans le cadre d’une AIPD, notification d’une violation de données, etc. Par ailleurs, le DPO peut consulter la CNIL sur toutes les questions ayant rapport avec l’exercice de sa mission sans que ces questions ne soient préalablement soumises à la validation du responsable de traitement. En outre, la CNIL ne répond pas aux demandes de conseils qui lui sont adressées par des organismes n’ayant pas pris le soin de consulter leur DPO. En cas de contrôle sur place de la CNIL, le DPO est l’interlocuteur privilégié mais le responsable de traitement reste en capacité de faire ses observations sur le procès- verbal qui lui est adressé. Le DPO ne peut représenter seul l’organisme auprès de la CNIL lors d’une audition car cela le mettrait en situation de conflit d’intérêts. Il peut néanmoins accompagner un représentant de la collectivité pour apporter son expertise et répondre aux questions. Page 6 19/08/2024 avec les personnes concernées par les traitements de données personnelles : le DPO est le point de contact des personnes dont les données sont traitées par le responsable qui l’a désigné. Il prend en charge les réponses aux demandes d’exercices de droit afin d’apporter une réponse dans le délai imparti (1 mois). Le DPO doit également être joignable par toute personne concernée (salarié, agents, prestataires, usagers, etc.) pour toute question sur la protection de leurs données personnelles. Assurer la documentation des traitements de données : dans la logique de responsabilisation des organismes La documentation est un outil essentiel du DPO pour la connaissance exhaustive des opérations de traitement mises en œuvre et le pilotage de leur conformité. Le DPO prend en charge l’élaboration et le maintien à jour du registre de traitements qui pèse sur le responsable de traitement conformément à l’article 30 du RGPD. Les informations relatives à chaque traitement doivent être communiquées par les gestionnaires de traitements qui les mettent en œuvre ou qui en ont la charge. Outre le registre, de nombreux éléments peuvent être intégrés à la documentation du DPO : les contrats de sous-traitance, les mentions d’information, les procédures relatives à l’exercice des droits, à la gestion des violations de données, aux contrôles, les registres, etc. ARTICLE 5 – CONDITIONS D’EXERCICE DU SERVICE COMMUN Le service commun est placé sous la responsabilité hiérarchique du Président de la Métropole du Grand Nancy pour les traitements mis en œuvre au Grand Nancy et sous la responsabilité du maire pour les traitements mis en œuvre chez l’Adhérent. Le service commun, particulièrement le délégué à la protection des données du fait de son statut, jouit à cet effet d’une indépendance dans le cadre des contrôles, prescriptions et recommandations qu’il est susceptible de faire et pour lesquels il est soumis au secret professionnel. Il s’engage à conserver de manière confidentielle toutes les données recueillies ou dont il prend connaissance à l’occasion de l’exécution de sa mission. Il s’engage à prendre toutes les précautions utiles afin de préserver la sécurité des informations dont il a connaissance ou qu’il a recueillies. Le délégué à la protection des données à caractère personnel ne peut faire l’objet de sanctions du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. A ce titre, la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL) doit être avertie de toute modification affectant la fonction. Il ne peut notamment y être mis fin sans que la CNIL en connaisse les raisons. Page 7 19/08/2024 ARTICLE 6 – CONTRIBUTION DE LA COMMUNE AU SERVICE La contribution forfaitaire annuelle de l’Adhérent est indexée sur le nombre d’habitants. La base de calcul est de 0,35 euros par habitant. La quote-part de l’Adhérent s’élève donc à 1 800,40 € pour les 5 144 habitants recensés au 1 er janvier 2024. Le nombre d’habitants est actualisé annuellement au regard des chiffres de population totale publiés par décret pour l’année de refacturation concernée. La refacturation de l’année pleine 2024 se fera sur la base des chiffres de population totale publiés par le décret n° 2023-1256 du 26 décembre 2023 authentifiant les chiffres des populations de métropole applicable au 1er janvier 2024. La contribution peut être réévaluée chaque année (délibération du conseil métropolitain), après avis du comité de pilotage et de suivi, qui se réunit selon les conditions prévues à l’article 7 de la présente. Cette participation s’entend pour un service fourni à l’Adhérent et ses établissements publics locaux (CCAS, Caisse des Ecoles). L’Adhérent s’engage à verser cette participation conformément aux règles de la comptabilité publique. ARTICLE 7 – DUREE La Convention est conclue pour une durée de 3 ans (ci-après la « Période initiale ») renouvelable une fois par reconduction (ci-après la « Période de reconduction »). La Partie qui ne souhaite pas reconduire la Convention est tenue d’en informer l’autre Partie par lettre recommandée avec accusé de réception avec un préavis de six (6) mois avant la fin de la Période initiale. La Convention entre en vigueur à compter de sa notification par la préfecture. ARTICLE 8 – GOUVERNANCE / COMITE DE PILOTAGE Un comité de pilotage et de suivi du service commun est institué (ci-après le « Comité »). Il est composé d’un représentant technique désigné par chaque membre du service commun. Il se réunit au moins une fois par an ainsi qu’à l’initiative du délégué à la protection des données de la mission DPO lorsqu’il le juge nécessaire. Le Comité permet de rendre compte des Missions, des moyens mis à disposition et des objectifs communs. Il peut être consulté pour avis. ARTICLE 9 : RENCONTRE – REVISIONS Toute modification de la présente convention prendra la forme d’un avenant signé par les parties. Page 8 19/08/2024 Les parties conviennent de se rencontrer au moins trois (3) mois avant la fin de la Période de reconduction afin d’échanger à propos de la rédaction d’une nouvelle convention. ARTICLE 10 : RESILIATION La convention pourra être résiliée par une partie en cas d’inexécution par l’autre partie de l’une de ses obligations. La résiliation interviendra de plein droit trente (30) jours après une mise en demeure adressée à la partie défaillante demeurée sans effet, par lettre recommandée avec accusé de réception. ARTICLE 11 : CONTENTIEUX En cas de litige sur l’interprétation ou sur l’application de la présente convention, les parties s’engagent à rechercher un accord amiable. A défaut, le tribunal administratif de Nancy est compétent. Fait à NANCY, en 2 exemplaires originaux, Le Pour la ville de Pulnoy, Pour la Métropole du Grand Nancy, Adhérent Le Maire, Pour le Président, La Conseillère déléguée Marc OGIEZ Sylvie COLIN Page 9 19/08/2024 Annexe 1 – Descriptif des Missions Missions Mutualisable Qui ? Contribution des adhérents Clé de répartition Missions assurées par la DSIT et le DPO mutualisé Cartographie des applications OUI Publique DSIT pour ses adhérents mutualisée Selon les règles arrêtées par les adhérents à la DSIT mutualisées Selon les règles arrêtées par les adhérents à la DSIT mutualisées Etudes de sécurité dès la conception des traitements – Homologation des téléservices OUI DSIT mutualisée Selon les règles arrêtées par les adhérents à la DSIT mutualisées Selon les règles arrêtées par les adhérents à la DSIT mutualisées Acquisition et mise en place des outils de protection et de détection des accès non conformes OUI DSIT mutualisée Selon les règles arrêtées par les adhérents à la DSIT mutualisées Selon les règles arrêtées par les adhérents à la DSIT mutualisées Analyse de la conformité OUI Personnalisée par adhérent DPO Mutualisé OUI Service DPO mutualisé La plus simple possible pour démarrer : Base Habitant (Coût 0,35 €) Tenue du registre (des activités et des traitements) OUI Personnalisée par adhérent DPO Mutualisé OUI Service DPO mutualisé Assistance auprès des services OUI Personnalisée par adhérent DPO Mutualisé OUI Service DPO mutualisé Etudes d’impact sur la vie privée OUI Personnalisée par adhérent DPO Mutualisé OUI Service DPO mutualisé Audits de conformité aux principes informatiques et Liberté OUI Personnalisée par adhérent DPO Mutualisé OUI Service DPO mutualisé Assistance auprès des services : documentation, questions juridiques, sollicitations de la CNIL, formation des RIL, OUI Personnalisée par adhérent DPO Mutualisé OUI Service DPO mutualisé Missions exercées avec les adhérents Exercice du droit d’accès des personnes NON DPO Mutualisé OUI Service DPO mutualisé Inclus Bilan annuel DPO NON DPO Mutualisé OUI Service DPO mutualisé Inclus Information et sensibilisation interne des services (générale et thématiques) OUI En partie Référents des adhérents OUI Service DPO mutualisé Inclus Réunion annuelle du comité de pilotage et de suivi OUI DPO et adhérents OUI Service DPO mutualisé Inclus