Offres
API
Connexion
Documents similaires
Déliberation - PJ Convention DPO CCSPVA 2025
Déliberation - 2025 8 22 PJ 2025 Convention DPO CCSPVA
unknown - Communauté de communes - Serre-Ponçon - 2026 4 14
unknown - Communauté de communes - Serre-Ponçon Val d'Avance
unknown - Communauté de communes - Serre-Ponçon - 2025 8 22
unknown - Communauté de communes - Serre-Ponçon Val d'Avance
Déliberation - 2026 4 14 DPO CDG05
Déliberation - PJ Reglement REOM CCSPVA 2026
Déliberation - 2026 4 24 PJ Convention collectivite AllianceRecyc
Acte - 2024 4 17 PJ Convention reservation site CCSPVA
Déliberation - 2026 4 14 PJ Convention DPO CCSPVA
Document publié le Jeudi 1 janvier 2026 par la commune de Valserres.
Lien du pdf (Déliberation - 2026 4 14 PJ Convention DPO CCSPVA)
Thèmes du document : Consommateurs, Données personnelles, Cybersécurité,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Vu le Code général de la fonction publique prévoyant que les centres de gestion peuvent assurer toute tâche administrative et des missions d’archivage, de numérisation, de conseils en organisation et de conseils juridiques à la demande des collectivités et établissements publics.
Vu la délibération du Conseil d’administration du Centre de Gestion des Hautes-Alpes en date du 19 décembre 2018 créant un service de délégué à la protection des données mutualisé.
Vu la délibération du Conseil d’administration du Centre de Gestion des Hautes-Alpes en date du 14 novembre 2023 modifiant les tarifs du service de DPO mutualisé du Centre de gestion.
IL EST CONVENU CE QUI SUIT
ARTICLE 1 : OBJET DE LA CONVENTION
L’établissement public déclare adhérer au service de Délégué à la Protection des Données proposé par le Centre de Gestion des Hautes-Alpes.
La présente convention a pour objet de définir les conditions particulières et générales d’adhésion au service du Délégué à la Protection des Données (DPO).
ARTICLE 2 : MISSION DU DPO MUTUALISÉ
Le Centre de Gestion des Hautes-Alpes met à disposition de la collectivité un DPO mutualisé. Ainsi elle est dispensée d’en nommer un pour ses propres besoins. Cependant, la structure doit désigner un « correspondant », qui sera l’interlocuteur privilégié du DPO mutualisé.
Le DPO est principalement chargé :
• D’organiser des réunion(s) de sensibilisation auprès des élus et agents ; • De réaliser un inventaire des traitements de données à caractère personnel ;
ENTRE, D’UNE PART :
L’établissement : ….…………………………………….
Représentée par son Président,….…………………………………………………………….. ; agissant es qualité en vertu d’une délibération en date du :
....... /….………/….………
Ci-après désignée « l’adhérente »,
ET, D’AUTRE PART :
LE CENTRE DE GESTION DE LA FONCTION PUBLIQUE TERRITORIALE DES HAUTES-ALPES
Représenté par son Président, Monsieur Marcel CANNAT,
CONVENTION D’ADHÉSION
AU SERVICE DE DÉLÉGUÉ À LA PROTECTION DES DONNÉES MUTUALISÉ
DU CENTRE DE GESTION DES HAUTES-ALPES
Mission de DPO mutualisé
AR CONTROLE DE LEGALITE : 005-200067320-20260428-D2026414-DE en date du 30/04/2026 ; REFERENCE ACTE : D2026414 • D’analyser les points de non-conformité ;
• D’établir un plan d’action : politique de protection des données et priorisation des actions ; • De mettre en œuvre le plan d’action en organisant des process internes au niveau humain, organisationnel et technique ;
• De mettre en place un registre des traitements et de documenter la conformité ; • D’informer et conseiller les responsables de traitement en amont des projets : démarche dite de privacy by design (protection dès la conception) et privacy by default (garantir par défaut un haut niveau de protection des données) ;
• De gérer le risque : conseiller sur la réalisation d’une étude d’impact et vérifier son exécution ; • Coopérer avec l’autorité de contrôle, la CNIL, et d’être le point de contact de celle-ci. • Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
Le DPO intervient directement auprès de l’établissement public concernée. Cette dernière doit garantir au DPO un libre accès à l’ensemble de ses données. Le DPO est soumis au secret professionnel et à une obligation de confidentialité.
L’intervention annuelle du DPO dans l’établissement est divisé en phase. La première phase, aura pour objectif de mettre en conformité la structure avec le RGPD. La seconde phase et les suivantes auront pour objectifs d’assurer un suivi dans la mise en œuvre du RGPD et de couvrir toute intervention du DPO mutualisé si nécessaire.
La première phase comprend les éléments de missions suivants :
I. Sensibilisation du personnel de l’établissement
II. Évaluer la situation
A. Recenser les traitements de données à caractère personnel
B. Évaluer le niveau de sensibilité dans de l’établissement
C. Prendre connaissance des formalités déjà effectuées auprès de la CNIL
III. Lister les points de non-conformité
A. Confrontation au référentiel légal
B. Confrontation au référentiel technique
IV. Préparation du plan d’action
Les phases suivantes comprennent les éléments de missions suivants :
I. Mise en œuvre du plan d’action
II. Informer et conseiller sur les obligations
III. Contrôler le respect du RGPD à travers des audits
IV. Conseiller sur l'analyse d'impact relative à la protection des données et vérifier son exécution V. Coopérer avec la Commission Nationale de l’Informatique et des Libertés (CNIL) VI. Mettre à jour les différentes bases de données et les procédures
Il est à noter qu’un audit sur la sécurité du système d’information est fortement recommandé au cours de la première phase d’intervention.
ARTICLE 3 : ÉVALUATION DES BESOINS
Le contenu des missions est fonction d’une évaluation menée par le DPO du Centre de Gestion des Hautes-Alpes et comprenant :
➢ Un recueil des besoins ;
➢ L’acceptation de la proposition d’intervention, qui se traduit par une convention avec le CDG des Hautes-Alpes définissant un coût en fonction de la grille tarifaire et nombre de jour d’intervention.
Ce recueil des besoins est réalisé gratuitement, quelle que soit la décision finale du demandeur.
AR CONTROLE DE LEGALITE : 005-200067320-20260428-D2026414-DE en date du 30/04/2026 ; REFERENCE ACTE : D2026414 ARTICLE 4 : PROTOCOLE D’INTERVENTION
Le protocole à suivre pour l’intervention du DPO du Centre de Gestion des Hautes-Alpes est le suivant :
Article 4.1. DEMANDE D’INTERVENTION PAR UNE COMMUNE
La demande d’intervention peut se faire par courrier, courriel ou par téléphone.
Article 4.2. ESTIMATION DES TRAVAUX À RÉALISER
Le DPO du Centre de Gestion recueille les besoins de l’établissement et des propositions de devis d’intervention sont
rédigées (hors collectivité). Pour permettre une mise en conformité au RGPD et un suivi dans la durée, l’établissement
sera facturé 5 jours par phase, sous réserve que le CDG05 ait pu intervenir au cours de l’année comme prévu.
Si des travaux supplémentaires imprévisibles ou non déclarés à l’occasion de l’évaluation des besoins apparaissaient
au cours de l’intervention, un devis sera établi avec l’accord de l’établissement.
Article 4.3. PROGRAMMATION DE L’INTERVENTION
La programmation se fera en concertation entre le DPO du Centre de Gestion et l’établissement et en fonction : • Des besoins de l’établissement ;
• Des interventions déjà programmées par le DPO dans d’autres collectivités et établissements publics ; • Des disponibilités des personnes référentes au sein de la structure adhérente ; • Des possibilités matérielles d’accueil de l’établissement.
Chaque fin de mission donnera lieu à la rédaction d’un rapport d’activité dont un exemplaire sera transmis :
• Au demandeur
• Au CDG
ARTICLE 5 : CONDITIONS GÉNÉRALES D’ADHÉSION AU SERVICE DE DÉLÉGUE A LA PROTECTION DES DONNÉES DU CENTRE DE GESTION
Article 5.1 LES PRÉREQUIS
Le délégué à la protection des données du CDG 05 doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :
➢ S’assurer de son implication dans toutes les questions relatives à la protection des données (par exemple : communication interne et externe sur sa désignation, association en amont des projets impliquant des données personnelles) ;
➢ Lui fournir les ressources nécessaires à la réalisation de ses tâches. A ce titre, l’organisme désignera en interne un ou plusieurs relais sur lesquels le délégué du CDG 05 pourra s’appuyer ; ➢ Lui permettre d’agir de manière indépendante : le DPO doit disposer d’une autonomie d’action reconnue par tous au sein de l’organisme qui le désigne. Il exerce sa mission directement et uniquement auprès du responsable de traitement (Maire ou Président) ou toute autre personne qu’il aura habilitée. Cette personne sera nominativement désignée dans les conditions particulières ;
➢ Lui faciliter l’accès aux données et aux opérations de traitement ;
➢ Veiller à l’absence de conflit d’intérêts.
Article 5.2 DÉSIGNATION DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES
L’établissement doit désigner le Centre de Gestion des Hautes-Alpes comme délégué à la protection des données auprès de la CNIL. Le Centre de Gestion désignera une personne physique pour assurer la mission de DPO qui s’engage expressément à assurer sa mission avec impartialité, compétence et diligence. La désignation prend effet à la date de réception de la notification par la CNIL.
AR CONTROLE DE LEGALITE : 005-200067320-20260428-D2026414-DE en date du 30/04/2026 ; REFERENCE ACTE : D2026414 Cette désignation doit être portée à la connaissance du Comité technique l’établissement via une lettre d’information.
Article 5.3 : LES ENGAGEMENTS RÉCIPROQUES DES PARTIES
1. Les engagements du CDG 05
• Le CDG 05 s’engage à désigner pour chaque collectivité adhérente au service une personne identifiée comme personne de contact principal.
• Le CDG 05 garantit que le DPO est joignable. Il communique à la collectivité adhérente un numéro de téléphone et une adresse de courrier électronique spécifique.
• Le CDG 05 s’engage à mettre à disposition de la collectivité un DPO désigné sur la base de ses qualités professionnelles et en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39 du RGPD. • Le DPO est soumis au secret professionnel et a une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
2. Engagements de l’établissement
• L’établissement adhérent s’engage à publier les coordonnées du DPO et à communiquer celles-ci à l’autorité de contrôle compétente.
• L’établissement adhérent s’engage à lui faciliter l’accès aux données et aux opérations de traitement. • L’établissement adhérent veille à ce que le DPO exerce ses missions en toute indépendance et ne reçoit aucune instruction en ce qui concerne l’exercice de ses missions.
• L’établissement adhérent veille à ce que le DPO bénéficie de moyens matériels et organisationnels, des ressources lui permettant d’exercer ses missions.
• Pour répondre à cette obligation de moyens, l’établissement s’engage à faire intervenir le DPO mutualisé du CDG05 5 jours d’intervention par phase, sauf si la non réalisation de la mission est de la responsabilité du CDG05.
ARTICLE 6 : LA RESPONSABILITÉ DU DPO
Le délégué à la protection des données n’est pas responsable en cas de non-respect du règlement. Ce dernier établit clairement que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer et d'être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24.1 du RGPD). Le respect de la protection des données relève donc de la responsabilité du responsable du traitement ou le sous-traitant. Il est impossible de transférer au DPO, par délégation de pouvoir, la responsabilité incombant au responsable de traitement ou les obligations propres du sous-traitant.
ARTICLE 7 : MODALITÉS D’EXÉCUTION
Interlocuteurs :
Le Centre de Gestion désigne M. PARSOUD Damien comme interlocuteur principal de ……………………………………………….
Le ……………………………………………… désigne M/MME ………….………………………………………………… comme relais en interne.
ARTICLE 8 : DURÉE DE LA CONVENTION
La présente convention a une durée de 3 ans à compter de sa signature. Sauf dénonciation par l’une ou l’autre des parties, elle est renouvelée une fois sous les mêmes conditions par reconduction tacite pour une durée similaire.
Tout renouvellement au-delà doit être matérialisé par une nouvelle convention.
Elle peut être dénoncée par l’une ou l’autre des parties par lettre recommandée avec accusé de réception avec préavis de 3 mois.
AR CONTROLE DE LEGALITE : 005-200067320-20260428-D2026414-DE en date du 30/04/2026 ; REFERENCE ACTE : D2026414 ARTICLE 9 : TARIFICATION ET FACTURATION
L’intervention du DPO sera facturée à l’établissement adhérent au prix de 300 euros/jour pour les collectivités affiliées et 320 euros/jour pour les collectivités non affiliées au Centre de Gestion, suite à la délibération du Conseil d’Administration du Centre de Gestion des Hautes-Alpes du 14 novembre 2023. Le tarif journalier annoncé correspond à 7h de travail par le délégué à la protection des données, temps de trajet inclus.
Ce tarif sera réexaminé chaque année. La facturation à l’établissement adhérent fera l’objet, par le Centre de Gestion, de l’émission d’un titre de recettes dont le montant correspondra au nombre de journées d’intervention prévue dans la convention ou le devis pour mission complémentaire multiplié par le tarif de la prestation.
Lorsque l’intervention est valablement planifiée, toute annulation survenant alors que le délégué est déjà sur site, entrainera le remboursement intégral des frais de déplacement. Le cas échéant, le CDG 05 émettra un titre de recettes dans cette optique.
ARTICLE 10 : FIN DE MISSION DU DÉLÉGUÉ A LA PROTECTION DES DONNÉES
Au terme de la convention, l’établissement devra obligatoirement notifier à la CNIL la fin de mission du DPO du CDG 05.
ARTICLE 11 : AVENANT
Toute modification susceptible d’être apportée, en cours d’exécution de la présente convention, fera l’objet d’un avenant.
ARTICLE 12 : COMPÉTENCE JURIDICTIONNELLE
Les parties s’engagent à rechercher, en cas de litige sur l’interprétation ou sur l’application de la présente convention, toute voie amiable de règlement avant de soumettre le différend au tribunal administratif compétent. Le tribunal compétent désigné est le Tribunal Administratif de Marseille.
Fait à Gap,
Le (Date) : ………… / ………… / ……………………
Le Président du Centre de Gestion,
Marcel CANNAT,
(Signature et cachet)
Fait à (Lieu) :……………………………………………………………………
Le (Date) : ………… / ………… / ……………………
Le Président,
(Signature et cachet)
AR CONTROLE DE LEGALITE : 005-200067320-20260428-D2026414-DE en date du 30/04/2026 ; REFERENCE ACTE : D2026414