Offres
API
Connexion
Documents similaires
Conseil Municipal - 84 seance du 12 decembre 2023?download=755:del 202
Déliberation - d2026 28 designation de representants au gip recia
Convocation - 84 seance du 12 decembre 2023?download=735:convoca
Compte-Rendu - 84 seance du 12 decembre 2023?download=735:convoca
Conseil Municipal - 84 seance du 12 decembre 2023?download=747:del 202
Conseil Municipal - 84 seance du 12 decembre 2023?download=767:del 202
Compte-Rendu - 84 seance du 12 decembre 2023?download=767:del 202
Déliberation - 20240611 08 Prestation services mutualise protecti
Compte-Rendu - 85 seance du 25 juin 2024?download=881:del 202406
Déliberation - 84 seance du 12 decembre 2023?download=778:liste d
Compte-Rendu - 84 seance du 12 decembre 2023 12 130 prestation de service data protection officer avec le gip recia
Document publié le Mardi 12 décembre 2023 par la commune de Saint-Germain-du-Puy.
Lien du pdf (Compte-Rendu - 84 seance du 12 decembre 2023 12 130 prestation de service data protection officer avec le gip recia)
Thèmes du document : Données personnelles, Cybersécurité, Consommateurs,
VILLE DE
Saiñ 6 ermain.
CU die PUR.
Ville de SAINT-GERMAIN-DU-PUY
CHER
En exercice : 29
Présents : 23
Absents représentés : 5
Absent non représenté : 1
Ne prennent pas part au vote : /
Votants : 28
Date de convocation : 5 décembre 2023
Date d'affichage de la convocation : 5 décembre 2023
Extrait du Registre des délibérations du Conseil Municipal
Séance du 12 décembre 2023
Délibération n° DEL.2023-12-130
Prestation de service Data Protection Officer avec le GIP RECIA
Le 12 décembre 2023 à 19 heures, le Conseil Municipal s’est réuni en séance publique, sous la présidence de Madame Marie-Christine BAUDOUIN, Maire
Présents : AILLOT Sonia. BAUDOUIN Marie-Christine. BIESSE Thierry. BROUSSE Franck. CLOSTRE Jacques. CORBION Rémy. DACQUIN Sébastien. DESROCHES Gilles. DUPLAIX Nathalie. DUR-TOMAS Chantal. FLEURIER-LEFORT Gaëlle. FOSSET Jean-François. GAUTRON Marina. GIRARD LEBRUN Sandra. GUINET Nadège. LE PAVOUX Eric. LECLERC Stéphanie. LEUILLER Patricia. MERCIER Martine. MIGNON Brigitte. MONDON Josiane. PRUDENT Adrien. PRUDENT Didier.
Absents ayant donné un pouvoir : CATON Samuel à LECLERC Stéphanie. GROSJEAN Yoann à PRUDENT Didier. JORO Vincent à LE PAVOUX Eric. LEGER Pauline à FLEURIER- LEFORT Gaëlle. MANIVERT Sonia à MONDON Josiane.
Absent non représenté : MEGHERBI Djamel.
N’ont pas pris part au vote : /
Secrétaire de séance : PRUDENT Didier.
Conseil Municipal du 12 décembre 2023 - Délibération n° DEL.2023-12-130
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Rapporteur : La Maire
Le Conseil Municipal,
Vu le règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, applicable à partir du 25 mai 2018 ;
Vu la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et au libertés dite « LIL » :;
Vu le Code Général des Collectivités Territoriales et notamment son article L. 5211-4-2 :
Vu la convention proposée en annexe, définissant les modalités techniques et financières pour le bon fonctionnement à signer entre le GIP RECIA et la commune ;
Vu l'avis favorable de la Commission Municipale « développement économique, finances, politique contractuelle, personnels, communication » réunie le 21 novembre 2023,
Vu lavis favorable de la Commission Générale réunie le 28 novembre 2023,
Le rapport de Madame la Maire au Conseil Municipal entendu,
Après en avoir délibéré,
e APPROUVE la Convention relative à la mise en œuvre de la prestation de service délégué à la protection des données mutualisé (DPO mutualisé) avec le GIP RECIA ;
e AUTORISE Madame la Maire ou son représentant à signer ladite convention et tout autre document relatif à ce sujet ;
° PRÉCISE que les crédits seront inscrits au Budgets Primitif 2024.
Délibération adoptée à l'unanimité.
Madame la Maire certifie sous sa responsabilité
le caractère exécutoire de cet acte, informe que
la présente délibération peut faire l’objet d’un
recours pour excès de pouvoir devant le Tribunal
Administratif d’Orléans dans un délai de deux mois
à compter de la présente publication en date du
13 décembre 2023 par voie d'affichage sous forme
électronique sur le site internet de la Ville :
https://www.saintaermaindupuy.fr
Conseil Municipal du 12 décembre 2023 - Délibération n° DEL.2023-12-130
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 d'Eth …. RESSOURCES NUMÉRIQUES PUBLIQUES Re Re Re) (=
Convention relative à la mise en œuvre de la prestation de service
Délégué à la protection des données mutualisé (DPO Mutualisé)
Formule intégrale
ENTRE,
Le GIP RECIA (Région Centre InterActive) sis 3 avenue Claude Guillemin - Bâtiment F1 - BP
36009 - 45060 ORLEANS Cedex 2, représenté par son Directeur, Monsieur Olivier JOUIN,
Ci-après dénommé « le GIP »
d’une part,
“1
La commune de Saint-Germain-du-Puy sis Rue Joliot Curie - 18390 SAINT-GERMAIN-DU-PUY
représenté(e) par Madame Marie-Christine BAUDOUIN, son Maire en exercice.
Ci-après dénommée « l'entité bénéficiaire »
d’autre part,
ILa été convenu ce qui suit
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Sommaire
Presmhüles..ssssnrenennenercsscsnnennamaenennennénenestistste sise Nauru 1
CONS .rcrcinissessnconisssassssivesesdés a RON RARES Ninon l
BÉSL ETUI LS à CE RTE 2
Article1 Périmètre et objectifs de la prestation... sossss mins ae 4
Li ‘Obiectifs dela prestation... 4
12. Périmétrede la Drestatiohssssassnnnnemienssmsrncememsmpemmscmmmmunne 4
Article2 Contenu de la prestation ses ssocssssis svsssssssassaue 4
2.1. Désignation du délégué à la protection des données auprès de l’autorité de
CONTTOLE nrrencesmeseemenesnsoneonnennennneneneneneneenennenneenenenenennemnnnmensmo ddl SAR Sn NEURONES ESS 4
2.2. Accompagnement juridique, conseil et information 5
2.3. Réalisation d’un diagnostic de conformité... 5
2.4. Rapport de diagnostic et plan d'actions de mise en conformité... 6
2.5. Assistance et suivi dans la mise en œuvre du plan d’actions 6
2.6. Rédaction et tenue du registre des activités de traitements... 6
26:1. Taches incombantau DPOMUTUALISÉ css 6
2.6.2. Tâches incombant à l’entité bénéficiaire ss 6
2.6.3. Export du registre/ Réversibilité ss 1
2.7. Conseils pour la réalisation des analyses d’impact relatives à la protection des
données (AIPD css 7
24: AEUoNe de sensibIlSdOissnnemsennreranineninnssnenssenssrrnisssessssus 7
2.9. Gestion des relations avec les usagers et avec l’autorité de contrôle... 7
2.9.1. Relations avec les personnes CONCernées nn É
2:92. Rélations avec l'autorité dé CONtFÔlS..ccccssracerecsunannsesensonmense 8
Article3 Organisation de la prestation... dsédisiss sie éosésisess sssosvèsisé 8
3.1. Déroulement... 8
3.1.1. Missions réalisées au cours de la première année 8
3.1.2. Missions réalisées au cours des années SUIVANTES... 9
32. Méthodologie de travällisssssmmmmmmnennanuncnnarrnnntrane 9
3.2.1. Principe directeur... 9
BUS. ÉÉRRNEENNS-cmomemmmnmmmemmmesanneensenmusnennon 9
Article4 Organisation de l’entité bénéficiaire pour l’exécution de la prestation …..10
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 4.1. Désignation d’une personne référente 10
4.2. Participation du DPO mutualisé aux instances dédiées à la protection des données
10
Article5 Engagements et responsabilités des parties... 10
5.1. Engagements et responsabilités de l’entité bénéficiaire... 10
5.2. Engagements et responsabilités du GIP RECIA 11
Article6 Tarifs de la prestation et modalités de facturation... 11
6.1. Contribution financière de l’entité bénéficiaire 11
6.2. Modalités de paiement des contributions financières... 12
Article7 Prise d'effet et durée de La convention......ssssssmesseseenensee 12
Articleg Résiliation de La convention .…......sssssemsensesenessnsee 13
8.1. Résiliation d’un commun accord iii 13
8.2. Résiliation à l'initiative de l’entité bénéficiaire avant le terme initial de la
CONVENTION snnnnssssssrrrnssressnrsssneseesesnneeeersscreeeeeessseeeeeeeceesesssssnneeensesseesessseseenneeneseesssses 13
8.3. Résiliation en cas de manquements dans l’exécution de la convention 13
Article9 Reconduction de la convention... sssssssssssseensecnsee rss 14
Annexe Montant récapitulatif des contributions financières ............................ 1
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Préambule
La présente convention définit les conditions relatives à la mise en œuvre de la prestation
de service DPO mutualisé pour les entités membres du GIP RECIA.
Cette prestation est accessible aux entités :
- dont la population totale (au sens de l'INSEE) n’excède pas 10 000 habitants pour
les communes;
- dont la tranche d’effectif salarié (TEFEN) n’excède pas 199 salariés pour les autres
entités (organismes publics ou organismes privés chargés d’une mission de service
public).
La réalisation de cette prestation s’échelonne sur une durée de 3 ans à compter de la
signature de la convention. La signature de la présente convention correspond à
engagement ferme de l’entité bénéficiaire sur cette même durée.
Contexte
Depuis le 25 mai 2018, date de l’entrée en vigueur du Règlement Général sur la Protection
des Données (RGPD), les organismes publics doivent nommer un délégué à la protection des
données (Data Protection Officer - DPO) et se mettre en conformité avec les obligations
prévues par la législation en matière de protection des données à caractère personnel et
notamment:
- Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril
2016 relatif à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données dit
« RGPD » ;
- _ Laloin°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés dite « LIL ».
L’entité bénéficiaire a choisi le GIP RECIA en tant que délégué à la protection des données.
Elle lui confie une mission d'accompagnement juridique et technique sur cette thématique.
Page 1 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Définitions
Aux fins de la présente convention, les termes ci-après sont définis de la façon suivante :
Analyse d’impact sur la protection
des données (AIPD)
Autorité de contrôle
Délégué à la protection des
données (DPO ou DPD) mutualisé
Donnée à caractère personnel
(DCP)
Règlement Général sur La
Protection des Données ou
« RGPD »
IL s’agit d’une analyse de risques qui doit
être obligatoirement réalisée lorsque le
traitement est susceptible d’engendrer un
risque élevé pour les droits et libertés des
personnes physiques.
Autorité administrative chargée de veiller
au respect de la réglementation
applicable en matière de protection des
données. En France, c’est la Commission
Nationale de l'Informatique et des
Libertés (CNIL).
Agent mis à disposition par le GIP dans le
cadre du présent avenant et chargé
d'assumer les missions prévues à l’article
39 du RGPD.
Toute information se rapportant à une
personne physique identifiée ou qui la
rend « identifiable » directement ou
indirectement (ex : nom, numéro
d'identification, identifiant, données
biométriques, informations financières
etc.).
Règlement n°2016/679 du Parlement
européen et du Conseil de l’Union
européenne du 27 avril 2016 relatif à la
protection des personnes physiques à
l'égard du traitement des données à
caractère personnel et à la libre
circulation de ces données.
Page 2 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Réglementation Informatique et
Libertés (RIL)
Responsable de traitement
Sous-traitant
Traitement
Terme générique désignant l’ensemble
des normes européennes et de droit
interne applicables en matière de
protection des données.
La personne physique ou morale,
l'autorité publique, le service ou un autre
organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les
moyens du traitement.
Désigne une entité qui prend part au
traitement des données sur instruction du
responsable de traitement.
Toute opération ou tout ensemble
d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des
données ou des ensembles de données à
caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la
structuration, la conservation,
l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation,
la communication par transmission, la
diffusion ou toute autre forme de mise à
disposition, le rapprochement ou
l'interconnexion, la limitation,
l'effacement ou la destruction.
Page 3 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Article 1 Périmètre et objectifs de La prestation
1.1. Objectifs de la prestation
L'objectif de la prestation est de permettre à l’entité bénéficiaire, d’atteindre à l'issue de la
convention, un niveau élevé de conformité avec la réglementation informatique et libertés.
Le partenariat avec le GIP RECIA vise à faciliter l'appropriation des concepts clés de la
réglementation. Il s’agit avant tout de permettre à l'entité bénéficiaire de disposer des outils
et des méthodes pour répondre aux enjeux de la protection des données.
La mise en conformité et la pérennisation de celle-ci nécessite l’implication de tous les
acteurs. C’est pourquoi la prestation a également pour objectif le renforcement de la culture
existante autour de la protection des données.
1.2. Périmètre de la prestation
La prestation concerne l’ensemble des traitements de données à caractère personnel
réalisés par l’entité bénéficiaire, quel que soit leur support. Elle porte à la fois sur les
traitements que l’entité bénéficiaire réalise pour elle-même en tant que responsable de
traitement, mais également sur ceux qu’elle réalise pour le compte d’une autre entité (État,
autre collectivité ou autre organisme public) en tant que sous-traitante du traitement.
La prestation n’inclut pas les traitements qui relèvent des entités satellites de l’entité
bénéficiaire comme les établissements dotés d’une personnalité morale propre (par
exemple: CCAS, associations, EP etc.). Au titre de la présente convention, le GIP est
enregistré auprès de la CNIL comme étant le DPO de l’entité bénéficiaire et uniquement de
celle-ci.
Article 2 Contenu de la prestation
2.1. Désignation du délégué à la protection des données auprès de l’autorité
de contrôle
La désignation d’un DPO auprès de la Commission Nationale de l’Informatique et des
Libertés (CNIL) est obligatoire pour tous les organismes publics conformément à l’article 37
&$ 1-a) du RGPD.
Cela constitue la première action de mise en conformité de l’entité bénéficiaire. À partir de
la date de signature de la présente convention, le GIP procèdera aux formalités nécessaires
auprès de la CNIL pour être enregistré comme DPO de celle-ci.
En cas de non-renouvellement de la convention après la période initiale de 3 ans, le GIP fera
procéder à la radiation de son inscription en tant que DPO de l'entité bénéficiaire auprès de
la CNIL. Celle-ci devra alors désigner un autre DPO. Il en va de même si l'entité bénéficiaire
résilie la convention.
Page 4 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 2.2. Accompagnement juridique, conseil et information
En tant que DPO, le GIP conseille et informe l’entité bénéficiaire sur les obligations qui lui
incombent au titre de la réglementation informatique et libertés.
La prestation comprend un accompagnement juridique et technique permanent sur les 3
années pour aider l’entité bénéficiaire à respecter ses obligations en matière de protection
des données à caractère personnel.
À ce titre, le GIP répond aux sollicitations de l’entité bénéficiaire en :
- effectuant sur demande, une analyse de conformité sur un dispositif ou des
pratiques existants ;
- émettant un avis de conformité ou en formulant des recommandations sur des
projets ultérieurs ;
- apportant son assistance pour la rédaction des clauses relatives à la protection des
données pour les contrats passés entre l'entité bénéficiaire et ses sous-traitants ;
- _ formulant des recommandations sur les mesures techniques et organisationnelles
à mettre en œuvre ou sur les procédures à établir.
Cette prestation est permanente sur toute la durée de la convention.
IL'appartient à l’entité bénéficiaire de veiller à ce que le DPO soit sollicité en temps utile et
dispose de suffisamment de temps pour livrer ses analyses et recommandations.
2.3. Réalisation d’un diagnostic de conformité
Au cours de la première année, suivant la date de prise d’effet de la convention, le DPO
réalise un diagnostic de conformité initial de l’entité bénéficiaire à la réglementation
informatique et libertés.
Les modalités de ce diagnostic sont librement convenues entre le DPO et l'entité
bénéficiaire.
Le diagnostic de conformité est réalisé sur la base des éléments portés à la connaissance du
DPO mutualisé par les agents qui effectuent les traitements. Il ne prétend à aucune
exhaustivité.
Le diagnostic a pour but de permettre de recenser les traitements existants et d’évaluer la
conformité des mesures techniques et organisationnelles mises en place pour garantir le
respect des exigences réglementaires en matière de protection des données.
La réalisation du diagnostic peut amener le DPO à évaluer de façon générale des éléments
liés à la sécurité du système d’information. Toutefois, il ne constitue pas un audit de sécurité
de ce système.
Page 5 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 2.4. Rapport de diagnostic et plan d'actions de mise en conformité
À l'issue du diagnostic, le DPO rédige un rapport pour exposer ses constats sur le niveau
initial de conformité de l’entité bénéficiaire.
Ce rapport contient également les recommandations du DPO ainsi qu’un plan d’actions
synthétique pour la mise en conformité de l’entité bénéficiaire avec la réglementation
informatique et libertés.
Le rapport est remis dans un délai maximal de six mois à compter de la date d'achèvement
du diagnostic.
2.5. Assistance et suivi dans la mise en œuvre du plan d’actions
Le DPO mutualisé apporte son assistance à l'entité bénéficiaire pour la mise en œuvre du
plan d’actions de mise en conformité qu’elle aura décidé.
IL'assure le suivi de ce plan et conseille l’entité bénéficiaire sur les actions à entreprendre.
Les actions figurant dans le plan sont celles issues du diagnostic de conformité évoqué au
point précédent ainsi que celles qui auront pu être identifiées par l’entité bénéficiaire elle-
même.
2.6. Rédaction et tenue du registre des activités de traitements
Le registre des traitements sera centralisé et tenu sous format électronique sur la solution
métier du GIP RECIA. Un accès à cette solution sera fourni à la personne référente au sens
du 4.1.
La tenue du registre des traitements est partagée entre le responsable de traitement et le
DPO mutualisé tel qu’il suit.
2.6.1. Tâches incombant au DPO mutualisé
Le DPO mutualisé proposera des modèles pour les principaux traitements identifiés au cours du diagnostic et devant figurer dans le registre de l’entité bénéficiaire.
À la demande de l’entité bénéficiaire, le DPO mutualisé pourra apporter son assistance dans
la rédaction des fiches conformément à la réglementation.
Le DPO mutualisé s’assure également que les fiches renseignées par l’entité bénéficiaire
sont conformes à la réglementation.
2.6.2. Tâches incombant à l’entité bénéficiaire
L’entité bénéficiaire aura la charge d’adapter le modèle de registre fourni à la réalité de ses
pratiques (durée de conservation, données collectées, mesures de sécurité, etc.).
L’entité bénéficiaire est responsable de la complétude du registre. Elle ajoute les nouveaux
traitements et met à jour les traitements existants au fil de leurs évolutions.
Page 6 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Elle tient le DPO mutualisé informé des modifications qu’elle apporte ou souhaïite apporter
au registre. Il lui appartient de solliciter le DPO mutualisé pour faire contrôler la conformité
des fiches qu’elle aura saisie dans le registre.
2.6.3. Export du registre / Réversibilité
À la demande de l’entité bénéficiaire, le GIP fournit un export du registre dans un format
courant (PDF ou tableur).
L’export est également remis à l’entité bénéficiaire à la fin de la présente convention quel
qu’en soit le motif.
2.7. Conseils pour la réalisation des analyses d’impact relatives à la
protection des données (AIPD)
Si un traitement présente un risque élevé pour les droits et libertés des personnes
physiques, le responsable de traitement doit effectuer une AIPD. Celle-ci relève de la seule
responsabilité de l’entité bénéficiaire. Le DPO mutualisé ne pourra pas être sollicité pour la
réaliser ou la piloter.
Conformément à l’article 39 & 1-c) du RGPD, le DPO mutualisé pourra uniquement
« dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la
protection des données et vérifier l'exécution de celle-ci ».
2.8. Actions de sensibilisation
Le DPO mutualisé pourra mener des actions de sensibilisation auprès des services de l’entité
bénéficiaire.
L'objectif est de permettre l’appropriation des principes et des concepts de la
réglementation ainsi que leur application concrète. Ces actions de sensibilisation pourront
prendre différentes formes: communications thématiques sous la forme de messages
d’information, ateliers en présentiel ou à distance (webinaires). Les thèmes seront proposés
par le GIP RECIA en fonction des besoins exprimés par les membres bénéficiaires du service.
Les actions de sensibilisation pourront être mutualisées avec les différents membres du GIP
RECIA bénéficiaires de la prestation d'accompagnement juridique. Elles ne présentent pas
de caractère obligatoire et sont réalisées soit sur demande des entités bénéficiaires soit sur
l'initiative du GIP RECIA.
2.9. Gestion des relations avec les usagers et avec l’autorité de contrôle
2.9.1. Relations avec les personnes concernées
Les personnes concernées par les traitements pourront s’adresser tant aux services de
l'entité bénéficiaire qu’au DPO mutualisé pour exercer Les droits qui leurs sont garantis par
la législation applicable en matière de protection des données.
Page 7 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Le cas échéant, le DPO mutualisé apportera son expertise pour aider l’entité bénéficiaire à
traiter la demande.
2.9.2. Relations avec l’autorité de contrôle
Le DPO mutualisé sera l'interlocuteur privilégié de la CNIL pour ce qui concerne l’entité
bénéficiaire.
Il apporte son assistance à l’entité bénéficiaire dans toutes les démarches et formalités
qu’elle devra accomplir auprès de la CNIL. IL aide notamment l’entité bénéficiaire à
répondre aux demandes de cette dernière.
Conformément à la réglementation informatique et libertés, le DPO mutualisé coopère avec
l'autorité de contrôle et tient à sa disposition les éléments dont il a connaissance.
Article 3 Organisation de la prestation
3.1. Déroulement
La mise en conformité est une démarche sur le long terme. C’est pourquoi la présente
convention est conclue pour une durée de trois ans.
La cible est qu’à l'issue des trois années, l’entité bénéficiaire ait pu élever son niveau de
conformité de façon suffisante afin que les données personnelles dont elle a la
responsabilité soient traitées avec le niveau de protection adapté.
Les différents éléments de la prestation sont répartis sur les trois années de réalisation de
la convention. Le déroulement de principe est celui exposé dans les paragraphes suivants.
Les parties peuvent librement convenir d’une autre organisation si elles le souhaïitent. Le
cas échéant, la nouvelle organisation est matérialisée par un écrit.
3.1.1. Missions réalisées au cours de la première année
Sont réalisées au cours de la première année d’exécution de la convention, les missions
suivantes :
- enregistrement du DPO auprès de la CNIL comme exposé au 2.1;
- accompagnement juridique et technique permanent au sens du 2.2;
- réalisation du diagnostic initial de conformité et remise du rapport dans les
conditions prévues aux 2.3 et 2.4;
- _initialisation de la première version du registre des traitements dans les
conditions prévues au 2.6;
- conseils pour la réalisation des AIPD tel que prévu au 2.7;
- gestion des relations avec les personnes concernées et l’autorité de contrôle
dans les conditions du 2.9.
Page 8 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 3.2.
3.1.2. Missions réalisées au cours des années suivantes
accompagnement juridique et technique permanent au sens du 2.2 ;
assistance et suivi dans la mise en œuvre des actions de mise en conformité
tel que prévu au 2.5;
supervision du registre des traitements conformément au 2.6 ;
actions de sensibilisation définies au 2.8 ;
conseils pour la réalisation des AIPD tel que prévu au 2.7;
gestion des relations avec les personnes concernées et l’autorité de contrôle
dans les conditions du 2.9.
Méthodologie de travail
3.2.1. Principe directeur
Conformément à l’article 39 du RGPD, « Le délégué à la protection des données tient dûment
compte, dans l'accomplissement de ses missions, du risque associé aux opérations de
traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement ».
En tant que DPO mutualisé, le GIP RECIA se focalisera essentiellement sur les traitements
susceptibles de générer des risques importants pour les personnes concernées.
Le DPO mutualisé veille à ce que ses recommandations et analyses soient bien adaptées au
contexte spécifique de l'entité bénéficiaire.
3.2.2. Éléments analysés
Pour accomplir ses missions, le DPO mutualisé sera amené à analyser plusieurs éléments et
notamment sans que cette liste ne soit exhaustive :
les méthodes utilisées pour collecter des données : outils numériques,
formulaires papier, etc. ;
les méthodes employées pour conserver les données : durées, conditions de
stockage numérique et physique ;
les pratiques quotidiennes des services en matière d'utilisation et de
transmission des données ;
les mesures techniques et organisationnelles mises en œuvre pour garantir
la sécurité des données et Le respect des droits des personnes concernées ;
les sites Internet, les pages de réseaux sociaux et les applications mobiles
appartenant à l'entité bénéficiaire.
Page 9 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Article 4 Organisation de l’entité bénéficiaire pour l’exécution de la prestation
4.1. Désignation d’une personne référente
L’entité bénéficiaire désigne obligatoirement une personne référente qui sera
l'interlocuteur privilégié du DPO mutualisé.
Elle fait connaître au GIP RECIA l'identité ainsi que les coordonnées de cette personne
référente.
La personne référente accomplit les tâches suivantes :
- _elle centralise les informations nécessaires à l’exercice des missions du DPO
mutualisé ;
- elle organise l'intervention du DPO mutualisé pour la réalisation du
diagnostic de conformité : il lui appartient de planifier les entretiens avec les
services et d’identifier Les éléments qui devront être soumis à l’analyse du
DPO ;
- _elle veille à ce que le DPO mutualisé puisse accomplir sereinement ses
missions en optimisant ses déplacements et interventions ;
- _elle contrôle la tenue du registre des traitements et s'assure de sa
complétude ;
- elle associe le DPO mutualisé d’une manière appropriée et en temps utile
pour toutes les démarches obligatoires liées à La protection des données à
caractère personnel (exercice de droits, violation de données, etc.) ;
- elle fait le lien entre le DPO mutualisé et les différents services et recense les
besoins pour les actions de sensibilisations définies au 2.8.
4.2. Participation du DPO mutualisé aux instances dédiées à la protection des
données
À la demande de l'entité bénéficiaire, le DPO mutualisé pourra participer aux différentes
instances dédiées à la protection des données existantes en son sein.
Le cas échéant, l’entité bénéficiaire veille à ce que le DPO mutualisé soit informé
suffisamment à l’avance des dates de réunion des instances concernées.
Article 5 Engagements et responsabilités des parties
5.1. Engagements et responsabilités de l’entité bénéficiaire
En tant que responsable de traitement, l’entité bénéficiaire reste seule responsable du
respect par ses services de la réglementation applicable. Il lui appartient de mettre en
œuvre les mesures techniques et organisationnelles appropriées et d’effectuer les
Page 10 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 déclarations obligatoires auprès de l’autorité de contrôle (par exemple en cas de violation
de données).
L’entité bénéficiaire s'engage à respecter les dispositions de la présente convention et à
s'acquitter des tâches qui lui incombent pour faciliter l’exercice des missions du DPO
mutualisé.
Elle veille à ce que tous les éléments nécessaires à l’exercice de ces missions soient fournis
ou accessibles au DPO mutualisé et ce à tout moment.
Elle s'engage également à ce que l’identité et les missions du DPO mutualisé soient connues
des services et à l’implication de ceux-ci dans la démarche de mise en conformité.
Enfin, l'entité bénéficiaire s’assure que le DPO mutualisé puisse réaliser sa mission en toute
indépendance sans interférences dans les échanges que ce dernier pourra avoir avec les
services.
5.2. Engagements et responsabilités du GIP RECIA
Conformément à l’article 38 8 5 du RGPD, le DPO mutualisé est soumis à une obligation de
confidentialité. Il s'engage à ne divulguer aucune information ou aucun élément auquel il
aurait pu accéder dans le cadre de la prestation prévue par la présente convention.
Toutefois, cette obligation ne pourra pas être opposée à l’autorité de contrôle ou aux
autorités judiciaires.
Le GIP RECIA veille à ce que les missions du DPO mutualisé n’entraînent pas de conflit
d’intérêt, en particulier au regard des autres prestations réalisées par le GIP pour le compte
de l'entité bénéficiaire.
Le GIP RECIA s'engage également à assurer la continuité de service en s’assurant qu’un DPO
mutualisé sera toujours disponible pour répondre aux sollicitations de l’entité bénéficiaire.
Conformément aux articles 24 du RGPD et 57 de la LIL, ni le DPO mutualisé, ni le GIP RECIA
ne sauraient être tenus responsables des éventuels manquements qui seraient constatés
dans l’application de la réglementation en matière de protection des données.
Article 6 Tarifs de la prestation et modalités de facturation
6.1. Contribution financière de l’entité bénéficiaire
La prestation « Accompagnement juridique - Délégué à la protection des données » donne
lieu au paiement d’une contribution financière annuelle.
Pour l’entité bénéficiaire, le montant de la contribution financière annuelle est de 3900 €
Page 1l sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 6.2. Modalités de paiement des contributions financières
Le GIP RECIA est un organisme de droit public soumis aux règles de la comptabilité publique
et au principe d’annualité budgétaire. Les contributions financières sont exigibles dès le 1°
janvier de chaque année d’exécution de la convention.
Lorsque la convention prend effet à la date du 1° juillet conformément à l’Article 7 Prise
d'effet et durée de la convention, la contribution est proratisée pour la première et la
dernière année en fonction du temps restant par rapport à la fin d'année civile. Le cas
échéant, lorsque la convention est reconduite à l’issue de la dernière année d'engagement,
une facturation complémentaire pour six (6) mois sera adressée à l'entité bénéficiaire afin
que les années suivantes puissent être facturées en année pleine sur la base de l’année
civile.
Article 7 Prise d'effet et durée de la convention
La convention prend effet soit à compter du 1° janvier soit à compter du 1° juillet de l’année
en cours. La date de prise d’effet est déterminée par la date de signature de la dernière partie à signer de sorte que :
- Lorsque la dernière partie signe La convention avant le 1° juillet de l’année en
cours, celle-ci prend effet au 1° juillet.
- Lorsque la dernière partie signe la convention après Le 1° juillet de l’année en cours, celle-ci prend effet au 1° janvier de l’année suivante.
La convention est conclue pour une durée de trois ans. En souscrivant cette prestation
complémentaire, l’entité bénéficiaire accepte un engagement ferme et définitif pour les
trois années.
Page 12 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Article 8 Résiliation de la convention
8.1. Résiliation d’un commun accord
Les parties pourront résilier la convention à tout moment d’un commun accord. La
résiliation prendra effet à la fin de l’année en cours et ne donne pas lieu au remboursement
des contributions versées par l’entité bénéficiaire
8.2. Résiliation à l'initiative de l’entité bénéficiaire avant Le terme initial de la
convention
Dans l'hypothèse où l’entité bénéficiaire souhaiterait résilier La présente convention avant
le terme des trois années d'engagement, elle devra s'acquitter de la totalité des
contributions financières exigibles pour les années effectuées et en cours.
ILen va de même si l’entité bénéficiaire perd la qualité de membre du GIP RECIA. La perte de
la qualité de membre quel qu’en soit le motif entraine la fin automatique de la présente
convention. Le cas échéant, la convention sera considérée comme ayant été résiliée par
l'entité bénéficiaire à sa date de sortie du GIP RECIA.
8.3. Résiliation en cas de manquements dans l’exécution de la convention
En cas de manquements répétés de l’une des parties aux engagements définis dans la
présente convention, l’autre partie pourra résilier la convention après avoir mis en demeure
la partie défaillante d’honorer ses engagements par lettre recommandée avec accusé de
réception.
Les parties s'engagent à rechercher une solution amiable préalablement à la mise en œuvre
de la présente clause. Elles conviennent que le maintien de la convention doit être la voie
privilégiée.
Lorsque la résiliation est prononcée aux torts exclusifs du GIP, l'entité bénéficiaire pourra
être remboursée de la contribution versée pour l’année en cours.
Lorsque la résiliation est prononcée aux torts exclusifs de l’entité bénéficiaire, elle devra
s'acquitter de la contribution financière prévue pour l’année en cours ou ne sera pas
remboursée si cette dernière a déjà été versée.
Page 13 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Article 9 Reconduction de la convention
À l'issue des trois années d’engagement, la présente convention sera reconduite
tacitement. Si l’entité bénéficiaire ne souhaite pas la reconduction, elle doit en informer le
GIP RECIA par écrit en respectant un préavis de deux mois avant la date de fin indiquée à
l'Article 7 Prise d'effet et durée de la convention.
La présente convention sera reconduite pour une durée d’un an renouvelable tacitement
sur la base des missions correspondantes aux « années suivantes » conformément au 3.1.2.
Si l'entité bénéficiaire ne souhaite pas la reconduction, elle en informe le GIP RECIA par écrit
en respectant un préavis de deux mois avant la date de fin de l’engagement annuel.
Toutefois, en cas d’arrêt de la prestation d'accompagnement juridique ou de modification
des conditions de son offre de service, le GIP RECIA pourra refuser de reconduire la présente
convention. Le cas échéant, les nouvelles conditions seront proposées à l'entité
bénéficiaire.
Pour le GIP RECIA Pour l’entité bénéficiaire
Olivier JOUIN Marie-Christine BAUDOUIN
Directeur Maire
(cachet + date de signature) (cachet + date de signature)
Page 14 sur 14
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 Annexe 1 Montant récapitulatif des contributions financières
Les contributions financières de l’entité bénéficiaire seront les suivantes :
Si prise d’effet au 1° janvier :
> Engagement initial de 3 ans:
Année 1 3900 €
Année 2 3900 €
Année 3 3900 €
Soit un total de 11700 €
> En cas de reconduction :
Chaque année renouvelée : 3900 €
Si prise d’effet au 1° juillet :
> Engagement initial de 3 ans :
Année de prise d’effet (prorata 6 mois) 1950 €
Année 2 3900 €
Année 3 3900 €
Année de clôture (prorata 6 mois) 1950 €
Soit un total de 11700 €
> En cas de reconduction :
Reconduction pour 6 mois sur l’année de clôture : 1950 €
puis chaque année renouvelée à partir du 1° janvier : 3900 €
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023 LEE entre — Val de Loire
RÉFÉRENT DPO / GIP RECIA
NOM DE LA COLLECTIVITÉ
RÉFÉRENT (Prénom - NOM)
FONCTION DANS LA COLLECTIVITÉ
ADRESSE E-MAIL
TÉLÉPHONE
GIP RECIA - Référent DPO
Accusé de réception en préfecture
018-211802137-20231212-DEL-2023-12-130-DE
Date de télétransmission : 13/12/2023
Date de réception préfecture : 13/12/2023