DPO / Protection des données

Dernière modification : 10 janvier 2023

Contexte

Depuis le 25 mai 2018 est entré en vigueur le Règlement Général sur la Protection des Données appelé RGPD (UE 2016/679). Et le 20 juin 2018 a été publié dans le JO la loi relative à la protection des données personnelles qui adapte le RGPD à la loi française.

Une des grandes nouveautés du RGPD par rapport à la loi « Informatique et Libertés », est la responsabilisation des acteurs qui traitent les données à caractère personnel. Ils doivent prendre toutes les mesures en matière de protection des données à caractère personnel et démontrer leur conformité à tout moment.

Tout organisme public qui traite des données à caractère personnel est dans l’obligation de se conformer au RGPD.

Celui-ci impose à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données qui sera le pilote de sa mise en conformité.

 

Pour accompagner les collectivités dans leur mise en conformité et diminuer le coût inhérent, l’Agence propose un service de DPO (Data Protection Officer, en français Délégué à la protection des données) mutualisé.

CLIQUEZ ICI  pour consulter notre brochure sur le sujet.

Télécharger le modèle d'Arrêté de désignation du délégué à la protection des données personnelles.

Mission

C’est l’article 39 du RGPD qui définit les missions du délégué à la protection des données.

Les missions du DPO sont les suivantes :

  • informer et conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents,
  • réaliser l’inventaire des données de l’organisme et de leurs traitements, gérer le registre de traitements,
  • contrôler le respect du règlement et du droit national en matière de protection des données,
  • piloter la conformité en continu et identifier les actions à mener au regard des risques sur les droits et libertés des personnes,
  • conseiller la collectivité sur la réalisation d'analyses d'impact relatives à la protection des données et de la vie privée, et en vérifier l'exécution,
  • diffuser une culture « Informatique & Libertés » au sein de la collectivité,
  • coopérer avec la CNIL et être le point de contact de celle-ci,
  • notifier dans les 72h à l’autorité de contrôle, et selon le cas aux personnes concernées, les incidents intervenus.

Dans l'exercice de ses missions, le délégué doit être à l'abri des conflits d'intérêts, il doit pouvoir agir de manière indépendante vis-à-vis du responsable du traitement.

Le délégué ne peut être tenu pour responsable en cas de non-conformité ou de non-respect du règlement par le responsable du traitement ou le sous-traitant. 

Participation

(en sus de l’abonnement au service)

À partir du 1er janvier 2023, la participation est définie par convention, sur la base de 290,00 euros par demi-journée d’intervention après estimation de la mission.

Pour le suivi annuel de la conformité au RGPD, l’abonnement est fixé comme suit :

  • 0,43 euro par habitant pour les communes avec un minimum de 218,00 euros et un maximum de 1 858,00 euros,
  • 0,06 euro par habitant pour les syndicats avec un minimum de 218,00 euros et un maximum de 941,00 euros.

Deux phases sont à prévoir :

  • la phase initiale de mise en conformité de la collectivité par rapport au RGPD
    • La désignation de l’Agence comme DPO à la CNIL (article 37 du RGPD)
    • L’inventaire des traitements de données
    • La constitution d’un registre de traitement (article 30 du RGPD)
    • Les recommandations et informations
    • La mise en place de procédures internes et de la documentation
    • La mise à disposition de l’outil informatique de gestion et de suivi de la conformité au RGPD
  • la phase d’abonnement au service DPO pour la conformité en continue