Assurer votre conformité en 4 étapes
La démarche de conformité RGPD ne doit pas être perçue que comme une contrainte technique ou juridique. C’est avant tout l’occasion de faire le point sur l’utilisation des services numériques dans la collectivité et de s’assurer que la protection des données personnelles a bien été prise en compte. La mise en conformité au RGPD passe par plusieurs étapes successives et certaines de ces actions doivent perdurer dans le temps pour être efficaces (formation, évolution des procédures, etc.). Il s’agit d’une démarche active et en continu.
-
Recenser les traitements
Le RGPD impose au responsable de traitement de tenir un registre listant les traitements de données. Il vous permet d’avoir une vision claire et globale des activités de la collectivité qui nécessitent la collecte et le traitement de données personnelles.
La tenue du registre est l’occasion de sensibiliser les services aux enjeux de la protection des données. Dans les faits, ce registre est souvent tenu par le DPO.
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- le ou les objectifs poursuivis par chaque traitement (finalité(s) du traitement ex : tenue de l’état civil) ;
- les catégories de personnes concernées et de données utilisées (ex : nom, nationalité, adresse, etc.) ;
- qui a accès aux données (personnes habilitées – ex : service RH pour la paie) et à qui elles seront communiquées (les destinataires - ex : les services des impôts) ;
- les durées de conservation de ces données (durée d’utilité et durée de conservation en archive) ;
- les mesures de sécurité envisagées (ex : politique des mots de passe, etc.) ;
- le cas échéant, les transferts de données à caractère personnel en dehors de l’UE ou à une organisation internationale.
Pour plus d'informations, consultez la fiche pratique sur le registre des activités de traitement.
-
Faites le tri dans vos données
Chaque fiche du registre vous permet de vérifier :
- que les données traitées sont bien pertinentes et nécessaires à l’objectif poursuivi (principes de pertinence et de minimisation).
Exemple de pertinence : pour l’inscription à l’école élémentaire, il est légitime de demander un livret de famille, un justificatif de domicile et un document attestant que l’enfant a reçu les vaccinations obligatoires pour son âge.
Lors d’une inscription scolaire, il n’est en revanche pas pertinent de demander le numéro de sécurité sociale du ou des représentants légaux ou encore la copie de leur carte Vitale. Pour la gestion de la cantine scolaire, il suffit d’enregistrer uniquement les informations relatives au régime alimentaire et aux aliments à proscrire pour un élève plutôt que d’inscrire son état de santé (ex. : « diabétique ») ou de mentionner sa religion.
- la nature des données traitées afin d’adopter des mesures de sécurité adaptées aux risques spécifiques associés aux données.
Exemple de mesure de sécurité : les établissements scolaires et périscolaires sont amenés à collecter des données relatives à la santé des mineurs qu’ils accueillent dans le cadre des projets d’accueil individualisé (PAI). Dans la mesure où ces informations sont sensibles, elles doivent faire l’objet de mesures de protection particulières (rangement sécurisé, etc.).
- que seuls les agents habilités ont accès aux données dont ils ont besoin.
Exemple de destinataire : dans le cadre des demandes d’actes d’état civil, l’accès aux informations nécessaires à l’instruction de ces demandes doit être limité aux seuls agents chargés de cette activité.
- que les données ne sont pas conservées au-delà de ce qui est nécessaire en fixant précisément la durée de conservation et d’archivage des données (principe de durée limitée de conservation des données).
Exemple de durée de conservation : dans le cadre d’un fichier de prévention de la délinquance mis en oeuvre par une mairie, les données sur une personne peuvent être conservées pendant le temps du suivi. Les données peuvent ensuite être conservées en archive durant 3 ans après la fin du suivi. En tout état de cause, dans la mesure où dans le cadre des programmes de prévention de la délinquance, les personnes concernées ne peuvent être suivies que jusqu’à 25 ans, aucune donnée ne doit être conservée au-delà de cette limite d’âge.
-
Respecter les droits des administrés
Le nombre toujours croissant de plaintes reçues par la CNIL témoigne de la sensibilité accrue des personnes concernant la protection de leurs données personnelles. En 2018, près de 74 % des plaintes reçues concernent l’exercice pratique des droits : absence de réponse de la part des organismes ou refus non motivé, absence de procédure en ligne pour exercer ses droits, etc.
Informez les personnes dont vous traitez les données
Chaque fois que des données personnelles sont recueillies, que ce soit sur un formulaire, par l’intermédiaire d’un téléservice ou par oral, vous devez informer en toute transparence les personnes concernées des conditions d’utilisation de leurs données et de leurs droits, en particulier :
- vos coordonnées (le nom et les coordonnées du responsable du traitement) ;
- pourquoi vous collectez ces données (l’objectif de la collecte des données,
- par exemple pour gérer l’état civil) ;
- ce qui vous autorise à traiter ces données (l’exécution d’une mission de service public,
- le consentement de la personne concernée, etc.) ;
- qui a accès aux données (les services internes compétents, un prestataire, etc.) ;
- combien de temps vous conservez les données (la durée de conservation) ;
- comment les personnes peuvent exercer leurs droits (via leur espace personnel
- ou par un message adressé au DPO) ;
- si vous transférez les données hors de l’Union européenne (notamment par le biais
- d’un sous-traitant, le pays et l’encadrement juridique qui maintient le niveau
- de protection des données doivent être précisés).
Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez, par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité/page vie privée sur votre site web.
Organisez et facilitez l’exercice des droits des administrés et des agents
Les personnes (agents, administrés, prestataires, etc.) ont des droits sur leurs données.
Vous devez permettre aux personnes d’exercer effectivement et le plus simplement possible leurs droits :
- droit d’accès : la personne accède à toutes les informations détenues sur elle ;
- droit de rectification : la personne modifie des informations détenues sur elle ;
- droit d’opposition : la personne refuse l’utilisation des informations détenues sur elle ;
- droit d’effacement : la personne demande la suppression des informations détenues sur elle ;
- droit à la portabilité : la personne récupère dans un format ouvert et lisible par machine les informations détenues sur elle ;
- droit à la limitation : la personne demande à « geler » l’utilisation des informations détenues sur elle.
Ces droits comprennent chacun des exceptions et des limitations spécifiques, en fonction de la base légale du traitement ou de son contexte. Par exemple, le droit d’opposition ne s’applique pas aux traitements dont la base légale est le respect d’une obligation légale (fichiers d’état civil ou fiscal).
Bonne pratique
Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez aux administrés la possibilité d’exercer leurs droits à partir de leur compte.
Mettez en place, par l’intermédiaire du DPO, un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois maximum).
-
Sécurisez les données
Vous devez mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données. En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérence avec les risques pour les droits et libertés des personnes concernées (ex : usurpation d’identité).
Trois types de risques sont ainsi à considérer : l’accès illégitime à des données, leur modification non désirée et leur disparition. Ces risques ne sont pas théoriques. Tous les jours, la CNIL reçoit des notifications de violation de données qui témoignent des faiblesses de la sécurisation de nombreux systèmes d’information. Ces incidents peuvent avoir des conséquences très préjudiciables pour les personnes dont les données sont concernées et des répercussions réputationnelles très importantes pour les organismes.
Bonne pratique
Les agents disposent d’un identifiant propre avec un mot de passe personnel, complexe, et régulièrement mis à jour. Leurs accès aux fichiers sont définis en fonction de leurs besoins réels en lien avec l’exercice de leur mission et leurs comptes informatiques sont clos à la fin de leur contrat. Les armoires sont fermées à clé. Les mots de passe sont changés régulièrement et ils sont suffisamment complexes.
Voici quelques vérifications que vous pouvez déjà effectuer
- les accès aux locaux sont-ils sécurisés ?
- les armoires et coffre-fort sont-ils fermés à clés systématiquement ?
- les comptes utilisateurs sont-ils protégés par des mots de passe d’une complexité suffisante ? Sont-ils clos à la fin des contrats des agents ?
- des profils distincts sont-ils prévus selon les besoins des utilisateurs pour accéder aux données ?
- les postes de travail sont-ils sécurisés (ex : verrouillage automatique de session, antivirus et logiciels à jour) ?
- le personnel est-il sensibilisé à la protection de la vie privée ?
- Une charte informatique est-elle signée ?
- des mobiles multifonctions (smartphone), ordinateurs portables ou clé USB sont-ils utilisés ? Leur usage est-il encadré ?
- des procédures de sauvegardes régulières et de récupération des données en cas d’incident sont-elles mises en place ?
Que faire en cas de violation de données ?
Des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées (courriels transmis à des mauvais destinataires, équipement perdu ou volé, publication involontaire de données sur internet, etc.) ? Cet incident constitue une « violation de données ».
Si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, vous devez la signaler à la CNIL dans les 72 heures. Cette notification s’effectue en ligne sur le site web de la CNIL.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.
Pour plus d'informations, consultez la fiche pratique sur la sécurité des données.
- Le registre des activités de traitement
- Des exemples de mentions d’information sont disponibles sur le site web de la CNIL
- Respecter les droits des personnes
- Recommandation de la CNIL sur les mots de passe et conseils pratiques
- Guide des bonnes pratiques de l’informatique réalisé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Confédération des petites et moyennes d’entreprises (CPME)
- Guide sécurité des données personnelles sur le site web de la CNIL
- Le site gouvernemental cybermalveillance.gouv.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés