Le RGPD impose au responsable de traitement de tenir un registre listant les traitements de données. Il vous permet d’avoir une vision claire et globale des activités de la collectivité qui nécessitent la collecte et le traitement de données personnelles.

Pour avoir un registre exhaustif et à jour, il est nécessaire d’être en contact régulier avec toutes les personnes de la collectivité susceptibles de traiter des données personnelles.

• que les données traitées sont bien pertinentes et nécessaires à l’objectif poursuivi (principes de pertinence et de minimisation) ;
• la nature des données traitées afin d’adopter des mesures de sécurité adaptées aux risques spécifiques associés aux données ;
• que seuls les agents habilités ont accès aux données dont ils ont besoin ;
• que les données ne sont pas conservées au-delà de ce qui est nécessaire en fixant précisément la durée de conservation et d’archivage des données (principe de durée limitée de conservation des données).

• Informez les personnes dont vous traitez les données ;
• Organisez et facilitez l’exercice des droits des administrés et des agents ;
• Les personnes (agents, administrés, prestataires, etc.) ont des droits sur leurs données. Vous devez permettre aux personnes d’exercer effectivement et le plus simplement possible leurs droits.
• Mettez en place, par l’intermédiaire du DPO, un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois maximum)

Bonne pratique : si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez aux administrés la possibilité d’exer­cer leurs droits à partir de leur compte.

Vous devez mettre en place des mesures techniques et organisationnelles pour garantir la sé­curité des données. En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérence avec les risques pour les droits et libertés des personnes concernées (ex : usurpation d’identité).

Trois types de risques sont ainsi à considérer : l’accès illégitime à des données, leur modification non désirée et leur disparition.

Bonne pratique : les agents disposent d’un identifiant propre avec un mot de passe personnel, complexe, et régulièrement mis à jour. Leurs accès aux fichiers sont définis en fonction de leurs besoins réels en lien avec l’exercice de leur mission et leurs comptes informatiques sont clos à la fin de leur contrat. Les armoires sont fermées à clé. Les mots de passe sont changés régulièrement et ils sont suffisamment complexes.

Des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées (courriels transmis à des mauvais destinataires, équipement perdu ou volé, publication involontaire de données sur internet, etc.) ? Cet incident constitue une « violation de données ». Si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, vous devez la signaler à la CNIL dans les 72 heures.