Point sur la formation des délégués à la protection des données (DPD)
Protéger les données personnelles
Les collectivités territoriales traitent de nombreuses données personnelles, pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion des ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web.
Le RGPD leur impose de prendre les mesures organisationnelles et techniques destinées à protéger la vie privée et les libertés individuelles des personnes auxquelles appartiennent ces données.
La CNIL peut à tout moment opérer des contrôles et le régime des sanctions est dissuasif si elle constate des manquements au respect des règles (avertissement public, interdiction de mettre en place des dispositifs non conformes, amende pouvant aller jusqu’à 20 millions d’euros).
Ainsi, chaque Maire / Président est responsable de la gestion de l’information utilisée dans le cadre des missions menées et doit être en mesure de prouver, à l’autorité de contrôle CNIL, le respect des exigences réglementaires dans les processus qu’il(elle) met en œuvre (y compris avec les partenaires et prestataires).
Le RGPD impose à toutes les structures publiques de désigner un délégué à la protection des données (DPD). Cela concerne les collectivités ainsi que tout organisme ou autorité publique locale agissant en tant que responsable de traitement ou sous-traitant.
Pour aider les collectivités, HGI-ATD propose une mission DPD externe mutualisé de pilotage et d’accompagnement de la démarche de conformité au RGPD des collectivités territoriales adhérentes qui le souhaitent.
Une mission DPD proposée aux collectivités locales par HGI-ATD
Pour rappel, HGI-ATD propose une mission DPD d’accompagnement et de diffusion des bonnes pratiques de protection et de sécurité des données. Elle intervient en conseil auprès des collectivités afin qu’elles puissent satisfaire aux exigences de conformité au RGPD en fonction des risques encourus. Elle mène, évalue et suit la démarche de conformité RGPD engagée par les collectivités qui l’ont désignées.
Missions HGI-ATD DPD externe mutualisé :
- informer, conseiller, sensibiliser les élus responsables de traitements de données ;
- élaborer et mettre en œuvre la politique, les procédures et les outils de la conformité RGPD ;
- contrôler le respect du RGPD (Analyses de conformité / Avis et recommandations) ;
- préconiser la réalisation des analyses d’impact sur la protection des données (AIPD) / Vérifier leur exécution ;
- alerter les élus sur les manquements aux règles de protection des données constatés ;
- animer et former les relais RGPD désignés dans les collectivités ;
- administrer le registre des registres des collectivités et recueillir la documentation de conformité ;
- être l’interlocuteur de la CNIL ;
- auditer la conformité des traitements de données au RGPD.
Pour entamer cette démarche et compte tenu du nombre de collectivités (530) ayant choisi de désigner HGI-ATD en tant que DPD, il est nécessaire que chaque collectivité désigne une personne en tant que Relais RGPD pour relayer l’information relative :
- aux traitements de données personnelles à identifier, quantifier et mettre en conformité légale ;
- aux pratiques de sécurité informatique à mettre en œuvre.
Missions du relai RGPD
Désigné par le représentant légal de sa collectivité, le Relai RGPD contribue à l'instruction des dossiers de conformité RGPD des traitements de sa collectivité et participe à l'élaboration des procédures internes et des mesures de sécurité à mettre en œuvre. Il est ainsi amené dans le cadre de cette mission à :
- informer et conseiller le Maire / Président et les agents en matière de protection et de sécurité des données. Il assure un relai entre sa collectivité et le DPD ;
- remonter au DPD l’information sur l’utilisation des données. Signaler les difficultés rencontrées, les incidents de sécurité et les réclamations des administrés ;
- pré-instruire les dossiers de conformité RGPD dans la description et la documentation des traitements de données (avec l'objectif d'être autonome une fois monté en compétence) ;
- veiller au quotidien à la bonne application des procédures et des mesures définies (ex : exercice des droits des personnes ; la charte Informatique ; la gestion des habilitations d’accès à l’information) ;
- participer à la vie du réseau des Relais RGPD Collectivités 31 (veille, actualités, échange entre relais, participation aux réunions…).
Pour être relai RGPD, aucune compétence spécifique n’est requise.
Un Mooc pour accompagner les relai RGPD
Tous les relais des collectivités adhérentes n’ayant pas pu assister aux sessions 2019 de sensibilisation au RGPD et compte tenu de la crise sanitaire inédite qui frappe aujourd’hui la France, HGI-ATD propose à tous les relais RGPD de suivre la formation gratuite de la CNIL en ligne sur le RGPD (Mooc), intitulée « Atelier RGPD ».
- Le Mooc est structuré en 4 modules (durée moyenne de 5 h / module) :
- Module 1 - Le RGPD et ses notions clés
- Module 2 - Les principes de la protection des données
- Module 3 - Les responsabilités des acteurs
- Module 4 - DPD et les outils de la conformité
(Mooc (Massive Open Online Course) : formation à distance capable d'accueillir un grand nombre de participants.)
Devant l’impossibilité actuelle de maintenir la programmation des sessions de formations 2020 en présentiel et en remplacement, ce format de cours numérique est la solution la plus adaptée choisie par HGI-ATD afin que chaque relai RGPD puisse, à son rythme, s’initier à la protection et la sécurité des données ou même vérifier et valider ses connaissances dans ce domaine.
La CNIL délivre à l’issue, une attestation de suivi de l’intégralité de son Mooc.
Cet apprentissage est fortement recommandé, car il permettra à HGI-ATD de poursuivre le déploiement du plan d’action et d’accompagner la mise en conformité au RGPD des traitements des collectivités adhérentes en collaboration avec les relais RGPD. Collaboration que l’Agence ambitionne d’organiser à moyen terme en réseau ou club de Relais RGPD Collectivités 31.
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.