Collectivités territoriales : comment assurer votre conformité avec un plan d’action en 4 étapes ?
La démarche de conformité RGPD ne doit pas être perçue que comme une contrainte technique ou juridique. C’est avant tout l’occasion de faire le point sur l’utilisation des services numériques dans la collectivité et de s’assurer que la protection des données personnelles a bien été prise en compte. La mise en conformité au RGPD passe par plusieurs étapes successives et certaines de ces actions doivent perdurer dans le temps pour être efficaces (formation, évolution des procédures, etc.). Il s’agit d’une démarche active et en continu.
Étape
1
Recensez les traitements
Le RGPD impose au responsable de traitement de tenir un registre listant les traitements de données. Il vous permet d’avoir une vision claire et globale des activités de la collectivité qui nécessitent la collecte et le traitement de données personnelles.
Pour avoir un registre exhaustif et à jour, il est nécessaire d’être en contact régulier avec toutes les personnes de la collectivité susceptibles de traiter des données personnelles.
Étape
2
Faites le tri dans les données
Chaque fiche du registre vous permet de vérifier
- que les données traitées sont bien pertinentes et nécessaires à l’objectif poursuivi (principes de pertinence et de minimisation) ;
- la nature des données traitées afin d’adopter des mesures de sécurité adaptées aux risques spécifiques associés aux données ;
- que seuls les agents habilités ont accès aux données dont ils ont besoin ;
- que les données ne sont pas conservées au-delà de ce qui est nécessaire en fixant précisément la durée de conservation et d’archivage des données (principe de durée limitée de conservation des données).
Étape
3
Respectez les droits des administrés
- Informez les personnes dont vous traitez les données ;
- Organisez et facilitez l’exercice des droits des administrés et des agents ;
- Les personnes (agents, administrés, prestataires, etc.) ont des droits sur leurs données. Vous devez permettre aux personnes d’exercer effectivement et le plus simplement possible leurs droits.
- Mettez en place, par l’intermédiaire du DPO, un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois maximum)
Bonne pratique : si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez aux administrés la possibilité d’exercer leurs droits à partir de leur compte.
Étape
4
Sécurisez les données
Vous devez mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données. En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérence avec les risques pour les droits et libertés des personnes concernées (ex : usurpation d’identité).
Trois types de risques sont ainsi à considérer : l’accès illégitime à des données, leur modification non désirée et leur disparition.
Bonne pratique : les agents disposent d’un identifiant propre avec un mot de passe personnel, complexe, et régulièrement mis à jour. Leurs accès aux fichiers sont définis en fonction de leurs besoins réels en lien avec l’exercice de leur mission et leurs comptes informatiques sont clos à la fin de leur contrat. Les armoires sont fermées à clé. Les mots de passe sont changés régulièrement et ils sont suffisamment complexes.
Que faire en cas de violation de données ?
Des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées (courriels transmis à des mauvais destinataires, équipement perdu ou volé, publication involontaire de données sur internet, etc.) ? Cet incident constitue une « violation de données ». Si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, vous devez la signaler à la CNIL dans les 72 heures.