Protection des données personnelles RGPD

Collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce que vous faites de leurs données et de respecter leurs droits. En tant que responsable d’un traitement de données, le sous-traitant est aussi concerné, vous devez prendre des mesures pour garantir une utilisation de ces données respectueuse de la vie privée des personnes concernées.

En savoir plus sur le RGPD

Toute information se rapportant à une personne physique identifiée ou identifiable par croisement de données.

  • DCP courantes : Nom, Prénom, situation familiale, téléphone, revenus, situation financière et fiscale, données de connexion (adresse IP, journaux d’événements), données GPS, données GSM, etc.
  • DCP sensibles : numéro de sécurité sociale, données bancaires, enfance, santé, etc.
  • DCP très sensibles : opinions philosophiques, syndicales, politiques ou religieuses, vie sexuelle, biométrie, génétique, etc.

Traitement de données à caractère personnel

Collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, consultation, utilisation, communication, diffusion

  • Consulter un site web qui trace les pages visitées
  • Renseigner un formulaire (papier ou internet)
  • Démarrer son téléphone

  • Les principes relatifs aux traitements de DCP
    • Loyauté et licéité (ce qui est licite)
    • Finalité
    • Proportionnalité et pertinence
    • Durée de conservation limitée
    • Sécurité et confidentialité des données
  • Garantir le droit des personnes
    • Droit d’information
    • Droit d’accès aux informations
    • Droit à l’effacement
    • Droit à la limitation du traitement
    • Droit de rectification
    • Droit à la portabilité
    • Droit d’opposition

  • Pour les collectivités
    • Transparence de l’action publique
    • Renforcement de la confiance dans l’action publique (ex : label CNIL)
    • Renforcement de la protection des données à caractère personnel en améliorant la sécurité informatique
    • Opportunité de faire le « nettoyage » des données et de mettre en place despratiques éthiques autour des données
    • Mise en place d’une nouvelle culture « privacy-friendly »
  • Pour l’usager
    • Reprise du contrôle de ses données, de sa vie privée
    • Renforcement du droit des personnes
    • Outil de défense des droits
    • Protection des mineurs
    • Amélioration la culture « data », des usages du numérique

  • Le DPD doit être associé en temps utile et de manière appropriée à l’ensemble des questions Informatiques & libertés (art 38.1)
  • Le DPD doit bénéficier des ressources et formations nécessaires pour mener à bien ses missions, ainsi que de l’accès aux données et aux opérations de traitement (art 38.2)
    • devoir de coopération de la part de la collectivité
  • Le DPD doit être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie, et bénéficier d’une liberté dans les analyses et actions qu’il décide d’entreprendre (art 38.3)
    • Le DPD ne peut recevoir aucune instruction en ce qui concerne l’exercice de ses missions
    • Le DPD ne peut être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions
  • Les usagers ou agents peuvent prendre contact avec le DPD au sujet de toutes les questions relatives au traitement de leurs DCP, et à l’exercice de leurs droits dans le cadre du RGPD (art 38.4)
  • Le DPD est soumis au secret professionnel ou à une obligation de confidentialité (art 38.5)

  • Solliciter l’avis du DPD avant la mise en œuvre d’un nouveau traitement de données à caractère personnel, ou modification substantielle d’un traitement en place ;
  • Informer le DPD de toute violation de données à caractère personnel ;
  • Relayer au DPD toute demande d’exercice des droits des personnes ;
  • Collaborer étroitement aux missions du DPD
    • Mobiliser et responsabiliser le chef de service
    • Dégager du temps aux personnes concernées dans le service
    • Donner accès aux informations/données
    • Coopérer à la réalisation des audits et des contrôles internes
    • etc.

Ces mesures s’appliquent à tous ! Les collectivités ne sont pas épargnées par les plaintes (ex : Région Rhône Alpes Auvergne pour l’utilisation de données incompatibles avec la finalité initiale).