AGORAPUBLIX

bonjour,
dans le cadre du rgpd, vous avez mis à jour vos documents ? notamment pour les sous-traitants ?

oui on a une clause type que l'on insère pour les marchés pour lesquels le RGPD s'applique.
Ensuite on travaille sur des avenants pour les marchés en cours :)
toute une œuvre quoi !  ;D

Citation de: mighty le Avril 27, 2018, 05:28:45 PM
oui on a une clause type que l'on insère pour les marchés pour lesquels le RGPD s'applique.
Ensuite on travaille sur des avenants pour les marchés en cours :)
toute une œuvre quoi !  ;D

et en abusant, je peux te demander la clause ?.....

nous serions interesse également

Citation de: anneclaudie le Avril 27, 2018, 01:05:20 PM
dans le cadre du rgpd

:D   Perso, il me semble urgent d'attendre de voir ce que font les copains !  ;D               Wait & See

Citation de: mighty le Avril 27, 2018, 05:28:45 PM
oui on a une clause type que l'on insère pour les marchés pour lesquels le RGPD s'applique.
Ensuite on travaille sur des avenants pour les marchés en cours :)
toute une œuvre quoi !  ;D

Preneur itou...

Bonjour,

Preneur itou +  ;D

Bonjour,

Une clause "type" à insérer dans le CCAP du genre : "Dans le cadre de leur relations contractuelles, les parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, la règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018."

Ca vous parait bien ?

Sinon je suis preneuse d'une meilleure clause   ;)

une telle clause me semble inutile. On ne va pas, pour chaque texte qui sort, écrire dans les contrats que la loi s'applique  ???

Citation de: ay_plb le Mai 28, 2018, 02:08:19 PMUne clause "type" à insérer dans le CCAP du genre : "Dans le cadre de leur relations contractuelles, les parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, la règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018."

Cela ne parait pas répondre à l'article 28 du RGPD.

Concernant le 3., quid notamment des point soulignés "l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement"

voir site CNIL :  Règlement européen sur la protection des données personnelles GUIDE DU SOUS-TRAITANT EDITION SEPTEMBRE 2017 (https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf) qui comporte des clauses type.

Citation de: Vivaelparaguay le Mai 28, 2018, 02:10:30 PM
une telle clause me semble inutile. On ne va pas, pour chaque texte qui sort, écrire dans les contrats que la loi s'applique  ???

Bonjour,
Pour la partie sous-traitance, cette phrase est utile, mais insuffisante en cas de litige; elle précise que les deux parties ont connaissance du règlement - même si nul n'est censé ignorer la loi - et en complément, le texte doit préciser ou lister les responsabilités de chacune des parties. Par exemple : "Le responsable du traitement ne prend pas en charge la vérification de l'enregistrement des données, cette action est placée sous la responsabilité du sous-traitant".

Bonjour "nouvelle personne inscrite"       sur votre site vous dites :
"Vous êtes obligé d'appliquer le R.G.P.D. si :
Vous avez au moins 1 contact dans votre téléphone, ordinateur, carnet papier."  ::)
[. . .]

Je vois bien ma grand-mère s'intéresser au RGPD avec son petit carnet papier d'adresses  :D   :D   :D
et tous les gamins avec leur smartphone et les "quelques" contacts qu'ils ont  8)

Restons sérieux !

Article 2 Champ d'application matériel
...
2.   Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué:
...
c)  par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;

Bonjour,

Je réponds à Michel et hpchavaz sur le même sujet.

Merci de vos remarques. Sachez que je suis toujours "sérieux" lorsque je communique sur le RGPD :-)

Vous avez raison, le RGPD ne s'applique pas aux particuliers, laissons nos grands-mères tranquille ;-)

La page que nous consacrons au RGPD s'adresse à des professionnels qui eux, sont concernés. Cela inclut les PME, TPE, indépendants, VDI, auto-entrepreneurs.
Souvent, les personnes en structure unipersonnelle comme les VDI, auto-entrepreneurs utilisent le papier plutôt qu'un ordinateur ou un smartphone pour noter des informations prospects ou clients; si ces informations sont des données personnelles (âge, poids, coordonnées, etc.) elles tombent sous le coup du RGPD.

Par ailleurs, les cartes de fidélité, bulletins d'abonnement, jeux-concours, flyers, sont très souvent imprimés sur papier et visés également par le RGPD.

J'espère vous avoir apporté une réponse utile,

Bonne journée à tous

Bonjour,

Je suis peut-être naïf mais à quoi ça sert de rappeler dans un document qu'un décret existe et qu'il faut le respecter, à part faire de la pédagogie ?

Je pense très honnêtement que toutes les tentatives de mise en conformité que je lis dans ce fil de discussion sont prématurées et inutiles...il me semble qu'il faut être plus méthodique que ça.

La finalité du RGPD, une fois tout déblayé, c'est de tenir des registres sur les différents traitements de données à caractère personnel opérés par la collectivité. "C'est tout" si j'ose dire (pas taper s'il-vous-plaît XD).

Ainsi, c'est un travail qui ne concerne pas particulièrement les marchés publics et, pour la partie qui les concerne, je pense que l'insertion de clauses-types via les futurs CCAG devraient suffire. Pour le moment, personnellement je suggère de suivre les recommandations de la CNIL (ou de ne rien faire du tout, mais mentionner le décret est inutile et un poil paresseux XD), résumées par exemple ici (http://www.acheteurs-publics.com/actualite-des-acheteurs-publics/preparerlesmarchespublicsalargpd - résumé du document : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf) :

Je cite : "Dans ses futurs contrats, ou par le biais d'avenant pour les contrats existants, l'acheteur public devra instaurer des clauses relatives à :

    - La description du traitement des données que le fournisseur aura à traiter dans le cadre du marché (objet et durée du traitement, nature et finalité, types de données) ;
    - Les obligations du fournisseur dans l'usage des données :
        Ne traiter les données que sur instruction de l'acheteur public ;
        Faire intervenir des personnes soumises à une obligation légale et appropriée de confidentialité et ayant reçu une formation adaptée ;
        Prendre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ;
        Détruire ou renvoyer sans copie toutes les données personnelles soumises au traitement ;
        L'obligation de conseil et d'assistance (techniques et/ou opérationnels) du fournisseur dans le cadre d'une demande d'exercice des droits des personnes concernées (droit d'information, droit d'accès, de rectification, d'effacement, d'opposition, etc...) ;
    - La notification des violations de données à caractère personnel auprès de l'acheteur public et/ou de la CNIL ;
    - L'établissement des éléments de preuves de conformité au règlement européen (notamment par le biais de code de conduite ou de mécanisme de certification adopté par le fournisseur) ;
    - L'encadrement de la sous-traitance des activités de traitement par le fournisseur titulaire du marché ;
    - Les sanctions en cas de non respect des dispositions liées à la protection des données personnelles.

Autre chose : je tiens aussi à préciser - j'ai l'impression que c'est utile - que le terme "sous-traitant" est un terme générique qui indique juste le fait qu'un de nos cocontractants effectue en quelque sorte un "sous-traitement" de données à caractère personnel, sous notre responsabilité. Il faut donc en premier lieu identifier dans quels contrats de telles données sont traitées par le fournisseur/prestataire/entreprise.

Bref, mon post est peut-être inutile mais plutôt que de tous nous noyer dans un verre d'eau, il serait peut-être judicieux de commencer par un inventaire des traitements de données à caractère personnel opérés dans la commune. S'agiter et mettre une clause type vide de substance ne sert à rien - pas même à rassurer.

Et puis franchement, c'est pas demain la veille (on doit bien avoir entre 6 mois et 2 ans) qu'on va être sanctionné dans ce cadre. Du coup je suggère de passer en mode projet avec le sourire, et de bosser tout ça entre chefs de services autour d'un café, après avoir nommé un délégué.

Bon courage à tous en tout cas !

Ah j'ai été devancé par marchépublix le gaulois avec le document CNIL! :P

Juste un article de la gazette des communes alors : http://www.lagazettedescommunes.com/557393/donnees-personnelles-et-commande-publique-les-nouvelles-clauses-contractuelles-a-prevoir/

Citation de: Marchepublix-le-gaulois le Mai 30, 2018, 10:51:57 AM
...
le terme "sous-traitant" est un terme générique qui indique juste le fait qu'un de nos cocontractants effectue en quelque sorte un "sous-traitement" de données à caractère personnel, sous notre responsabilité. Il faut donc en premier lieu identifier dans quels contrats de telles données sont traitées par le fournisseur/prestataire/entreprise.
...

Le fun commence dans des relations (de type mode SaaS mais pas uniquement, à l'extrême pensez à l'utilisation sur un de vos site de Google Analytics) dans lesquelles on peut se demander qui est est le responsable ou, plus sérieusement, comment doivent se répartir les responsabilités dans la co-traitance. Toutefois, dans l'exemple de Google Analytics, je ne suis pas certain que vous deviez y consacrer une large partie de vos ressources, les résultats risquant d'être difficile à justifier.

Citation de: Marchepublix-le-gaulois le Mai 30, 2018, 10:51:57 AM...
il serait peut-être judicieux de commencer par un inventaire des traitements de données à caractère personnel opérés dans la commune...
...

"iil serait peut-être judicieux" :  quel euphémisme, car c'est la base sr laquelle doit se construire la démarche.

Citation de: Marchepublix-le-gaulois le Mai 30, 2018, 10:51:57 AM...
Et puis franchement, c'est pas demain la veille (on doit bien avoir entre 6 mois et 2 ans) qu'on va être sanctionné dans ce cadre...

A apprécer par chacun.

Moi je suis perdu avec le RGPD. Qu'entend-on par traitement des données ? Nous avons des informations sur les entreprises qui signent des marchés avec nous. Nous les stockons, nous pouvons les informer que nous garderons les dossiers dans un placard pendant X années. Mais nous ne faisons pas de traitement de cette information. J'ai l'impression de rater quelque chose.

Ce que j'ai retenu : faire attention à la sécurité de l'enregistrement des données (je comprends, ne pas dématérialiser), demander uniquement les informations nécessaires sur nos divers formulaires (surtout ne jamais demander de photo), nommer un référent à la protection des données (pas d'informaticien dans ma collectivité, le centre de gestion le fait-il ?).

J'ai commencé une liste des services gérés par des petites communes et pouvant être concernés :
- état civil, élections, cimetière, urbanisme : il s'agit d'obligation légale, j'ai donc compris que le RGPD ne nous concerne pas ;
- médiathèque, restaurant scolaire, garderie périscolaire, musée et autres services facultatifs ;
- service jeunesse ;
- dossiers individuels des agents (n'est-ce pas une obligation légale ?) ;
- scolarité à domicile ?
- marchés publics ;
- comptabilité ;
- services d'aide et d'accompagnement à domicile ;
- maison de retraite.

Auriez-vous des services à rajouter à cette liste ? Suis-je à côté de la plaque ?

J'avoue, j'y réfléchis doucement comme ça car c'est une obligation légale mais dans le fond j'en ai un peu rien à faire. Il y a tellement de choses utiles et constructives à faire que ça m'embête de perdre du temps sur un énième projet inutile.
En plus j'ai des difficultés à m'approprier le sujet alors je n'imagine même pas comment ça sera lorsqu'il faudra que j'en parle aux élus (déjà qu'ils en sont presque à demander la couleur des chaussettes du président de l'association pour les dossiers de demandes de subvention...).

D'ailleurs le traitement des données est devenu un sujet public important depuis l'élection de Trump (encore les méchants russes.... ah ils sont partout ceux là, en Ukraine, en Syrie...). Lorsque Obama avait gagné, on nous avait dit que le traitement des données participait au renouvellement de la démocratie.

Citation de: KA le Juin 01, 2018, 04:48:50 PM
il faudra que j'en parle aux élus (déjà qu'ils en sont [...] à demander la couleur des chaussettes du président de l'association pour les dossiers de demandes de subvention...).

B'en voilà un traitement d'information utile :
nous demandons la couleur des chaussettes des présidents d'associations avec pour finalité de permettre un jugement adéquat de la subvention de celles-ci
nous stockons ces informations de manières sécurisés dans le cas d'une demande de la hiérarchie de réexamen du dossier
et nous conservons ces données pour la durée de vie des chaussettes,  estimée à un maximum de 3 ans
ou les détruisons préalablement s'il nous est apportez la preuve de leurs obsolescences (trous, . . .)
;D    :D    ;)

Citation de: iBrain System le Mai 30, 2018, 10:16:40 AM
La page que nous consacrons au RGPD s'adresse à des professionnels
qui eux, sont concernés. Cela inclut les PME, TPE, indépendants, VDI, auto-entrepreneurs.

iBrain en professionnel du RGPD, qu'en est-il pour une association ?
Merci d'avance

Le site de la CNIL est fort bien fait.
Exemple :

Citation de: KA le Juin 01, 2018, 04:48:50 PM
Moi je suis perdu avec le RGPD. Qu'entend-on par traitement des données ?

La CNIL indique ici (https://www.cnil.fr/fr/rgpd-notions-cles-et-bons-reflexes)
Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemple : tenue d'un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d'un fichier de fournisseurs, etc.

Un traitement de données personnelles n'est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Citation de: KA le Juin 01, 2018, 04:48:50 PM
Ce que j'ai retenu : faire attention à la sécurité de l'enregistrement des données (je comprends, ne pas dématérialiser), demander uniquement les informations nécessaires sur nos divers formulaires (surtout ne jamais demander de photo), nommer un référent à la protection des données (pas d'informaticien dans ma collectivité, le centre de gestion le fait-il ?).

Rien à voir avec la dématérialisation

Pour le délégué à la protection des données (DPD = DPO) , il peut selon la taille/l'activité être obligatoire d'en avoir désigné un avant le 25/05.

Je doute qu'un informaticien en poste puisse être DPD, il sera généralement en conflit d'intérêts à moins que l'on ne le décharge de l'ensemble de ses taches informatiques et même dans ce cas, il se pourrait qu'il y ait un problème

Citation de: Michel le Juin 01, 2018, 06:59:55 PM
iBrain en professionnel du RGPD, qu'en est-il pour une association ?
Merci d'avance

1/ Les associations sont concernées, ce ne sont pas des personnes physiques, sauf si elles n'ont pas d'activités entrant dans le champ du droit européen. Et encore je n'ai vérifié si la LIL modifiée les excclut.

2/ Je vois mal comment une association ne traiterait pas de données personnelles puisque même si l'on imaginait que tous ses membres sont des personnes morales, le fait pour un des représentants de ces personnes morales d'être sur une liste tenue par l'association est une donnée personnelle.


Après je vois mal la CNIL sanctionner une petite association dont l'objet n'est pas sensible et qui ne recueuille que peu de données dont aucune n'est sensible pour des raisons de pure forme.

Reste donc à appliquer les principes de base : légitimité des finalités, proportionalité des données traitées, information sur les finalité et les droits, consentement si nécessaire, droits (accès, rectification, arrêt du traitement, éventuellement suppression, etc.)  dont théoriquement éventuellement portabilité) sécurisation....

Rappel, je ne suis pas juriste.

Citation de: hpchavaz le Juin 01, 2018, 07:18:16 PM
1/ Les associations sont concernées, ce ne sont pas des personnes physiques, sauf si elles n'ont pas d'activités entrant dans le champ du droit européen. Et encore je n'ai vérifié si la LIL modifiée les excclut.

Donc NOUS avec notre malheureux petit forum ! jusqu'où sommes nous concernés ?  ;D

Citation de: hpchavaz le Juin 01, 2018, 07:02:52 PM
Le site de la CNIL est fort bien fait.
Exemple :La CNIL indique ici (https://www.cnil.fr/fr/rgpd-notions-cles-et-bons-reflexes)
Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemple : tenue d'un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d'un fichier de fournisseurs, etc.

Un traitement de données personnelles n'est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Rien à voir avec la dématérialisation

Pour le délégué à la protection des données (DPD = DPO) , il peut selon la taille/l'activité être obligatoire d'en avoir désigné un avant le 25/05.

Je doute qu'un informaticien en poste puisse être DPD, il sera généralement en conflit d'intérêt à moins que l'on ne le décharge de l'ensemble de ses taches informatiques et m^me dans ce cas, il se pourrait qu'il y ait un problème

Mon maire vient de proposer aux élus de me nommer DPD (je suis le DGS) sans m'en parler avant. La discussion est lancée entre eux, j'espère qu'ils vont de fil en aiguille en arriver à nommer le jardinier comme DPD.

Citation de: KA le Juin 04, 2018, 09:24:58 AM
Mon maire vient de proposer aux élus de me nommer DPD (je suis le DGS) sans m'en parler avant. La discussion est lancée entre eux, j'espère qu'ils vont de fil en aiguille en arriver à nommer le jardinier comme DPD.

Il pourrait y avoir des problèmes de conflit d'intérêts.
Voir CNIL: Devenir délégué à la protection des données (https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees)
"A titre d'exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d'intérêts : secrétaire général, directeur général des services"
Cela étant, il peut être difficile de les éviterdans certaines structures.
Y aura t-il une tolérance CNIL en particulier pour les organismes publics ?

Vous savez quoi ? à 3 ans de la retraite je me dis que rien ne m'aura été épargné ! démat, RGPD ....  ;D ;D ;D

Citation de: mighty le Avril 27, 2018, 05:28:45 PM
oui on a une clause type que l'on insère pour les marchés pour lesquels le RGPD s'applique.
Ensuite on travaille sur des avenants pour les marchés en cours :)
toute une œuvre quoi !  ;D

Bonjour, je serais intéréssée par votre clause type dans vos CCAP et sur quelle(s) motivation (s) pour avez rédigez vos avenants pour inclure la clause RGPD ?
merci à vous
cordialement

Citation de: KA le Juin 04, 2018, 09:24:58 AM
j'espère qu'ils vont de fil en aiguille en arriver à nommer le jardinier comme DPD.

Normal, pour un DPD : Délégué à la Protection des Dalias

Citation de: 76LANDES le Novembre 05, 2018, 02:37:43 PM
Bonjour, je serais intéréssée par votre clause type dans vos CCAP et sur quelle(s) motivation (s) pour avez rédigez vos avenants pour inclure la clause RGPD ?
merci à vous
cordialement

Il y a une clause type pour la sous-traitance au sens du RGPD (attention différent du sens commande publique ) sur le site CNIl.  de mémoire il reste à compléter pour chaque contrat des éléments :
- finalités
- mesures sécurité

Ci-joint la récente fiche de la DAJ sur le RGPD.
Elle donne un lien vers la CNIL pour la rédaction de la clause.

Citation de: Piko le Novembre 06, 2018, 10:08:07 AM
Ci-joint la récente fiche de la DAJ sur le RGPD.
Elle donne un lien vers la CNIL pour la rédaction de la clause.

Merci !

Citation de: Piko le Novembre 06, 2018, 10:08:07 AM
Ci-joint la récente fiche de la DAJ sur le RGPD.
Elle donne un lien vers la CNIL pour la rédaction de la clause.

merci mais cela ne m'éclaire pas plus.

Quelqu'un aurait-il une clause type ?
merci

Citation de: 76LANDES le Novembre 16, 2018, 08:19:52 AM
merci mais cela ne m'éclaire pas plus.

Quelqu'un aurait-il une clause type ?
merci

CNIL : GUIDE DU SOUS-TRAITANT EDITION SEPTEMBRE 2017 (https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf)
Exemple de clauses contractuelles de sous-traitance Page 13
qui doit notamment être complété (comme indiqué dans mon message précédent) pour :
- finalités
- mesures de sécurité