rgdp

[juriste juniore!]

Ah j'ai été devancé par marchépublix le gaulois avec le document CNIL!

Juste un article de la gazette des communes alors : http://www.lagazettedescommunes.com/557393/donnees-personnelles-et-commande-publique-les-nouvelles-clauses-contractuelles-a-prevoir/

[hpchavaz]

...
le terme "sous-traitant" est un terme générique qui indique juste le fait qu'un de nos cocontractants effectue en quelque sorte un "sous-traitement" de données à caractère personnel, sous notre responsabilité. Il faut donc en premier lieu identifier dans quels contrats de telles données sont traitées par le fournisseur/prestataire/entreprise.
...

Le fun commence dans des relations (de type mode SaaS mais pas uniquement, à l'extrême pensez à l'utilisation sur un de vos site de Google Analytics) dans lesquelles on peut se demander qui est est le responsable ou, plus sérieusement, comment doivent se répartir les responsabilités dans la co-traitance. Toutefois, dans l'exemple de Google Analytics, je ne suis pas certain que vous deviez y consacrer une large partie de vos ressources, les résultats risquant d'être difficile à justifier.

...
il serait peut-être judicieux de commencer par un inventaire des traitements de données à caractère personnel opérés dans la commune...
...

"iil serait peut-être judicieux" :  quel euphémisme, car c'est la base sr laquelle doit se construire la démarche.

...
Et puis franchement, c'est pas demain la veille (on doit bien avoir entre 6 mois et 2 ans) qu'on va être sanctionné dans ce cadre...

A apprécer par chacun.

[KA]

Moi je suis perdu avec le RGPD. Qu'entend-on par traitement des données ? Nous avons des informations sur les entreprises qui signent des marchés avec nous. Nous les stockons, nous pouvons les informer que nous garderons les dossiers dans un placard pendant X années. Mais nous ne faisons pas de traitement de cette information. J'ai l'impression de rater quelque chose.

Ce que j'ai retenu : faire attention à la sécurité de l'enregistrement des données (je comprends, ne pas dématérialiser), demander uniquement les informations nécessaires sur nos divers formulaires (surtout ne jamais demander de photo), nommer un référent à la protection des données (pas d'informaticien dans ma collectivité, le centre de gestion le fait-il ?).

J'ai commencé une liste des services gérés par des petites communes et pouvant être concernés :
- état civil, élections, cimetière, urbanisme : il s'agit d'obligation légale, j'ai donc compris que le RGPD ne nous concerne pas ;
- médiathèque, restaurant scolaire, garderie périscolaire, musée et autres services facultatifs ;
- service jeunesse ;
- dossiers individuels des agents (n'est-ce pas une obligation légale ?) ;
- scolarité à domicile ?
- marchés publics ;
- comptabilité ;
- services d'aide et d'accompagnement à domicile ;
- maison de retraite.

Auriez-vous des services à rajouter à cette liste ? Suis-je à côté de la plaque ?

J'avoue, j'y réfléchis doucement comme ça car c'est une obligation légale mais dans le fond j'en ai un peu rien à faire. Il y a tellement de choses utiles et constructives à faire que ça m'embête de perdre du temps sur un énième projet inutile.
En plus j'ai des difficultés à m'approprier le sujet alors je n'imagine même pas comment ça sera lorsqu'il faudra que j'en parle aux élus (déjà qu'ils en sont presque à demander la couleur des chaussettes du président de l'association pour les dossiers de demandes de subvention...).

D'ailleurs le traitement des données est devenu un sujet public important depuis l'élection de Trump (encore les méchants russes.... ah ils sont partout ceux là, en Ukraine, en Syrie...). Lorsque Obama avait gagné, on nous avait dit que le traitement des données participait au renouvellement de la démocratie.

[Michel]

il faudra que j'en parle aux élus (déjà qu'ils en sont [...] à demander la couleur des chaussettes du président de l'association pour les dossiers de demandes de subvention...).

B'en voilà un traitement d'information utile :
nous demandons la couleur des chaussettes des présidents d'associations avec pour finalité de permettre un jugement adéquat de la subvention de celles-ci
nous stockons ces informations de manières sécurisés dans le cas d'une demande de la hiérarchie de réexamen du dossier
et nous conservons ces données pour la durée de vie des chaussettes,  estimée à un maximum de 3 ans
ou les détruisons préalablement s'il nous est apportez la preuve de leurs obsolescences (trous, . . .)
       

[Michel]

La page que nous consacrons au RGPD s'adresse à des professionnels
qui eux, sont concernés. Cela inclut les PME, TPE, indépendants, VDI, auto-entrepreneurs.

iBrain en professionnel du RGPD, qu'en est-il pour une association ?
Merci d'avance

[hpchavaz]

Le site de la CNIL est fort bien fait.
Exemple :

Moi je suis perdu avec le RGPD. Qu'entend-on par traitement des données ?

La CNIL indique ici
Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemple : tenue d'un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d'un fichier de fournisseurs, etc.

Un traitement de données personnelles n'est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Ce que j'ai retenu : faire attention à la sécurité de l'enregistrement des données (je comprends, ne pas dématérialiser), demander uniquement les informations nécessaires sur nos divers formulaires (surtout ne jamais demander de photo), nommer un référent à la protection des données (pas d'informaticien dans ma collectivité, le centre de gestion le fait-il ?).

Rien à voir avec la dématérialisation

Pour le délégué à la protection des données (DPD = DPO) , il peut selon la taille/l'activité être obligatoire d'en avoir désigné un avant le 25/05.

Je doute qu'un informaticien en poste puisse être DPD, il sera généralement en conflit d'intérêts à moins que l'on ne le décharge de l'ensemble de ses taches informatiques et même dans ce cas, il se pourrait qu'il y ait un problème

[hpchavaz]

iBrain en professionnel du RGPD, qu'en est-il pour une association ?
Merci d'avance

1/ Les associations sont concernées, ce ne sont pas des personnes physiques, sauf si elles n'ont pas d'activités entrant dans le champ du droit européen. Et encore je n'ai vérifié si la LIL modifiée les excclut.

2/ Je vois mal comment une association ne traiterait pas de données personnelles puisque même si l'on imaginait que tous ses membres sont des personnes morales, le fait pour un des représentants de ces personnes morales d'être sur une liste tenue par l'association est une donnée personnelle.


Après je vois mal la CNIL sanctionner une petite association dont l'objet n'est pas sensible et qui ne recueuille que peu de données dont aucune n'est sensible pour des raisons de pure forme.

Reste donc à appliquer les principes de base : légitimité des finalités, proportionalité des données traitées, information sur les finalité et les droits, consentement si nécessaire, droits (accès, rectification, arrêt du traitement, éventuellement suppression, etc.)  dont théoriquement éventuellement portabilité) sécurisation....

Rappel, je ne suis pas juriste.

[Michel]

1/ Les associations sont concernées, ce ne sont pas des personnes physiques, sauf si elles n'ont pas d'activités entrant dans le champ du droit européen. Et encore je n'ai vérifié si la LIL modifiée les excclut.

Donc NOUS avec notre malheureux petit forum ! jusqu'où sommes nous concernés ? 

[KA]

Le site de la CNIL est fort bien fait.
Exemple :La CNIL indique ici
Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemple : tenue d'un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d'un fichier de fournisseurs, etc.

Un traitement de données personnelles n'est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Rien à voir avec la dématérialisation

Pour le délégué à la protection des données (DPD = DPO) , il peut selon la taille/l'activité être obligatoire d'en avoir désigné un avant le 25/05.

Je doute qu'un informaticien en poste puisse être DPD, il sera généralement en conflit d'intérêt à moins que l'on ne le décharge de l'ensemble de ses taches informatiques et m^me dans ce cas, il se pourrait qu'il y ait un problème

Mon maire vient de proposer aux élus de me nommer DPD (je suis le DGS) sans m'en parler avant. La discussion est lancée entre eux, j'espère qu'ils vont de fil en aiguille en arriver à nommer le jardinier comme DPD.

[hpchavaz]

Mon maire vient de proposer aux élus de me nommer DPD (je suis le DGS) sans m'en parler avant. La discussion est lancée entre eux, j'espère qu'ils vont de fil en aiguille en arriver à nommer le jardinier comme DPD.

Il pourrait y avoir des problèmes de conflit d'intérêts.
Voir CNIL: Devenir délégué à la protection des données
"A titre d'exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d'intérêts : secrétaire général, directeur général des services"
Cela étant, il peut être difficile de les éviterdans certaines structures.
Y aura t-il une tolérance CNIL en particulier pour les organismes publics ?

[goran]

Vous savez quoi ? à 3 ans de la retraite je me dis que rien ne m'aura été épargné ! démat, RGPD .... 

[76LANDES]

oui on a une clause type que l'on insère pour les marchés pour lesquels le RGPD s'applique.
Ensuite on travaille sur des avenants pour les marchés en cours
toute une œuvre quoi ! 

Bonjour, je serais intéréssée par votre clause type dans vos CCAP et sur quelle(s) motivation (s) pour avez rédigez vos avenants pour inclure la clause RGPD ?
merci à vous
cordialement

[Michel]

j'espère qu'ils vont de fil en aiguille en arriver à nommer le jardinier comme DPD.

Normal, pour un DPD : Délégué à la Protection des Dalias

[hpchavaz]

Bonjour, je serais intéréssée par votre clause type dans vos CCAP et sur quelle(s) motivation (s) pour avez rédigez vos avenants pour inclure la clause RGPD ?
merci à vous
cordialement

Il y a une clause type pour la sous-traitance au sens du RGPD (attention différent du sens commande publique ) sur le site CNIl.  de mémoire il reste à compléter pour chaque contrat des éléments :
- finalités
- mesures sécurité

[Piko]

Ci-joint la récente fiche de la DAJ sur le RGPD.
Elle donne un lien vers la CNIL pour la rédaction de la clause.