RGPD_Vdr
mairie_val_de_reuil
Table of content
Synthèse
Voici une synthèse des recommandations pour intégrer des clauses dans les marchés publics de la mairie concernant la portabilité et la propriété des données, les aspects liés au RGPD, ainsi que la sécurité des données hébergées :
- Portabilité et propriété des données :
- Tout prestataire doit garantir la portabilité des données et permettre leur transfert facile vers un autre prestataire si nécessaire.
- Les données collectées et traitées doivent rester la propriété exclusive de la mairie.
- Toutes personnes physique a le droit de récuperer ses données pour les stocker et les transmettre
-
La ville de Val-de-Reuil est propriétaire de ses données.
-
RGPD :
- Tout prestataire doit se conformer aux dispositions du RGPD en matière de traitement des données personnelles.
-
Des mesures de sécurité appropriées doivent être mises en place pour protéger les données personnelles contre tout accès non autorisé ou illégal.
-
Sécurité des données hébergées :
- Tout prestataire doit assurer la sécurité des données hébergées en mettant en place des mesures techniques et organisationnelles adéquates.
- La mairie peut exiger que les données soient hébergées sur des serveurs situés en France pour garantir une protection conforme à la législation française.
Du Délégué à la Protection des données (DPO)
Un des rôles du Délégué à la Protection des Données (DPO) d'une mairie, est de proposer des recommandations en lien avec les clauses du RGPD à intégrer dans les marchés publics de la mairie. Cela porte sur les aspects suivants :
-
Concernant la portabilité et la propriété des données :
-
Le prestataire doit garantir la portabilité des données, c'est-à-dire la capacité à transférer facilement les données vers un autre prestataire ou système si nécessaire.
-
Les données collectées et traitées dans le cadre du contrat doivent rester la propriété exclusive de la mairie. Le prestataire ne peut pas utiliser ou partager ces données sans autorisation préalable.
-
Les aspects concernant le Règlement Général sur la Protection des Données (RGPD) :
-
Le prestataire doit se conformer aux dispositions du RGPD, notamment en ce qui concerne le traitement des données personnelles.
-
Le prestataire doit mettre en place les mesures de sécurité appropriées pour protéger les données personnelles contre toute utilisation non autorisée ou illégale.
-
La sécurité des données hébergées et le lieu d'hébergement :
-
Le prestataire doit garantir la sécurité des données hébergées, en mettant en place des mesures techniques et organisationnelles appropriées pour prévenir les risques de perte, d'altération ou d'accès non autorisé.
- La mairie exige que les données soient hébergées sur des serveurs situés en France, afin de garantir une protection adéquate des données conformément à la législation française.
Il est également recommandé d'inclure dans les marchés publics des clauses relatives à l'obligation de notification en cas de violation de données, à la durée de conservation des données et à la sous-traitance éventuelle.
Enfin, ces recommandations doivent être adaptées aux spécificités et aux besoins que nous pourrons évoqués plus tard.Il faudrait pour cela associer et ou consulter un expert juridique ou le DPO pour élaborer des clauses spécifiques répondant aux exigences légales et opérationnelles.
Effectivité du respect des clauses, et mécanismes de suivi :
- Vérification des certifications et des références : Nous demanderons aux prestataires de fournir des certifications ou des références prouvant leur conformité aux exigences en matière de portabilité, de propriété des données, de RGPD et de sécurité. Nous serions également amené à contacter les usagers de la mairie précédents pour obtenir des retours sur la qualité du service fourni.
- Audit et contrôle réguliers : Il nous prévoir dans le contrat le droit d'effectuer des audits et des contrôles réguliers pour vérifier la conformité du prestataire aux clauses contractuelles. Ces audits peuvent être réalisés par l'équipe interne ou par un tiers indépendant.
- Rapports de conformité : Nous demanderons que le prestataire fournisse régulièrement des rapports de conformité détaillant les mesures mises en place pour respecter les clauses contractuelles. Ces rapports peuvent inclure des informations sur la sécurité, la protection des données personnelles, la portabilité des données,
Les axes d'améliorations : Mes Propositions
- Définir une stratégie d'analyse des données qui sont collectées et/ou qui seront amenées à être collectées.
-
Outils d'analyse : l'outil PIA aidera éventuellement tout responsable dans la réalisation de l'analyse d'impact de certaines données personnelles. Il faudrait pour cela écrire une procédure interne de prise en compte du PIA. Approcher les différents services qui sont en lien étroit avec la collecte, le traitement, la conservation des données sous tous ses formats.
-
Méthode : L'analyse d'impact relative à la protection des données AIPD, un logiciel open source permettant de réaliser l'analyse.
-
Responsable juridique et technique : Joindre une ou plusieurs personnes du service juridique dans la lecture des contrats concernant les aspects RGPD. Références et texte de loi applicable.
-
Etablir une liste exhaustive des moyens de collecte de données existante par la Ville et le Centre Communal d'Action Social.
- Sensibiliser les agents, personnes qui sont dans la collecte, le stockage, le traitement et la destruction des données personnelles des usagers.
- Faire une veille de l'évolution de la loi portant sur la protection des données des usagers
Les Indispensables
les titres suivants :
Chapitre IV du RGPD : Responsable du traitement et sous traitant
WIP
Art 40 Code de conduite et 42 Certification du RGPD
L'application d'un code de conduite ou de mécanisme de certification approuvés, peuvent servir d'élément pour démontrer le respect des obligations incombant au responsable de traitement.
- Le traitement loyal et transparent
- Les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques
- La collecte de données à caractère personnel
- La pseudonymisation des données à caractère personnel
- Les informations communiquées au public et aux personnes concernées
- L'exercice des droits des personnes concernées
- Les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant.
- Les mesures et les procédures visées aux art 24 et 25 visant à assure la sécurité du traitement visées à l'article 32
- La notification aux autorités de contrôle des violation de données à caractère personnel et la communication de ces violations aux personnes concernées.
- Le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales.
- Les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
Art 4.8 et 29 Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant RGPD
Concernant : la portabilité (et la propriété) des données
Les aspects concernant le RGPD
La sécurité des données hébergées, et le lieu d’hébergement (France exclusivement)
Concernant la cartographie : point de transfert pour une lisibilité avec la CSI
- Bloc Traitement
- Nom
- Description
- Responsable du traitement (DPO, adjoint, representant ou toute personne qualifié)
- Finalité du traitement (Décrire concrètement les différentes finalités du traitement des données)
- Destinataires des données : Les catégories de destinataires auxquels les données à caractères personnelles seront communiquées y compris les destinataires dans des pays tiers ou des organisations internationales.
- Transferts de données : le pays, les organismes tiers ou tout document attestant de garanties appropriés.
- Les délais prévues pour l'effacement de certaines catégories de données
- Processus liés
- Applications (si existante)
- Informations
- Joindre un lien ou un document d'analyse d'impact ou d'évaluation en amont
Mesures de Sécurités
Nom de la mesure : Description de la mesure de sécurité : quel qu'en soit l'objet il faudrait définir un mécanisme permettant de protéger les personnes ou usagers du service publics en lien avec le RGPD