Aller au contenu principal Skip to page footer
Site CDG34 Site CDG34

Recherche

Les données personnelles

Toute information relative à une personne physique susceptible d’être identifiée directement ou indirectement constitue une donnée personnelle. Par exemple : nom, photo, adresse postale, email, numéro de sécurité sociale ou de téléphone, adresse IP, matricule interne, … Que ces informations soient publiques ou confidentielles, il est nécessaire de sécuriser et de rendre transparent leur traitement.

A l’heure des services publics numériques et des attentes de plus en plus fortes des usagers et face à l’augmentation des attaques informatiques contre les collectivités, la protection des données personnelles est devenue incontournable.

Le RGPD

Le Règlement Général sur la Protection des Données encadre le traitement des données personnelles dans l'Union Européenne. Entré en vigueur le 25 mai 2018, il a pour objectifs de renforcer les droits des individus concernant leurs données personnelles, responsabiliser les acteurs publics ou privés et d'uniformiser les règles. Le non-respect du RGPD peut être sanctionné par de lourdes amendes.

Vos obligations 

  • Se mettre en conformité avec le RGPD

    • Informer les individus sur la manière dont leurs données sont collectées et utilisées.
    • Obtenir leur consentement avant de collecter et traiter leurs données
    • Mettre en place des mesures de sécurité : pour protéger les données
    • Désigner un Délégué à la Protection des Données
    • Tenir un registre des activités de traitement
    • Respecter les droits des individus

  • Désigner un délégué à la protection des données

L’accompagnement du CDG 34

Notre mission est de vous accompagner dans la mise en conformité avec la Loi Informatique et Libertés et le RGPD ainsi que devenir votre délégué à la protection des données.

Les étapes de votre accompagnement

Convention de 4 ans durant laquelle le CDG 34 est le DPD de la collectivité.

Visioconférence de présentation du RGPD et de la Mission DPD (30 minutes environ).
Une liste des documents à préparer pour le jour de l'audit est ensuite communiquée à la collectivité.

L’audit est effectué sur place. 

Le DPD rencontre les différents responsables de services afin de faire un point sur les données traitées dans chaque service. La sécurité des locaux et la sécurité informatique (logiciels métier utilisés, mot de passe etc…) sont aussi passées en revue. 

Pour les grandes collectivités, l’audit se fait sur plusieurs jours.

Envoi et présentation des documents suivants :

  • Rapport d'audit qui contient le résumé de l'état actuel de la structure, des préconisations pour être en conformité, plusieurs fiches mémos et des modèles de mentions.
  • Registre des traitements: la mission DPD utilise le logiciel MADIS afin de le réaliser ; un accès à la plateforme en ligne est donné à la collectivité suite à l'audit (pour plus d'informations sur le registre voir la FAQ).

Le DPD reste disponible pour toute question, conseil, ou problématique RGPD rencontré. Il revient périodiquement pour le suivi des préconisations faites lors de la restitution du rapport.

FAQ générale

Toute information permettant d'identifier une personne directement ou indirectement : nom, prénom, adresse, numéro de téléphone, date de naissance, email, numéro de plaque d'immatriculation, photo…

Un DPD est chargé de différentes missions obligatoires fixées par la Commission Nationale Informatique de l'Informatique et des Libertés (CNIL) et le RGPD :

  • informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que leurs employés ;
  • contrôler le respect du règlement et du droit national en matière de protection des données ;
  • conseiller l'organisme sur la réalisation d'une analyse d'impact relative à la protection des données et d'en vérifier l'exécution ;
  • coopérer avec l'autorité de contrôle (la CNIL) et être le point de contact de celle-ci.

Oui. Selon l'article 37 du RGPD, les organismes publics doivent obligatoirement désigner un DPD.

Le registre des traitements est un document obligatoire pour tous les organismes traitant de données personnelles. Il prouve la conformité de l'organisme au RGPD.

Il permet de recenser et d'avoir une vue d'ensemble de toutes les données personnelles collectées (art. 30 du RGPD). Il indique leurs durées de conservation, leur sécurisation, etc. 

La Mission DPD utilise un logiciel pour créer et gérer le registre des collectivités adhérentes.

Le CDG 34 met à disposition des collectivités adhérentes à la Mission DPD un logiciel de gestion des registres des données personnelles : MADIS.

Un guide d'utilisation, un lien de connexion ainsi que l'identifiant sont communiqués aux collectivités par mail après l'audit de la collectivité.

FAQ communication de documents

Principe : les documents administratifs sont communicables à toute personne qui en fait la demande (art. L.311-1 et L312-1 du Code des relations entre le public et l’administration (CRPA)).

Réserves : la protection de la vie privée des agents ainsi que les données personnelles des usagers font partie des réserves à ce principe (art L311-6 et art. L312-1-2 du CRPA). Dans ce cas, ces données doivent être occultées avant communication ou publication en ligne.

Exceptions : des données personnelles n’ont pas à être occultées lorsqu’elles sont nécessaires à l’information du public (liste à l’art D. 312-1-3 du CRPA). Par exemple : les organigrammes, les listes d’avancement de grade, les noms, prénom et adresse sur les documents d’urbanisme.

Actes de naissance, reconnaissance, mariages et registres contenant ces actes.

  • Consultation: 
    • le document date de moins de 75 ans : seuls les agents de l’Etat habilités et les personnes munies d’une autorisation de l’administration des Archives peuvent le consulter.
    • le document date de plus de 75 ans : consultable par toute personne.
  • Copie intégrale des actes, extraits avec filiation : 
    • Certains professionnels ou administrations peuvent, sous certaines conditions, obtenir copie intégrale des actes ou extraits avec filiation : l’INSEE, les généalogistes professionnels avec l’autorisation de l’administration des Archives et un mandat, les services de protection maternelle et infantile du conseil départemental, les avocats
    • les autres personnes ne peuvent obtenir une copie intégrale ou un extrait avec filiation qu’avec une autorisation du procureur de la République.

Les extraits sans indication de filiation, les copies intégrales des actes de décès et les registres de décès sont communicables à tous.

Réserve concernant l'acte de décès : sauf si des informations peuvent porter atteinte à la sécurité des personnes désignées compte tenu des circonstances du décès (source : décret n°2017-890 du 6 mai 2017 relatif à l'état civil).

Non.

Les listes électorales sont communicables à tout électeur sous réserve qu'il s'engage à ne pas en faire un usage commercial.

La CADA interprète ce principe strictement : est considéré comme commercial l'utilisation des données de la liste électorale " dans le cadre d'une activité à but lucratif " (conseil 20190154) .

Il est recommandé de ne communiquer aucun renseignement sur un administré à des tiers mais de le contacter afin que celui-ci soit libre de faire suite à la demande ou non.

Ce n'est cependant pas une obligation. Les collectivités doivent apprécier les demandes au cas par cas.

Par exemple, dans le cas d'une compagnie d'assurance, a mairie peut si elle le souhaite informer l'administré qu'une compagnie d'assurance le cherche en tant que bénéficiaire d'un contrat d'assurance-vie (conseil 20160214).

Mission facultative

Contact

dpd@cdg34.fr
04 30 63 30 02

Liens utiles

CNIL

CADA

@docs

A consulter aussi

>> Gérer LES DONNEES

Actualités

Offres d'emploi

Concours et Examens

Boîte à outils RH

Veille juridique

Icone newsletter