Ce fut le sujet de l’année : le RGPD (Règlement général à la protection des données) appelle les communicants publics à repenser la relation à l’usager et à faire évoluer la manière dont ils collectent et utilisent les données pour communiquer avec les citoyens.
VP1 - Toulouse terre de rugby : un puissant marqueur du territoire
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
1. ATELIER MÉTHODO 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
RGPD : il n’est pas trop tard
pour comprendre et agir
2. ATELIER MÉTHODO 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
RGPD : il n’est pas trop tard
pour comprendre et agir
Pascal TOUHARI
Directeur juridique Ville de Villeurbanne
Chargé d’enseignements à l’Université Paris 1 Panthéon-
Sorbonne et à l’Ecole Normale Supérieure
Eric LEGALE
Directeur général d’Issy Média
3. ATELIER MÉTHODO 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Le RGPD, quels enjeux
juridiques 6 mois plus tard
Pascal TOUHARI
Directeur juridique Ville de Villeurbanne
Chargé d’enseignements à l’Université Paris 1 Panthéon-
Sorbonne et à l’Ecole Normale Supérieure
4. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Protection des données, nouvelles obligations
• Rappel des définitions et grands principes
• Ce qui change avec le RGPD
• L’obligation de nommer un DPO
5. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Rappels des définitions, grands principes et acteurs
Données à caractère personnel :
• Constitue une donnée à caractère personnel toute information se rapportant
à une personne physique identifiée ou identifiable :
•Directement ou Indirectement, notamment par référence à un identifiant (nom,
numéro, matricule, adresse IP) ou à un ou plusieurs identifiants spécifiques à
son identité (physique, physiologique, génétique, psychique, économique,
social etc)
6. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Traitement
Constitue un traitement de données à caractère personnel toute opération ou tout
ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à
des données ou des ensembles de données à caractère personnel, telles que:
• la collecte,
• l'enregistrement,
• l'organisation,
• la structuration,
• la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, la diffusion ou toute autre forme de mise à
disposition
• le rapprochement ou l'interconnexion
7. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Fichier
Constitue un fichier de données à caractère personnel :
• tout ensemble structuré et stable de données à caractère
personnel
• accessibles selon des critères déterminés, que cet ensemble soit:
centralisé
décentralisé ou
réparti de manière fonctionnelle ou géographique
8. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Les grands principes de la collecte de données
Principe de finalité : indiquer à quoi le fichier va servir.
Les données ne peuvent être recueillies que pour une finalité déterminée, explicite et
légitime, correspondant aux missions de la collectivité
Principe de pertinence : aussi appelé principe de proportionnalité ou de minimisation de
la collecte. Seules les données strictement nécessaires à la réalisation de l’objectif peuvent
être collectées.
Principe de temporalité : aussi appelé principe de conservation. Une fois que l’objectif
poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données
et elles doivent être supprimées.
9. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Ce qui change avec le RGPD
Une nouvelle logique de responsabilité
Les droits des personnes renforcés
Un risque aggravé de sanctions
Un Délégué à la Protection des Données (DPD) obligatoire
10. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Une nouvelle logique de responsabilité
Réflexion sur la protection des données dès la création / conception d’un service : «Privacy by design»:
• Dès la conception d’un service et par défaut
• Mise en œuvre de mesures techniques et / organisationnelles
• Veiller à limiter la quantité de données traitées
Suppression des obligations de déclarations préalables pour les traitements sans risque pour la vie
privée
• Logique de responsabilisation des élu·e·s (RT)
• Obligations de mettre en place des mesures de protection, de les documenter et de démontrer la
conformité à tout moment (mise en conformité dynamique et permanente)
• Maintien des déclarations préalables pour les demandes d’autorisation
11. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Une nouvelle logique de responsabilité
Etudes d’impact sur la vie privée (EIVP) obligatoires :
• pour les traitements « à risques », traitant des données sensibles ou reposant sur du profilage
• pour faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées pour
protéger les données
Partage des responsabilités : le sous-traitant aussi doit respecter le RGPD
• Potentielle co-responsabilité
• Obligation de désigner un DPD et de tenir un registre des traitements
• Obligation de conseil pour permettre la conformité au RGPD (EIVP, failles de sécurité, audit,
destruction des données)
12. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Les droits des personnes renforcés
Obligation d’information dans des termes clairs
• L’information doit être claire, intelligible et facilement accessible
• Les personnes doivent donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer, de façon «
non ambigüe »
• La charge de la preuve pèse sur le responsable du traitement
Obligation d’information en cas de perte de données :
• Obligation d’informer la CNIL dans les 72 heures
• Obligation d’informer les personnes concernées si la violation est susceptible d’engendrer un risque élevé pour les
droits et libertés des personnes
• Droit à réparation du préjudice, auprès de l’élu·e (RT) ou de son sous- traitant
Délais pour faire droit à une demande : « dans les meilleurs délais » et au plus tard en 1 mois
13. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Un risque aggravé de sanctions
L’élu·e et le sous-traitant peuvent faire l’objet de sanctions administratives : jusqu’à 20 millions d’euros
pour le responsable du traitement et de 2 à 4 % du chiffre d’affaires annuels du sous- traitant
Des sanctions pénales toujours en vigueur :
• Article L226-16 à L226-24 et articles R625-10 à R625-13 du code pénal
• Peine d’amendes à peines de prison avec sursis
En cas de non-conformité, le risque est ailleurs : réputation, image, perte de confiance, climat social
• Loi République numérique et loi Informatiques et Libertés 2 (à venir) pour adapter précisions en
droit français
• https://www.cnil.fr/fr/hertz-france-sanction-pecuniaire-pour-violation-de-donnees-personnelles
14. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
La désignation obligatoire d’un Délégué à la Protection des
Données (DPO en anglais)
Désignation obligatoire du délégué à la protection des données, sans seuil de dispense.
Profil :
• Doit être qualifié: qualités professionnelles, connaissances spécialisées du droit et des pratiques
en matière de protection de données
• Doit bénéficier d’actions de formation continue
Obligations pour la collectivité de :
• fournir au DPD les ressources nécessaires à ses missions
• l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la
protection des données
• lui donner accès aux données
• lui permettre de se former
15. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Le rôle du DPD
• Informer, conseiller et accompagner, afin de faire respecter le règlement
européen et le droit national dans sa collectivité
• Sensibiliser aux enjeux de la protection des données personnelles
• Superviser des audits internes sur la protection des données personnelles
• Conseiller le responsable sur l'opportunité de réaliser une analyse d’impact sur la vie privée (EIVP) et d'en vérifier
l'exécution
• Recevoir les réclamations relatives à la protection des données et y répondre
• Coopérer avec la CNIL et être son point de contact dans la collectivité
• Tenir le registre des traitements et dresser le bilan annuel
16. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Quelle mise en œuvre du DPD
Possibilité de :
• Externaliser un DPD : avocat, prestataire
• Mutualiser un DPD : à l’échelle de l’EPCI, à l’échelle d’un département, etc.
• Mutualiser pour éviter le conflit d’intérêt : DGS ≠ DPD
• Mutualiser pour disposer des ressources nécessaires d’un DPD formé et habitué aux problématiques de
protection des données
• d’un DPD indépendant
17. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Quelques chiffres après 6 mois
• 32 000 organismes ont désigné 15 000 délégués à la protection des données (personnes physiques ou morales -
DPO) contre 5 000 correspondants informatique et libertés auparavant ;
• 1 000 notifications de violations de données ont été reçues ;
• 5 référentiels ont été élaborés par la CNIL pour mettre à jour la doctrine de celle-ci au regard des exigences du
RGPD ; ils feront l'objet d'une consultation ;
• 2 référentiels de certification de compétences « DPO » ont été adoptés après consultation (les premiers agréments
pourraient être délivrés au 1er semestre 2019) ;
• une dizaine de codes de conduite sont en cours d'élaboration ;
• la conception d'un MOOC est à l'étude et plan d'accompagnement des collectivités locales 2019 sera publié.
18. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Quelques chiffres après 6 mois
• 66 % des Français ont conscience de la nécessité de protéger leurs données ;
• 65 % des Français ont entendu parler du règlement, mais seulement 54 % le comprennent ; une fois
expliqué, 73 % considèrent qu'il est efficace pour les protéger ;
• 6 000 plaintes ont été reçues depuis le 25 mai : elles poussent les organismes à repenser leur organisation
notamment concernant le droit d'accès aux données ;
• des plaintes collectives ont été déposées par 3 organismes ;
• 345 plaintes transfrontalières sont traitées par les autorités de protection européennes dont 187 qui concernent la
CNIL : elles soulèvent notamment des questions sur le consentement
19. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Le rôle des communicants : informer, obtenir, garantir
Informer
• Le RPGD impose à l’organisme de fournir des informations complètes aux personnes
concernées lors de la collecte de leurs données personnelles sur le traitement, la finalité, la
durée de conservation et les modalités de retrait des données.
Obtenir
• L’un des points principaux de ce nouveau règlement consiste en l’obtention du
consentement explicite des personnes concernées par le traitement des données.
Garantir :
• la sécurité et la portabilité des données en conversant avec les sous-traitants ou les
interlocuteurs techniques.
• que la récolte des données soit bien en adéquation avec l'objectif recherché,
20. ATELIER MÉTHODO 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
RGPD : l’expérience d’Issy-
les-Moulineaux
Eric LEGALE
Directeur général d’Issy Média
27. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
28. • Web : www.issy.com
• Facebook :
IssylesMoulineaux
• Twitter : @issylesmoul
Merci
pour votre attention
29. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
échangez sur
#CAPCOM18
30. 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
Les collectivités et organismes du territoire
Le cercle des partenaires de Cap’Com
31. ATELIER MÉTHODO 30E FORUM DE LA COMMUNICATION
PUBLIQUE ET TERRITORIALE
4.5.6 Décembre 2018 LYON
RGPD : il n’est pas trop tard
pour comprendre et agir
Notes de l'éditeur
Les collectivités urbaines, premiers investisseurs publics (70%), sont confrontées à des contraintes de natures différentes dont les effets se cumulent :
Stagnation des recettes propres et diminution des dotations de l’État.
Recul des investissements des collectivités territoriales.
Depuis 2009 = Correspondant Informatique et Libertés (CIL).
Cette décision lui a permis d’engager de nouvelles politiques publiques en apportant une garantie supplémentaire de protection des données à caractère personnel.
Interlocuteur privilégié de la CNIL, le Correspondant Informatique et Libertés met à jour les traitements de données à caractère personnel dans un registre dédié, répondant à l'une des exigences de la RGPD.
Son rôle est de s’assurer que toutes les précautions utiles sont respectées pour préserver la sécurité des données et empêcher qu’elles soient détournées de leur finalité, endommagées ou que des personnes non autorisées y aient accès.
Le CIL est devenu depuis le 25 mai dernier le Délégué à la Protection des données, visant à assurer le respect du droit en matière de protection des données et à conseiller les collectivités sur la réalisation d’une analyse d’impact liée à la protection des informations personnelles.
Le traitement des données personnelles n’est pas uniquement lié aux démarches administratives.
Les directions de la communication gèrent aussi des données, à travers les newsletters, les fichiers d’adresses pour l’envoi des invitations.
A Issy Média, nous avons créé un registre spécifique des traitements sensibles au cours de l’été.
Ce registre recense l’ensemble des canaux traitant des données et doit être mis à jour au-fur-et à mesure, dans le cas de nouvelles collectes de données personnelles.
Le plus compliqué à comprendre = les plateformes que nous utilisons doivent garantir leur propre respect du RGPD. Notre responsabilité est engagée.
Etre pragmatique : avancer pas à pas pour construire un modèle à taille humaine, facilement duplicable