RGPD service public : quelles obligations ?
Le Règlement Général sur la Protection des Données (RGPD) ne s’applique pas seulement aux entreprises privées ! Les organismes publics sont aussi concernés et font même l’objet d’obligations spécifiques. Retrouvez les conseils de notre cabinet en droit des nouvelles technologies sur les obligations RGPD du service public.
1. RGPD service public : êtes-vous concerné ?
Le Règlement Général sur la Protection des Données est le nouveau cadre européen en matière de protection des données personnelles. Il s’applique à tous les organismes qui traitent des données personnelles de résidants de l’Union Européenne, y compris les organismes publics (Etats, collectivités, établissements publics, …).
Les acteurs publics sont même tout particulièrement impactés par le RGPD car ils traitent un nombre important de données personnelles. Il s’agit non seulement des données RH qui concernent la gestion de leurs agents, mais aussi toutes les données qui leur permettent de mener à bien leurs missions de service public.
En cas de non-conformité au RGPD, vous vous exposez à de lourdes sanctions. En effet, la Cnil peut désormais infliger des amendes jusque 20 millions d’euros. Deshoulières Avocats vous assiste dans votre mise en conformité RGPD service public grâce à une méthodologie éprouvée en 20 étapes. Notre cabinet peut être désigné en tant que DPO avocat pour vous accompagner en continu.
2. RGPD secteur public : désignation obligatoire d’un DPO
Les organismes de services publics doivent obligatoirement désigner un Délégué à la Protection des Données (ou DPO), quelle que soit leur taille ou le degré de sensibilité des données traitées. Avant toute chose, il vous faut donc désigner un DPO. Ce choix dépend de plusieurs critères, notamment la taille de votre organisme :
Pour les petites structures, la Cnil conseille de mutualiser un DPO :
- Tout d’abord, il peut être difficile de trouver en interne une personne avec les compétences requises. En effet, le DPO est un expert en protection des données personnelles et doit posséder des connaissances tant techniques que juridiques.
- Ensuite, cette solution limite naturellement les coûts liés à une telle obligation.
- Enfin, vous pouvez utiliser une structure dont vous faites déjà partie. Par exemple, un DPO peut agir pour l’ensemble des collectivités membres d’un établissement public de coopération intercommunale (EPCI).
Pour les grandes structures, la désignation d’un DPO interne fait plus de sens. Elle reste cependant déconseillée. En effet, un DPO interne augmente les risques de conflit d’intérêts. Au contraire, un DPO externe vous assure une indépendance totale et un niveau d’expertise élevé si vous avez été vigilant dans votre choix de DPO.
Votre DPO vous informe et vous conseille sur toutes vos autres obligations RGPD service public. Deshoulières Avocats intervient pour de nombreux clients comme DPO externe. Notre cabinet expert vous garantie une indépendance totale et une connaissance parfaite de la législation actuelle en matière de protection des données personnelles.
3. Service public RGPD : quelles sont vos autres obligations ?
Le RGPD met en place de nombreuses obligations à votre charge. Par ailleurs, le respect de ces obligations doit scrupuleusement être documenté. En effet, les déclarations préalables auprès de la Cnil ont été abolies au profit d’un système de documentation qui prouve votre conformité au règlement.
Vous devez prêter une attention particulière aux obligations suivantes :
- Vous devez effectuer une cartographie de tous vos traitements de données. Il faut donc commencer par identifier chacun de vos traitements. Vous devez ensuite renseigner un certain nombre d’informations dans des registres que vous devez tenir à disposition de la Cnil.
- Dans certains cas, une analyse d’impact est obligatoire. Il s’agit des cas où il existe un risque élevé pour les droits et libertés des personnes. C’est le cas par exemple si vous êtes un établissement de santé ou un EPHAD. C’est aussi le cas si vous avez mis en place un traitement qui porte sur des signalements en matière sociale et sanitaire, par exemple un dispositif de signalement des maltraitances.
- Le RGPD a particulièrement renforcé les droits des individus. Cela se retrouve notamment dans les exigences accrues sur le recueil du consentement RGPD. De plus, vous avez une obligation d’information envers les individus dont vous collectez les données. Cela implique de leur fournir un certain nombre d’informations obligatoires, notamment les procédures qu’ils doivent suivre pour exercer leurs droits RGPD. Vous devez répondre aux demandes de droits RGPD dans un délai d’un mois
Ces obligations peuvent sembler complexe à mettre en place, mais gardez en mémoire que vous êtes assisté à chaque étape par votre DPO. En revanche, le DPO n’engage pas sa responsabilité en cas de manquement. Vous êtes responsable si vous ne respectez pas les dispositions du RGPD. C’est aussi le cas si vous avez fait appel à un sous-traitant.
4. RGPD service public : combien coûte une mise en conformité ?
Le coût d’une mise en conformité RGPD varie fortement en fonction de la taille des traitements et du degré de sensibilité des données. Il faut aussi prendre en compte les anciennes mauvaises habitudes qu’il est nécessaire de changer.
Notre cabinet ne propose pas de forfait mensuel. Nous réalisons un forfait global dans le cas d’une mise en conformité complète ou bien nous facturons indépendamment chaque prestation RGPD.
A l’issue de ces prestations, nous procédons à un horodatage de tous les documents fournis afin qu’ils soient opposables à la Cnil, voire nous vous délivrons une attestation de conformité dans le cadre d’un forfait global. Faire appel à notre cabinet expert vous assure donc de réduire drastiquement votre risque de sanctions.
Deshoulières Avocats intervient auprès de nombreux clients publics et privs pour leur mise en conformité RGPD. Notre cabinet en protection des données personnelles réalise pour vous les changements nécessaires au respect du RGPD service public.
REFERENCES :
- RGPD Service public : texte officiel du RGPD
- Site de la Cnil
