La mutualisation du poste de délégué à la protection des données est actée

Dans la continuité de la loi française informatique et liberté de 1978, le RGPD s’applique à toutes les structures privées et publiques qui collectent et/ou traitent des données dans le cadre de leur activité. Le 7 mars, le comité syndical a voté la mutualisation d’un service délégué à la protection des données (DPO).

Les collectivités territoriales collectent de nombreuses données personnelles, parfois sensibles, pour la gestion interne de leurs services et l’exercice de leurs missions de service public. Chaque structure doit disposer d’un responsable de traitement qui tient un registre des activités de traitement.

Après quelques mois d’application du RGPD, le SIEEEN a établi le constat que certaines structures publiques nivernaises rencontraient des difficultés à initier leur démarche de conformité au RGPD, faute de temps, de connaissances et d’outils appropriés. S’appuyant sur l’article 31 de la loi du 20 juin 2018 et en réponse aux demandes de certaines collectivités, le Syndicat propose désormais aux collectivités la mutualisation du service DPO.

Une étude pour apprécier la pertinence d’une offre DPO mutualisée

Pour définir son offre, le SIEEEN s’est rapproché de plusieurs structures d’autres départements ayant mis en œuvre la mutualisation DPO. Des ressources techniques sont indispensables pour se mettre en conformité. Il faut identifier les traitements effectués au sein de la collectivité et vérifier si les principes du RGPD sont respectés lors de la collecte des données (consentement, minimisation, finalité, transparence, exercice des droits), de leur traitement (finalité, sécurisation et durée de conservation des données) et de la sensibilisation des agents.

Le SIEEEN a également sondé les collectivités nivernaises pour mieux appréhender leurs attentes en matière de RGPD. 95 communes, 6 communautés de communes 8 SIAEP/SIAEPA, le Centre de Gestion et le Conseil Départemental, soit 111 collectivités qui ont répondu à un questionnaire. Les principales conclusions sont les suivantes : 70 % des collectivités ont une faible connaissance du RGPD, 11 collectivités ont déjà nommé un DPO, 92 estime avoir besoin d’un accompagnement DPO, 67 communes et 13 autres structures (SIAEP/SIAEPA et autres) sont également intéressées par une prestation de DPO.

Une tarification forfaitaire du service DPO mutualisé  

La nouvelle prestation DPO du SIEEEN se déclinera en trois phases :

• Audit (intervention auprès du responsable de traitement ; cartographie des données personnelles ; détermination des  niveaux de conformité sur les principales obligations du RGPD) et définition du plan d’actions (liste des points de non-conformité ; actions à mettre en place ; moyens et délais de réalisation nécessaires).
• Accompagnement dans la mise en conformité du RGPD (publication des coordonnées du DPO et déclaration auprès de la CNIL ; inventaire des traitements de données personnelles de la collectivité) et actions complémentaires (formation au RGPD, mise à disposition du logiciel métier, assistance téléphonique, mise à jour du registre de traitement).
• Suivi annuel : audit sur les niveaux de conformité, contrôle du respect du RGPD et accompagnement du responsable de traitement.

Le Comité syndical a validé le principe d’une convention d’une durée de 4 ans et acté la tarification au forfait basé sur le nombre de jours estimés de mise à disposition du service.