Le Réglement Général pour la Protection des Données ( RGPD ) est souvent sous-estimé alors que son champ d'application est vaste et complexe.
Il est peu probable que les petites et moyennes collectivités soient en capacité de recruter un Délégué à la Protection des Données ( DPD ou DPO en anglais pour "Data Protection Officer" ) que le RGPD impose.
Il sera donc souvent nécessaire de déléguer la mise en conformité à une entité qui mutualisera ce besoin.
Nous considérons, d'après notre expérience et nos échanges avec les adhérents, que l'EPCI est l'échelon idéal de mutualisation du DPD.
La CNIL, organisme français en charge de sa mise en application, propose de nombreuses ressources sur son site, en voici une sélection :
La CNIL propose également une formation en ligne qui permet aux intervenants de mieux comprendre les enjeux, les obligations de toutes les parties et de nombreuses notions comme le "Privacy by design".
Nous vous conseillons fortement d'avoir un agent ayant suivi cette formation, ce sera d'ailleurs probablement le même qui sera référent du DPD que vous aurez choisi.
De notre côté, nous avons mis en conformité les sites créés dés 2018, période de mise en application du RGPD.
Voici les principaux dispositifs de mise en conformité :
- les sites sont tous sécurisés ( accès frontend et backend, développement et production ) grâce à un certificat SSL ( gratuit de type "Let's Encrypt" afin d'éviter un surcoût supplémentaire )
- création d'une page de politique de protection des données ( pages réalisées en partenariat avec Valenciennes Métropole ). Cette page explique également l'utilisation des cookies et le dispositif mis en place sur les sites afin de recueillir le consentement pour le chargement des ressources externes conformément aux directives de la CNIL
- consentement à chaque saisine ( formulaire en ligne ) conforme au RGPD
- les sites ne conservent aucune donnée ni aucune pièce jointe saisie dans les formulaires
- les statistiques d'utilisation des sites utilisent matomo, outil préconisé par la CNIL et nous l'avons configuré pour anonymiser les données des visiteurs