Politique générale de protection des données
Version 1.0
Table des matières
- Objectifs et champ d’application
- Objectifs de la Politique
- Champ d’application
- Révision
- Organisation et gouvernance de la protection des Données personnelles
- Contributeurs clés
- La Direction Générale des Services (DGS)
- Les responsables de services
- Le Délégué à la protection des données (« DPO »)
- Le service informatique
- Contributeurs clés
- Les principes à respecter en matière de Traitement des Données personnelles
- Licéité, loyauté et transparence
- Consentement
- Les conditions de validité du Consentement (caractéristiques et modalités de collecte)
- La gestion du Consentement (durée, preuve)
- Le retrait du Consentement
- Limitation des finalités
- Minimisation et exactitude
- Conservation limitée
- Sécurité des Données personnelles
- Transfert des Données personnelles en dehors de l’Union européenne
- Traitement de Données personnelles sensibles
- Documentation et gestions des risques
- Protection des Données dès la conception et par défaut (« Privacy by Design/by default”)
- L’Analyse d’impact sur la vie privée
- Le registre des Traitements
- Formation et sensibilisation du personnel
- Relations avec les Personnes concernées
- Gestion des Violations de Données personnelles
- Gestion des tiers intervenants
- Relations avec l’Autorité de contrôle
- Contrôle de la conformité
- Engagements de la Mairie de Callian en qualité de Sous-traitant
- Le registre des Traitements Sous-traitant
- Obligations additionnelles de la Mairie de Callian en qualité de Sous-traitant
Annexe 1 Définition
1 – Objectifs et champ d’application
Les termes commençant par une majuscule, utilisés dans la présente politique générale de protection des Données personnelles (ci-après la « Politique »), sont définis dans l’Annexe « Définitions ».
La Mairie de Callian s’engage à garantir la protection des Données personnelles obtenues dans le cadre de ses missions, ainsi qu’à se conformer aux lois et réglementations applicables en matière de Traitement de Données à caractère personnel et Données à caractère personnel sensibles.
Cette Politique a pour objectifs de :
1.1. Objectifs de la Politique
- définir les engagements de la Mairie de Callian au sujet des principes imposés par la Législation applicable, et notamment le Règlement Européen n°2016/679 relatif à la protection des Données à caractère personnel, en date du 27 avril 2016, applicable depuis le 25 mai 2018 ;
- définir les rôles et responsabilités des principaux contributeurs ; et
- assurer la mise en place de méthodes et procédures adéquates ainsi que des structures de gouvernance et de contrôle appropriées pour garantir le respect des engagements et de la Législation applicable.
Les engagements de la Mairie de Callian sont résumés dans les encarts de règle R0X. La conformité de la Mairie de Callian avec ces règles sera auditée dans les conditions définies à la Section « Contrôle de la conformité ».
1.2. Champ d’application
La politique a vocation à s’appliquer à l’ensemble des agents, à toutes les activités de traitement et aux ressources tant papiers qu’informatisées de la Mairie de Callian.
En cas de conflits entre la présente politique et la Législation applicable, les règles suivantes s’appliqueront :
- Si la politique est plus protectrice, elle a vocation à primer sur la Législation applicable.
- Si la Législation applicable est plus protectrice, elle s’appliquera sur les points concernés en lieu et place de la Politique.
- Si un doute subsiste, l’agent de la Mairie de Callian sollicitera les conseils du DPO.
1.3. Révision
Cette politique est mise à jour par le DPO de la Mairie de Callian en cas de :
- Changements significatifs du contexte métier ou de la stratégie de protection des Données à caractère personnel de la Mairie de Callian ;
- Changements significatifs de l’exposition aux risques (par exemple, nouvelles menaces, nouvelles tendances…) ;
- Evolution significative de la Législation applicable.
Ces modifications sont soumises à la validation de la Direction Générale des Services (DGS). Une communication adéquate sera effectuée aux agents de la Mairie de Callian en cas de modifications.
2 – Organisation et gouvernance de la protection des Données personnelles
Chaque agent au sein la Mairie de Callian est responsable de la protection des Données personnelles. Cette protection doit être une préoccupation constante, reflétée dans les politiques, procédures et pratiques opérationnelles.
Les contributeurs clés identifiés dans cette section adoptent les rôles et responsabilités qui leurs incombent afin de s’assurer que cette Politique est mise en œuvre de manière cohérente et coordonnée au sein de la Mairie de Callian.
2.1. Contributeurs clés
2.1.1. La Direction Générale des Services (DGS)
La Direction Générale des Services garantit un engagement fort de la Mairie de Callian en faveur de la protection des Données personnelles’’. A ce titre, la Direction Générale des Services doit :
- S’assurer de la mise en place d’une gouvernance de la protection des Données personnelles appropriée, définissant les rôles et responsabilités au sein de la Mairie de Callian et permettant au DPO d’être associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données ;
- Communiquer auprès de l’ensemble des agents sur la nomination d’un DPO, ses missions et les moyens de le contacter ;
- Veiller à ce que le DPO :
- Dispose des ressources et moyens nécessaires à l’exercice de ses missions ;
- Ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions ;
- Reçoive la formation adaptée ;
- Soit en mesure de faire directement rapport à la Direction Générale des Services.
2.1.2. Les responsables de services
Chaque responsable de service en charge de la mise en œuvre d’un ou plusieurs Traitements doit :
- Veiller au respect des principes et règles édictés dans la présente Politique et les procédures et politiques complémentaires ;
- Associer le DPO dès la phase de conception dans tous les nouveaux projets impliquant un Traitement de Données personnelles ;
- Réaliser si nécessaire une Analyse d’impact sur la vie privée, avec l’assistance du DPO et de tout autre expert technique ;
- Documenter et justifier par écrit les raisons pour lesquelles l’avis du DPO n’a pas été suivi le cas échéant ;
- Répondre à toute demande d’information du DPO sur tous les sujets ayant un impact sur la vie privée des personnes ;
- Fournir toute documentation relative aux Traitements dans leur périmètre d’intervention ;
- Inscrire tout nouveau Traitement dans le registre des Traitements de la Mairie de Callian.
2.1.3. Le Délégué à la protection des données (« DPO »)
La Mairie de Callian a désigné un Délégué à la protection des données (DPO) pour garantir la conformité de la Mairie de Callian à la Législation applicable et le respect des engagements pris aux termes de la présente Politique.
Le DPO a plusieurs missions au sein de la Mairie de Callian :
- Tenir à jour l’inventaire des traitements mis en œuvre par la Mairie de Callian en qualité de responsable de traitement et de sous-traitant, le cas échéant ;
- Documenter la conformité des traitements mis en œuvre ;
- Informer et conseiller les équipes métiers sur la conformité des traitements en cours ;
- Informer et conseiller les équipes métiers sur la conformité des nouveaux traitements en veillant à la bonne application du principe de protection des données dès la conception et par défaut (Privacy by design) ;
- Dispenser les conseils adéquats sur les études d’impact sur la vie privée ;
- Être le point de contact et interlocuteur privilégié de l’autorité chef de file (la CNIL) et gérer toute demande émanant de ladite autorité ;
- Être le point de contact des personnes concernées et assurer la bonne gestion des demandes d’exercice de droits, de réclamations et de requêtes formulées par des personnes concernées par les traitements mis en œuvre, en assurant leur transmission aux équipes métiers intéressées et en apportant conseil à ces dernières dans la réponse à fournir ;
- Superviser la conformité de la Mairie de Callian à ses obligations (audit déclaratif) et l’alerter de tout manquement ainsi constaté, en veillant à la conseiller sur les mesures à prendre pour y remédier ;
- Effectuer une veille en matière de protection des données.
Le DPO a la possibilité de nommer un ou plusieurs suppléants au sein des agents de la Mairie de Callian. Une communication adéquate est effectuée par le DPO sur cette nomination.
2.1.4. Le service informatique
Pour chaque projet, le service informatique apporte son soutien et son expertise sur les sujets suivants :
- Évaluation de la criticité d’un nouveau projet mettant en jeu le Traitement informatisé de données personnelles ;
- Définition de mesures de sécurité visant à neutraliser ou réduire des risques relatifs au Traitement informatisé de données personnelles ;
- Conduite éventuelle d’une Analyse d’impact relative à la protection des données (AIPD) ;
- Évaluation du niveau de sécurité offert par les prestataires Sous-traitants de la Marie de Callian en matière de Traitement informatisé de données personnelles ;
- Coordination de la surveillance, détection et gestion des incidents de sécurité informatique, avec l’assistance du DPO en cas de Violation de Données.
3 – Les principes à respecter en matière de Traitement des Données personnelles
Conformément à la Législation applicable, la Mairie de Callian s’engage à respecter les principes établis ci-après lors de la collecte et du Traitement de Données personnelles.
3.1. Licéité, loyauté et transparence
Les Données à caractère personnel doivent être collectées et traitées de manière licite, loyale et transparente.
A ce titre, la Mairie de Callian garantit que tout Traitement repose une base légale reconnue par la Législation applicable telles que :
- La Personne concernée a donné son Consentement au Traitement de ses Données personnelles pour une ou plusieurs finalités spécifiques (sous réserve du respect des exigences supplémentaires détaillées à la section « Consentement ») ;
- Le Traitement est nécessaire à l’exécution d’un contrat auquel la Personne concernée est partie ou pour prendre les mesures appropriées à la demande de la Personne concernée avant de conclure un contrat ;
- Le Traitement est nécessaire au respect des obligations légales auxquelles la Mairie de Callian est soumise ;
- Le Traitement est nécessaire aux fins d’intérêts légitimes poursuivis par la Mairie de Callian ;
- Le Traitement est nécessaire afin de protéger les intérêts vitaux de la Personne concernée ;
- Le Traitement est nécessaire pour l’exécution d’une mission d’intérêt public.
Tout Traitement repose sur une base légale clairement identifiée et documentée dans le registre.
De plus, la Mairie de Callian s’assure que les activités de Traitement des Données personnelles sont effectuées de manière apparente et transparente. À cette fin, la Mairie de Callian fournit des informations accessibles et intelligibles aux Personnes concernées sur la façon dont leurs Données personnelles sont utilisées, conformément aux termes et exigences de la procédure de gestion des droits des personnes (cf. Section « Relations avec les Personnes concernées » de cette Politique).
3.2. Consentement
Lorsque le Traitement est fondé sur le Consentement de la Personne concernée, la Mairie de Callian s’assure que ce Consentement a été obtenu légalement (voir Section sur les « Conditions de validité du Consentement ») et est correctement géré pendant toute la durée du Traitement (voir Section « Gestion du Consentement »).
3.2.1. Les conditions de validité du Consentement (caractéristiques et modalités de collecte)
La Mairie de Callian s’assure que le Consentement obtenu de la part de la Personne concernée répond aux critères suivants :
Ce Consentement doit être obtenu avant la collecte des Données et, a minima, concomitamment à la collecte des Données. La demande de Consentement doit être distinguée de tout autre demande/sujet, sous une forme intelligible et facilement accessible, dans un langage clair et simple.
Lorsque la base légale est le Consentement, le Consentement obtenu répond aux conditions de validité de fond (caractéristiques) et de forme (collecte).
3.2.2. La gestion du Consentement (durée, preuve)
La Mairie de Callian veille à la durée de validité du Consentement : lorsque les modalités de Traitement changent ou évoluent, le Consentement original n’est plus valide. Un nouveau Consentement doit alors être obtenu.
La Mairie de Callian assure le suivi, dans la mesure du possible, des déclarations de Consentement reçues, c’est-à-dire qui a donné son Consentement, comment et quand le Consentement a été obtenu, ainsi qu’une copie des informations fournies à la personne concernée à l’époque.
Les Consentements sont renouvelés en cas de modification significative des modalités de Traitement.
3.2.3. Le retrait du Consentement
Un suivi des déclarations de Consentement est mis en place.
La Personne concernée doit être en mesure de retirer son Consentement à tout moment. La Mairie de Callian doit donner à la Personne concernée les moyens de retirer son Consentement aussi facilement qu’il a été donné, dans la mesure du possible par une méthode équivalente à celle utilisée pour obtenir le Consentement.
Une fois le Consentement révoqué, la Mairie de Callian doit s’assurer que le retrait est enregistré dans ses systèmes et bases de données dès que possible, de telle sorte que les Données personnelles ne soient plus traitées pour la finalité en question (par exemple, un client qui révoque son Consentement pour recevoir une publicité ne devrait plus en recevoir). En outre, ce changement de statut doit être relayé chez tous les tiers intervenants, en particulier les Sous-traitants, de sorte qu’aucun d’entre eux ne traite plus les Données personnelles concernées pour la finalité en question.
Une fois le Consentement révoqué, la Mairie de Callian ne peut plus se fonder sur le Consentement comme base légale pour le Traitement. Toutefois, le retrait du Consentement :
- n’affecte pas la licéité du Traitement fondé sur le Consentement avant son retrait, et
- n’exige pas nécessairement la suppression des Données personnelles concernées dans la mesure où elles peuvent encore être utiles pour un autre Traitement et/ou présenter un intérêt administratif.
La Personne concernée a la possibilité de retirer son Consentement à tout moment aussi facilement qu’il a été donné.
Le retrait du Consentement est pris en compte de façon effective dans les outils de Traitement.
3.3. Limitation des finalités
Avant toute collecte de Données personnelles, la Mairie de Callian définit de façon claire la ou les finalités poursuivies par la collecte, lesquelles doivent être déterminées, explicites et légitimes. La Mairie de Callian s’assure également que la ou les finalités ainsi définies sont compatibles avec ses missions.
Les Données personnelles ne doivent pas être traitées pour une finalité ultérieure incompatible avec la finalité initiale pour laquelle les Données ont été collectées.
Lorsque la finalité ultérieure est incompatible avec la finalité initiale, la Mairie de Callian s’assure de recueillir le Consentement de la Personne concernée, conformément aux exigences de la Législation applicable (Article 6 (4) du RGPD).
Les Données personnelles ne sont collectées qu’à des fins spécifiques, explicites et légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec cette ou ces finalités.
3.4. Minimisation et exactitude
Les Données personnelles collectées doivent être adéquates, pertinentes et non excessives par rapport à la finalité poursuivie par le Traitement. En d’autres termes, la Mairie de Callian s’assure que la collecte porte uniquement sur les Données strictement nécessaires pour atteindre la finalité.
En outre, la Mairie de Callian s’assure que les Données personnelles sont exactes et, le cas échéant, mises à jour. A cette fin et compte tenu de la finalité pour laquelle elles sont traitées et de la nécessité qui en résulte de disposer de Données exactes, la Mairie de Callian prend des mesures raisonnables pour effacer ou rectifier sans délai toute Donnée personnelle inexacte.
Les Données personnelles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le Traitement. Elles sont exactes, complètes et mises à jour si nécessaire.
3.5. Conservation limitée
La Mairie de Callian s’assure que les Données personnelles traitées ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont collectées.
Les Données personnelles peuvent être conservées :
- Sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées par la Mairie de Callian. Une fois la finalité atteinte, les Données doivent donc être supprimées.
- Au-delà de la durée nécessaire à la finalité du Traitement, lorsqu’elles présentent encore un intérêt administratif. La durée de conservation des Données peut alors être prolongée au-delà du délai jugé pertinent pour la finalité de collecte initiale. Ce prolongement doit être dûment justifié et documenté.
Les Données peuvent encore être conservées en vue de respecter des durées légales de prescription, des durées de conservation particulières (conservation des documents comptables et pièces justificatives, archivage des contrats électroniques, etc.), essentiellement à des fins probatoires, ou encore afin d’être en capacité de répondre aux demandes de communication susceptibles d’être adressées par certains tiers légalement habilités (l’administration fiscale, les organismes sociaux, etc.). - Pour des durées plus longues dans la mesure où les Données personnelles seront traitées exclusivement par la Mairie de Callian à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés de la personne concernée, telles que l’anonymisation ou la pseudonymisation.
Afin d’assurer le respect de ce principe, la Mairie de Callian définit les durées de conservation applicables à chaque Traitement. Les éléments suivants doivent être pris en compte pour la détermination de la durée de conservation de chaque catégorie de Données collectées :
- les obligations légales ;
- les recommandations de la CNIL ;
- les meilleures pratiques dans chaque domaine concerné ;
- les besoins opérationnels de l’organisme.
Ces durées sont revues et mises à jour en tant que de besoin pour refléter les évolutions de la Législation applicable et/ou des pratiques au sein de la Mairie de Callian.
Au terme de cette durée, les Données sont supprimées sans délai indu. Cette suppression peut être opérée par destruction des Données et/ou anonymisation. En cas de suppression par destruction, la Mairie de Callian s’assure que les Données sont effectivement détruites des systèmes (en ce inclus lorsque les systèmes concernés sont ceux d’un tiers).
Des durées de conservation sont définies et implémentées.
3.6. Sécurité des Données personnelles
La Mairie de Callian prend des mesures techniques et organisationnelles dans le but d’assurer la sécurité, la confidentialité et l’intégrité des Données personnelles pendant toute la durée du Traitement. Sont pris en compte dans la détermination de ces mesures :
- la gravité et la probabilité du préjudice éventuel pouvant résulter de la perte, de l’altération et/ou de l’accès non autorisé aux Données ;
- les éléments caractéristiques du Traitement concerné ;
- le cas échéant, les résultats de l’analyse d’impact sur la vie privée menée ;
- l’état de l’art ;
- les coûts d’implémentation.
La Mairie de Callian s’engage à réviser de façon régulière les mesures de sécurité afin de tester, d’évaluer et de mesurer leur efficacité et d’entreprendre toute amélioration nécessaire.
La Mairie de Callian s’assure également que toute Violation des Données est gérée correctement conformément à la Section « Gestion des Violations de Données » de la présente Politique.
Des mesures techniques et organisationnelles appropriées sont mises en œuvre afin d’assurer la sécurité, l’intégrité et la confidentialité des Données personnelles.
3.7. Transfert des Données personnelles en dehors de l’Union européenne
Les Transferts de Données personnelles exigent une attention et des garanties supplémentaires. La Mairie de Callian s’assure que tout Transfert de Données personnelles est sécurisé de façon adéquate et encadré juridiquement conformément aux exigences de la Législation applicable.
A ce titre, la Mairie de Callian veille à :
- Identifier tout Transfert de Données personnelles, y compris, dans la mesure du possible, les Transferts ultérieurs opérés par les Sous-traitants (de 1er rang) ;
- Encadrer dans le contrat avec le prestataire les Transferts de Données ainsi que, le cas échéant, le lieu d’hébergement des Données (lequel doit être par principe sur le territoire de l’Union européenne). Le prestataire doit ainsi garantir l’application de mesures permettant d’assurer un niveau de protection des Données personnelles équivalent à celui fourni par le RGPD ;
- Sécuriser tout Transfert par des mesures techniques et organisationnelles adaptées ;
- Lorsque le Transfert n’est pas à destination d’un pays reconnu comme d’adéquat (en vertu d’une décision d’adéquation de la Commission européenne), encadrer juridiquement le Transfert par un mécanisme approprié.
Dans la mesure du possible, les Données à caractère personnel ne doivent pas être transférées dans un pays situé hors de l’Union Européenne de manière automatique sans l’autorisation du DPO de la Mairie de Callian.
Tout Transfert de Données personnelles est sécurisé de façon adéquate et encadré juridiquement conformément aux exigences de la Législation applicable.
3.8. Traitement de Données personnelles sensibles
En plus de la base légale générique (voir section « Licéité, loyauté et transparence »), les Données personnelles sensibles ne peuvent être collectées QUE SI l’une des conditions spéciales suivantes s’applique :
- La Personne concernée a donné son Consentement explicite ;
- Le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres à la Mairie de Callian ou à la personne concernée en matière de droit du travail, sécurité sociale et protection sociale ;
- Le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ;
- Le Traitement porte sur des Données personnelles qui sont manifestement rendues publiques par la Personne concernée ;
- Le Traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
- Le Traitement est nécessaire pour des motifs d’intérêt public importants, sur la base du droit de l’Union européenne ou d’un Etat membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des Données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la Personne concernée ;
- Le Traitement est nécessaire aux fins de la médecine préventive, ou de médecine du travail, de l’appréciation de la capacité de travail du travailleur, des diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et services de soins de santé ;
- Le traitement est effectué, dans le cadre des activités légitimes d’une fondation, d’une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ce traitement, accompagné de garanties appropriées, se rapporte exclusivement aux membres / anciens membres / aux personnes entretenant avec celui-ci des contacts réguliers avec l’organisme visé.
- Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique
- Le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
- Une condition spécifique prévue par une loi locale s’applique.
La Mairie de Callian doit prévoir des mesures de sécurité particulières pour ces Données au regard du risque qu’elles peuvent représenter pour la Personne concernée.
Les Données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne doivent pas, par principe, être recueillies, sauf dans des cas très exceptionnels et avec la validation du DPO (par exemple la collecte du casier judiciaire pour vérifier les informations concernant un candidat à un emploi en raison de la nature spécifique de l’offre d’emploi). En tout état de cause, ce type de Données personnelles sensibles ne peut pas être traité (ainsi la copie du casier judiciaire, si elle peut être collectée, ne peut être conservée).
Le Traitement de Données sensibles est par principe interdit. Toute exception doit être réalisées dans les conditions requises par la Législation applicable et validée par le DPO.
4 – Documentation et gestions des risques
Toutes les preuves du respect de la règlementation doivent être conservées afin de pouvoir démontrer la conformité de la Mairie de Callian à l’Autorité de contrôle.
4.1. Protection des Données dès la conception et par défaut (« Privacy by Design/by default”)
Pour tout nouveau projet impliquant le Traitement de Données personnelles, la Mairie de Callian met en place des mesures visant à protéger les Données personnelles dès la conception du Traitement, mais aussi tout au long du projet et du cycle de vie de la Donnée personnelle (de la collecte à la destruction).
A cette fin, tout agent de la Mairie de Callian pilotant un projet devra suivre les étapes suivantes :
- Vérifier que les principes définis en Section 3 de la présente Politique sont bien respectés.
- Liste les mesures techniques et organisationnelles existantes et envisagées permettant d’assurer la sécurité, l’intégrité et la confidentialité des Données personnelles.
- Réaliser l’évaluation préalable à l’Analyse d’impact sur la vie privée.
- Réaliser si nécessaire l’Analyse d’impact sur la vie privée.
- Implémenter les mesures de sécurité adaptées au niveau de risque.
Le processus à suivre est détaillé dans la « Procédure Privacy by design/by default » de la Mairie de Callian.
Lorsque le projet implique de confier tout ou partie du Traitement à un Sous-traitant, la Mairie de Callian s’assure que les exigences de la section « Gestion des tiers intervenant » sont respectées.
Tout projet prend en compte la protection des Données personnelles dès la conception et par défaut.
4.2. L’Analyse d’impact sur la vie privée
Lorsqu’un Traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des Personnes concernées, la Mairie de Callian effectue une Analyse d’impact sur la vie privée (AIPD) sur le Traitement, en amont de la mise en place du Traitement.
Aussi, la Mairie de Callian s’assure qu’une évaluation préalable est réalisée pour tout nouveau Traitement afin de déterminer le niveau de risque du Traitement et, partant, si une AIPD doit être conduite. Cette évaluation préalable prend en compte :
- Les cas obligatoires définis dans le RGPD et l’Autorité de contrôle ;
- Les critères établis par le Comité européen de la protection des données ;
- Les hypothèses d’exemption prévues par le RGPD et l’Autorité de contrôle.
L’AIPD doit être documentée et doit à minima :
– décrire la nature, la portée, le contexte et les finalités du Traitement ;
– évaluer la nécessité, la proportionnalité et les mesures de conformité ;
– déterminer et évaluer les risques pour les personnes ;
– déterminer toute mesure supplémentaire visant à atténuer ces risques.
Pour plus de renseignements : Fiche pratique de la CNIL sur l’AIPD
La nécessité d’effectuer une Analyse d’impact sur la vie privée est identifiée pour chaque nouveau projet et une AIPD est effectué si nécessaire, avant le début du Traitement.
L’AIPD est un processus continu et devra être revue régulièrement pour assurer que le niveau de risque reste acceptable tout au long de la vie du Traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.
De même, si un Traitement ne nécessite pas une AIPD dans un premier temps mais que les opérations de Traitement évoluent, une AIPD pourra devoir être effectuée dans un second temps.
La nécessité de mettre à jour une AIPD existante ou d’effectuer une AIPD est prise en compte pour chaque changement majeur dans une opération de Traitement.
Après approbation de la Direction Générale des Services, le DPO consulte la CNIL si l’AIPD indique que le Traitement entraînerait un risque élevé pour les droits et libertés des personnes concernées, c’est-à-dire si le risque résiduel est encore élevé une fois que le plan de remédiation des risques a été défini et implémenté.
Lorsque l’AIPD montre qu’un risque résiduel élevé persiste, la CNIL est consultée.
4.3. Le registre des Traitements
En qualité de Responsable de Traitement, la Mairie de Callian tient à jour un registre des Traitements conforme aux exigences de la Législation applicable.
A cette fin, la Mairie de Callian détermine les acteurs clés de la tenue et mise à jour du registre, leurs rôles et responsabilités.
Un registre des Traitements mis en œuvre est tenu à jour.
5 – Formation et sensibilisation du personnel
La Mairie de Callian s’assure que l’intégralité de ses agents est sensibilisée à la problématique de la protection des Données personnelles et comprend l’intention et la portée de la Législation applicable ainsi que les risques en cas de non-conformité.
Dans la mesure du possible, la Mairie de Callian assure également une formation spécifique des agents qui ont vocation à traiter des Données personnelles au quotidien.
Les agents sont régulièrement informés et/ou formés concernant les évolutions législatives ou jurisprudentielles en matière de protection des Données à caractère personnel ainsi que des mises à jour des règles internes applicables.
Tout nouvel agent suit une sensibilisation/formation appropriée eu égard à ses missions et à son niveau de connaissance.
L’ensemble des agents est sensibilisé aux principes et enjeux de la protection des Données personnelles. Une formation plus approfondie est dispensée aux agents traitant des Données personnelles au quotidien.
6 – Relations avec les Personnes concernées
La Mairie de Callian s’engage à garantir l’exercice effectif des droits des Personnes concernées qui leur sont accordés par la Législation applicable. La Législation applicable accorde aux Personnes concernées les droits suivants :
- Droit à l’information : le droit d’avoir une information claire, précise et complète sur l’utilisation des Données personnelles par la Mairie de Callian.
- Droit d’accès : le droit d’obtenir une copie des Données personnelles que le Responsable de Traitement détient sur le demandeur.
- Droit de rectification : le droit de faire rectifier les Données personnelles si elles sont inexactes ou obsolètes et/ou de les compléter si elles sont incomplètes.
- Droit à l’effacement / droit à l’oubli : le droit, dans certaines conditions, de faire effacer ou supprimer les Données, à moins que la Mairie de Callian ait un intérêt légitime à les conserver.
- Droit d’opposition : le droit de s’opposer au Traitement des Données Personnelles par la Mairie de Callian pour des raisons tenant à la situation particulière du demandeur (sous conditions).
- Droit de retirer son Consentement : le droit à tout moment de retirer le Consentement lorsque le Traitement est fondé sur le Consentement.
- Droit à la limitation du traitement : le droit, dans certaines conditions, de demander que le Traitement des Données personnelles soit momentanément suspendu.
- Droit à la portabilité des Données : le droit de demander que les Données personnelles soient transmises dans un format réexploitable permettant de les utiliser dans une autre base de Données.
- Droit de ne pas faire l’objet d’une décision automatisée : le droit pour le demandeur de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
- Droit de définir des directives post-mortem : le droit pour le demandeur de définir des directives relatives au sort des Données Personnelles après sa mort.
A cette fin, la Mairie de Callian définit et met en œuvre une procédure de gestion des droits des personnes conformes aux exigences de la Législation applicable.
Les demandes soumises par les Personnes concernées en application de leurs droits sont consignées dans un registre à des fins de preuve de la conformité. La procédure de gestion des droits des personnes susmentionnée définit le contenu et les modalités de tenue de ce registre.
Une procédure relative à la gestion des droits des Personnes concernées est établie et appliquée, les demandes éligibles étant enregistrées dans un registre dédié.
7 – Gestion des Violations de Données personnelles
Conformément à son obligation de sécurité, la Mairie de Callian définit, documente et met en œuvre un processus pour détecter, qualifier et répondre aux Violations de Données personnelles.
Des moyens techniques et organisationnels adéquats sont mis en œuvre pour détecter, enquêter et signaler les Violations de Données personnelles. De plus, afin de mieux détecter et gérer les Violations, les agents de la Mairie de Callian sont sensibilisés et formés à la procédure à suivre en cas de Violation avérée ou suspectée.
Une procédure de gestion des Violations de Donnes personnelles est définie et mise en œuvre.
De plus, la Mairie de Callian établit un registre des Violations de Données personnelles à des fins d’accountability, pour notifier l’ensemble des Violations, qu’une notification soit requise ou non.
Un registre des Violations est tenu à jour.
8 – Gestion des tiers intervenants
Conformément à la Législation applicable, la Mairie de Callian s’engage à choisir des prestataires qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
A ce titre, la Mairie de Callian vérifie en amont les garanties présentées par tout prestataire tiers envisagé, au moyen notamment de questionnaires et/ou analyse de documentation. Cette vérification doit permettre d’évaluer les conditions de mise en œuvre du Traitement chez le prestataire : modalités de réalisation des opérations de Traitement confiées, sécurité et confidentialité des Données personnelles, maturité du prestataire tiers sur la question de la protection des Données personnelles.
Un contrôle des garanties offertes par chaque tiers intervenant est réalisé préalablement à la mise en œuvre des activités de Traitement.
La Mairie de Callian s’assure que le tiers intervenant est correctement qualifié (Responsable de Traitement distinct, co-responsable ou Sous-traitant) et s’assure qu’un contrat écrit définit clairement les rôles et responsabilités de chacune des parties. Ce contrat intègre au minimum les clauses requises par la Législation applicable (notamment le RGPD).
Lorsque le tiers intervient en qualité de Sous-traitant, le contrat signé détaille le ou les Traitements confiés au Sous-traitant en déterminant :
- l’objet et la durée du Traitement ;
- la nature et la finalité du Traitement ;
- la ou les catégories de Données à caractère personnel ;
- la ou les catégories de Personnes concernées ;
- les instructions relatives aux opérations de Traitement.
Un contrat écrit est signé avec chaque tiers impliqué dans le Traitement des Données. Cet accord comprend des clauses contractuelles adéquates, conformes à la Législation applicable.
Les Sous-traitants sont audités régulièrement pour vérifier leur conformité continue aux obligations contractuelles et réglementaires, selon une récurrence et des modalités définies en fonction de la nature et sensibilité des opérations de Traitement confiées, des coûts nécessaires et des ressources disponibles.
Les Sous-traitants sont audités régulièrement pour vérifier leur conformité continue aux obligations contractuelles et réglementaires.
9 – Relations avec l’Autorité de contrôle
La Mairie de Callian coopère pleinement avec toute Autorité de contrôle lorsque cela est requis et fournit toutes les preuves de sa conformité avec la Législation applicable.
Le Délégué à la protection des données de la Mairie de Callian agit en qualité de point de contact de l’Autorité de contrôle et pilote à ce titre :
- La consultation de l’Autorité de contrôle concernée dans le cas où un Traitement de Données personnelles implique un risque résiduel élevé pour la vie privée ;
- Le signalement d’une Violation de Données à l’Autorité de contrôle lorsque cela est requis ;
- Le Traitement de toutes demandes (telles que les demandes d’accès aux registres de Traitements, les demandes d’information, etc.)
La Mairie de Callian définit une procédure en cas d’audit par une Autorité de contrôle, laquelle définit les rôles et responsabilités des acteurs clés dans le cadre de ces contrôles.
La Mairie de Callian coopère avec l’Autorité de contrôle compétente et définit une procédure en cas de contrôle.
10 – Contrôle de la conformité
La Mairie de Callian garantit le respect de la présente Politique générale de protection des Données personnelles ainsi que des procédures de mise en œuvre et des politiques supplémentaires relatives à la protection des Données personnelles.
A cette fin, un contrôle annuel de conformité est réalisé sur le respect des règles édictées et la concordance des activités de Traitement mises en œuvre avec le registre des Traitements. Ce dispositif de contrôle est porté par le DPO et la Direction Générale des Services.
Lorsque des manquements sont identifiés, un plan de remédiation est défini par le DPO et toutes les parties prenantes concernées afin de remédier aux déficiences détectées, en tenant compte des risques encourus, des coûts de mise en œuvre, des contraintes opérationnelles existantes et prévisibles et des ressources humaines disponibles. Les mesures correctives du plan de remédiation sont mises en œuvre sans retard injustifié par les parties prenantes concernées, sous la supervision du DPO.
Un dispositif de contrôle de la conformité est mis en place.
Un plan de remédiation est défini et mis en œuvre pour corriger toute non-conformité détectée.
11 – Engagements de la Mairie de Callian en qualité de Sous-traitant
11.1. Le registre des Traitements Sous-traitant
Conformément à la Législation applicable, la Mairie de Callian s’engage à tenir à jour un registre des activités de Traitement mis en œuvre pour le compte de tiers Responsables de traitement. Ce registre doit comporter les informations suivantes :
- Le nom et les coordonnées du Sous-traitant, ainsi que du Responsable de Traitement pour le compte duquel il traite des Données personnelles, ainsi que les coordonnées du DPO ;
- La (les) catégorie(s) de Traitement effectué pour le compte de chaque Responsable de Traitement ;
- Le cas échéant, les transferts de Données personnelles vers un pays tiers ou de cette organisation internationale ainsi que les documents attestant de l’existence de garanties appropriées ;
- Une description générale des mesures de sécurités techniques et organisationnelles mises en œuvre.
Ce registre de Traitement doit être actualisé en tant que de besoin pour être exact et exhaustif.
Un registre des activités de Traitement mis en œuvre en qualité de Sous-traitant est tenu à jour.
11.2. Obligations additionnelles de la Mairie de Callian en qualité de Sous-traitant
Dans le cadre de ses activités, la Mairie de Callian intervient en qualité de Sous-traitant de tiers Responsables de traitement. A ce titre, des obligations spécifiques s’imposent à la Mairie de Callian en application desquelles la Mairie de Callian s’assure de :
- Tenir à jour un registre des activités de Traitement mis en œuvre au nom et pour le compte des Responsables de Traitement (cf. Section précédente) ;
- Agir dans le cadre des instructions licites du Responsable de traitement ;
- Etablir un contrat avec le Responsable de Traitement conforme aux dispositions de la Législation applicable ;
- Veiller à l’application des principes de protection des Données personnelles dès la conception et par défaut ;
- Soumettre les agents en charge des activités de Traitement à une obligation de confidentialité ;
- Respecter les obligations contractuelles concernant le recrutement d’un sous-traitant ultérieur ;
- Intégrer à la procédure de gestion des violations de données les mesures nécessaires pour notifier toute Violation de Données au(x) Responsable(s) de traitement concerné(s) ;
- Prendre les mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité adapté aux risques ;
- Sur les instructions du Responsable de Traitement, supprimer ou restituer l’ensemble des Données personnelles du Responsable de Traitement, sauf obligation légale de les conserver (les données non personnelles attestant de la bonne exécution des prestations peuvent être conservées pendant la durée de la prescription des actions commerciales) ;
- Assister, alerter et conseiller le Responsable de Traitement en :
- L’informant lorsqu’une instruction est susceptible de constituer une violation de la Législation applicable ;
- Aider le Responsable de Traitement à répondre aux demandes des Personnes concernées (une compensation financière pouvant être demandée au Responsable de traitement) ;
- Fournir les informations à sa disposition pour permettre au Responsable de Traitement de conduire une Analyse d’impact sur la vie privée et de respecter ses obligations en matière de gestion des Violations de Données (une compensation financière pouvant être demandée au Responsable de traitement) ;
- Mettre à la disposition du Responsable de Traitement les preuves de sa conformité et permettre la réalisation d’audit (dans les termes et conditions prévues au Contrat).
Les obligations additionnelles en qualité de Sous-traitant sont mises en œuvre.
Annexe 1 Définitions
Analyse d’impact relative à la protection des données (AIPD) : analyse à effectuer par la Mairie de Callian pour les Traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Autorité de contrôle : autorité publique indépendante instituée par un Etat membre en vertu de l’article 51 du RGPD, chargée de surveiller l’application du RGPD, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du Traitement et de faciliter le libre flux des Données à caractère personnel de l’Union européenne.
Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou par un acte positif clair, que des Données à caractère personnel la concernant fassent l’objet d’un Traitement.
Délégué à la protection des données (ou « DPO ») : la personne désignée par la Mairie de Callian en charge de la protection des Données personnelles au sein de la Mairie de Callian et de la conformité de la Mairie de Callian à la Législation applicable.
Destinataire : personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données à caractère personnel, qu’il s’agisse ou non d’un Tiers.
Données à caractère personnel/Données personnelles : toute information se rapportant à une Personne concernée notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, un numéro de carte d’identité, un salaire, des dossiers de santé, des informations de compte bancaire, des habitudes de conduite ou de consommation, des Données de localisation, un identifiant en ligne, etc. Le terme « Données personnelles » inclut les Données à caractère personnel sensibles.
Données à caractère personnel sensibles/Données personnelles sensibles : désigne les Données à caractère personnel révélant ou reposant sur :
- L’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques
- L’appartenance à une organisation syndicale
- La santé physique ou mentale
- L’orientation sexuelle ou la vie sexuelle
- Les Données génétiques et biométriques
- Des Données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes.
Législation applicable : ensemble de réglementation relative à la protection des Données personnelles et applicable aux Traitements de Données personnelles effectués par la Mairie de Callian, à savoir le Règlement européen n°2016/679 relatif à la protection des Données à caractère personnel (RGPD), la Loi informatique et libertés modifiée, et toute autre réglementation qui y serait relative, applicable à la Mairie de Callian.
Personne concernée : individu sur lequel portent les Données à caractère personnel et qui peut être identifié ou identifiable, directement ou indirectement, grâce à ces Données personnelles. Cela inclut les administrés et les agents anciens et actuels.
Responsable de Traitement : personne physique ou morale qui, individuellement ou conjointement, décide quelles Données à caractère personnel sont collectées, pourquoi et comment elles sont collectées et traitées.
RGPD : abréviation du Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Sous-traitant : toute personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel au nom du Responsable de Traitement et selon ses instructions (par exemple des prestataires ou fournisseurs).
Tiers : toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que la Personne concernée, le Responsable du Traitement, le Sous-traitant et les personnes qui, sous l’autorité directe du Responsable du Traitement ou du Sous-traitant, sont habilitées ou autorisées à traiter les Données.
Traitement : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données personnelles telle que la collecte, l’accès, l’enregistrement, la copie, le transfert, la conservation, le stockage, le croisement, la modification, la structuration, la mise à disposition, la communication, l’enregistrement, la destruction, que ce soit de manière automatique, semi-automatique ou autre. Cette liste n’étant pas exhaustive.
Transfert de Données : toute communication, toute copie ou déplacement de Données par l’intermédiaire d’un réseau, ou toute communication, toute copie ou déplacement de ces Données d’un support à un autre, quel que soit ce support, de Données personnelles vers un pays tiers à l’Union européenne ou à une organisation internationale qui font ou sont destinées à faire l’objet d’un Traitement après ce transfert.
Violation de Données à caractère personnel : violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données.