Assurer la conformité d’une commune
- Client : Sanary-sur-Mer
- Durée de la mission : 2022
- Mots clés : Conformité, RGPD, Délégué à la protection des données, DPO
Le contexte
La commune de Sanary-sur-mer, en tant qu’organisme traitant des données, doit documenter les actions mises en place pour le respect de la vie privée des personnes conformément au RGPD.
De ce fait, la commune a sollicité Numéricité afin de l’appuyer dans le travail de mise en conformité. La mission s’inscrit dans un contexte où la nomination d’un délégué à la protection des données est devenue obligatoire, et où la CNIL a multiplié les contrôles afin de s’assurer du respect du RGPD.
Pour notre équipe, l’enjeu était de cerner les différents contextes de traitement des données dans le cadre des compétences de la commune, afin d’analyser et de documenter les pratiques des agents manipulant des données.
La mission a été également l’occasion d’encadrer les différentes interactions et échanges de données entre la commune et les établissements distincts juridiquement mais corrélés à la commune (le théâtre, le CCAS, les écoles). En effet, les échanges de données entre personnes publiques sont encadrés par la loi et doivent se faire dans le respect du RGPD.
Le challenge
« Prioriser et réaliser une analyse sur les traitements de données sensibles
et former les agents publics à la culture de la donnée »
Le résultat
Un registre des activités de traitement
Plus de 40 analyses d’impact sur la vie privée concernant les sujets les plus sensibles
Une amélioration de la sensibilisation des agents, notamment concernant les sujets de durée de conservation et d’échanges de données
Notre approche
En tant que DPO, nous avons :
- Sensibilisé les agents sur les sujets de la conformité, de l’utilisation et de la conservation des données. Pour ce faire, nous avons adopté une approche de co-construction à travers des ateliers pour leur permettre de challenger les différentes méthodes proposées et mieux comprendre les enjeux du RGPD
- Montré que le RGPD était une solution et non une contrainte en montrant l’intérêt de la privacy by design et en rassurant les équipes sur sa facilité de mise en œuvre
- Appuyé les directions métiers dans le choix de leur base légale, dans la détermination d’une durée de conservation des données qui soit conforme et utile aux besoins exprimés, et dans la définition des droits des usagers (en fonction de la base légale choisie)