Mission d'assistance à maîtrise d'ouvrage pour la mise en conformité RGPD

Objet du marché

Le marché a pour objet une mission d’Assistance à Maîtrise d’Ouvrage ayant pour objectif ultime la mise en conformité avec le règlement 2016/679 du Parlement Européen (dit « RGPD ») de l’office.

Cette mise en conformité garantira la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps.

Présentation générale

L’office, dans ses activités habituelles traite des informations nominatives. En tant que responsable des traitements, l’office doit veiller à ce que les données personnelles soient collectées pour un usage déterminé, légitime et pertinent, et conservées pendant une durée limitée, en toute sécurité et confidentialité et en respectant le droit des personnes concernées (information, accès opposition ou suppression).

Parmi les données traitées quotidiennement, figurent celles relatives :

  • aux ressources humaines et liées à sa fonction employeur,
  • aux occupants de logements, commerces, stationnement liées aux activités d’OPH
  • aux demandeurs de logements
  • aux prestataires et tiers titulaires de marchés, ou candidats sur les consultations,
  • à destination de son réseau ou de ses partenaires de travail.

Ces divers traitements doivent faire l’objet d’une analyse afin de dégager les procédures à mettre en œuvre et l’organisation qui découle de la mise en conformité et son suivi.

Profil des intervenants

Une attention particulière sera portée à la capacité du répondant à :

  • Appréhender les particularités réglementaires de l’ensemble des activités des associations du réseau, ainsi que des différentes parties prenantes impactées par la réforme
  • Traiter de manière exhaustive les différentes dimensions à envisager permettant la mise et le maintien en conformité, à savoir les aspects juridiques, informatiques, organisationnels
  • S’assurer de la légalité, éventuellement par le concours de juristes ou d’avocats spécialisés, du contenu du guide, de la méthodologie, des procédures à mettre en oeuvre, notamment dans leurs traductions RH (délégation de pouvoir, rédaction des missions, …), de la rédaction des clauses proposées.

Objectifs visés

L’intervention doit permettre de répondre aux objectifs suivants :

  • Expliciter le contenu et les enjeux du RGPD auprès des principaux acteurs, quelle que soit leur activité
  • Etablir un diagnostic des traitements effectués
  • Proposer une méthodologie et les actions à mettre en œuvre, tant technique, qu’organisationnelle et juridique afin de permettre :
    • une mise en conformité
    • la mise en oeuvre d’une organisation adaptée assurant le maintien de cette conformité dans un contexte de changement

En variante : le prestataire chiffrera une Action de formation de l’ensemble des personnels Administratifs (environ 40 personnes) afin de le sensibiliser sur les bonnes pratiques et les erreurs à éviter afin de pérenniser la conformité. Ces actions, si elles sont retenues, seront à organiser au cours du 2ème semestre 2020.

Le titulaire désignera nommément un chef de projet, qui sera chargé du pilotage de l’étude, de l’animation du comité de pilotage et de la rédaction des comptes rendu de réunion. Le comité de pilotage est constitué au maximum d’une dizaine de personnes représentants de la direction et des directeurs ou responsables des services concernés.

Contenu de la mission

Vulgarisation de la RGPD auprès du comité de pilotage et des principaux acteurs

Cette phase d’initialisation se déroulera dans les locaux et aura pour but de sensibiliser les pilotes internes à la démarche de mise en conformité RGPD :

  • aux objectifs de la règlementation,
  • aux risques en cas de non-respect,
  • aux bonnes pratiques à mettre en place,

A cette occasion, le titulaire présentera le planning et la méthodologie d’intervention et certains arbitrages pourront être réalisés.

Livrables :

  • réunion de présentation (max 10 personnes),
  • support recensant les règles et bonnes pratiques RGPD,
  • synthèse présentant la conduite de la mission tenant compte des arbitrages décidés au cours de la présentation.

Diagnostic

Le diagnostic sera réalisé auprès des référents ayant participé à la phase de sensibilisation. Ils s’entoureront si besoin des collaborateurs aptes à répondre sur les questions très techniques. Certains prestataires externe pourront également être audités (titulaire du marché d’édition des avis de loyer, paie, comptable, …).

Les rendez-vous seront planifiés à minima 15 jours à l’avance et une trame de questionnaire sera fournie préalablement aux personnes questionnées.

Livrables :

  • Etat des lieux des niveaux de conformité (technique, juridique et organisationnel) par rapport aux exigences du RGPD,
  • Fiches des traitements identifiant les finalités poursuivies par chaque traitement, les données collectées, leur stockage, les ayants-droits, les durées de conservation. - Identification des écarts sur chaque fiche de traitement. Classification des écarts par risque (majeur, mineur, moyen).
  • Liste des actions à mener (par ordre de priorité) sur la base des écarts relevés. Une évaluation du plan de charge accompagnera chaque action. Ce livrable fera l’objet d’une restitution auprès du comité de pilotage qui pourra amender le document proposé.

Elaboration du Registre des traitements et mise à jour des contrats & documents clés

Cette phase comprend 3 objectifs et autant de livrables que de documents concernés :

  • La fourniture du registre des traitements conformément aux préconisations de la CNIL et sur la base des fiches de traitement établies dans la phase précédente.
  • L’établissement d’un guide PIA (Privacy Impact Assessment) : catalogue de bonnes pratiques destinées à traiter les risques que les traitements de données personnelles peuvent faire peser sur les libertés et la vie privée des personnes concernées
  • La mise en conformité des supports tels que les documents de référence, les contrats, le site internet
    • Pour les documents de référence, il s’agit de mettre en conformité avec le RGPD les documents organisationnels tels que la charte informatique sur les aspects « droits et devoirs des utilisateurs et des administrateurs » et « politique de sécurité du SI ».
    • Pour les contrats, il s’agit de mettre en conformité les marchés passés avec différents prestataires impactés par la gestion de données personnelles (intervenants en maintenance/entretien des installations des logements occupés, éditeurs de logiciels utilisés, prestataires paie, comptables, informatiques, hébergeurs…) ainsi que les documents contractuels tels que les baux, conventions …) que ces contrats aient déjà été signés ou soient à venir. La mission consiste à identifier les marchés/contrats, à présenter des clauses types à insérer, les courriers ou actions à lancer auprès des structures concernées.
    • Enfin, après étude du site internet, le titulaire du marché fournira les modifications à réaliser pour le mettre en conformité, telles que :
      • Mentions légales,
      • Politique de confidentialité
      • Les conditions générales d’utilisation des sites
      • Méthodologie de recueil du consentement des internautes utilisant le site

Catégories:

RGPD