Accompagner et assister dans l’élaboration et la mise en pratique d’une stratégie de conformité permanente de la gestion des données personnelles - RGDP
Missions et prestations attendues
Réaliser le recensement précis et l’inventaire des traitements de données ainsi que des actions de conformité existantes (différents traitements de données personnelles, catégories de données personnelles traitées, objectifs poursuivis par les opérations de traitement des données, identification des acteurs internes et externes qui traitent ces données (contrôle des habilitations internes- prestataires- sous traitants).
Réaliser la cartographie de l’intégralité des données collectés et traitées, les risques associés et l’étude d’impact sur la vie privée de chacune des données.
Identification des traitements à risque et mises en place des solutions d’évitement du risque.
Accompagner le DPO interne (acquisition des connaissances juridiques et opérationnelles en protection des données adaptées au secteur du logement social/ OPH, création et la tenue des registres de traitement, maîtrise d’outils d’alerte et de mise en conformité, maîtrise des modes de communication efficaces en lien avec le responsable de traitement et la CNIL, définition d’indicateurs de suivi et de conformité…).
Concevoir les actions de sensibilisation à destination de chaque collaborateur concerné par la collecte ou le traitement de données personnelles.
Réalisation de supports de base de connaissance relative à la pratique de la protection des données personnelles dans les activités quotidiennes à destination pédagogiques de l’ensemble des collaborateurs.
Mettre à jour le registre des traitements.
Identification, priorisation et réalisations des actions à mener pour consolider la conformité au RGPD (identification de la base juridique fondement du traitement pour chaque type de données recensées, révision des mentions d’information et clauses conformes aux exigences du règlement, vérification et des clauses contractuelles relatives aux obligations en la matière des prestataires et sous traitants, vérification et mise en place effective des modalités d’exercice des droits des personnes concernées (droit d’accès, rectification, portabilité, retrait du consentement, droit à l’oubli….).
Vérification et consolidation des procédures d’archivage et de suppression des données (durée de conservation, épuration des données inutilement conservées….). Vérification et contrôle des mesures de sécurisation préexistantes et mise en œuvre des mesures de sécurité nécessaires.
Doter d’outils de pilotage de la conformité en continu.
Conception du processus de contrôle interne (dispositif de contrôle et de maitrise associé).
Pour chacune des missions et prestations énoncées des livrables intermédiaires et finaux sont attendues. L’ensemble des livrables devront être conçus comme outils de support à destination du Délégué à la protection des données interne et à l’ensemble des collaborateurs concernés.
Il appartiendra au prestataire de préciser les choix méthodologiques qu’il préconise, de préciser les profils de consultant engagés pour ce type d’intervention, le planning des différentes étapes du projet et les types de livrables fournis. En outre, il appartiendra au prestataire de préciser les structures du projet qu’il conviendra de mettre en œuvre dans le cadre de la démarche.
Cependant, les points suivants ont déjà été validés :
- Le délégué à la protection des données interne et le Directeur de la maitrise de la performance (ou leur représentant) assumeront la fonction de chef de projet interne et seront les deux interlocuteurs privilégiés du prestataire.
- Un comité de pilotage sera institué qui aura pour fonction de valider les productions intermédiaires et finales et les préconisations du prestataire.
- Des comités techniques et/ou groupes de travail auront pour fonction de préparer et de suivre les différents travaux relatifs au projet. Ils associeront les collaborateurs concernés.
Périmètre des missions
L’ensemble des missions et prestations attendues du titulaire devront être appliquées à l’ensemble des activités et missions.
Le titulaire sera chargé d’assurer l’ensemble des prestations attendues et missions par thématique afin d’assurer un traitement transversal de la consolidation de la mise en conformité au RGPD.
La liste (non exhaustive) des activités et missions principales sur la base desquelles les prestations devront être réalisées est la suivante :
- Gouvernance
- Systèmes d’informations
- Gestion locative
- Ressources humaines
- Résidences spécifiques gestion directe ou confiée à des associations (résidences autonomes, séniors, sociales, universitaires, foyers….)
- Action sociale
- Affaires juridiques et contentieuses
- Commande publique
- Sécurité (sûreté, vidéo protection, vidéo surveillance…)
- Déontologie
- Assurances
- Archives
- Communication