Mise en conformité RGPD et externalisation d’un DPD
Objet du contrat
Avec l’entrée en vigueur du Règlement général sur la protection des données (R.G.P.D.), le présent marché public a pour objet de désigner un prestataire qui effectuera les actions suivantes :
- Phase 1 : Mise en œuvre de la conformité au R.G.P.D. pour chaque membre de la convention de groupement
- Phase 2 : Suivi de la conformité, missions de Délégué à la Protection des Données (D.P.D) externalisées par collectivité membre de la convention de groupement.
Mise oeuvre de la conformité RGPD
Le prestataire effectuera avec chaque membre du groupement sur site une réunion de cadrage afin de :
- prendre connaissance de chaque organisation et du niveau de maturité du système de conformité à la protection des données de chaque membre du groupement.
- Prendre connaissance de la cartographie et/ou de la liste des registres déjà existante.
- Présenter les exigences réglementaires et la méthodologie de mise en conformité proposée.
Audit RGPD
L’audit pour le plan de conformité devra délimiter au minimum trois périmètres d’intervention :
1er périmètre : le Périmètre délégué à la protection des données :
- Classification des données
- Etude des durées de conservation par traitement
- Elaboration du registre du traitement (article 30 du RGPD),
- Analyse d’impact des traitements sensibles (article 35 du RGPD)
- Etude portant sur les motifs de licéité du traitement (article 37 du RGDP)
2ème périmètre : le Périmètre des Procédures internes :
- Etude de la charte informatique pour :
- Création d’un politique générale des données à destination des salariés
- Etude du cadre des bonnes Pratiques Privacy by design et Privacy by default
- Etude de la gouvernance du dispositif RGPD
- Etude des procédures couvrant les droits des personnes
3ème périmètre : Sécurité des traitements et des installations
- Etude de la politique de sécurité et de protection des données (postes de travail, documents, papiers sensibles, etc.) selon les services
- Etude du site internet
- Respect de la procédure CNIL pour l’ensemble des habilitations et des mots de passe - Audit de sécurité (pare-feu, anti-virus, chiffrage des données, stockage, etc.)
Afin d’en réduire le coût, certaines phases de ce diagnostic pourront être mutualisées notamment sur les compétences communes des collectivités. Le soumissionnaire présentera en détail la méthode qu’il mettra en œuvre et les livrables qu’il fournira.
La prestation devra être adaptée par le titulaire en fonction de la collectivité, en particulier de la taille de son système d’information. Comme présenté dans la description de l’existant, il est rappelé que les communes n’ont pas le même niveau d’informatisation et, par conséquent, pas les mêmes contraintes. À partir de ce constat, le soumissionnaire proposera dans sa réponse un volume de jours-homme pour chaque membre du groupement de commandes.
Ce travail sera ré-exploité lors de la prestation de mise en conformité au RGPD. Il est attendu une restitution sur chaque collectivité de l’étude et la fourniture d’un rapport d’analyse. Le soumissionnaire détaillera dans sa réponse sa méthodologie et fournira un exemple de livrables.
Conformité avec le RGPD
Le RGPD instaure un principe de responsabilité. Cela implique que chaque organisme doit connaître l’ensemble des données qu’il utilise, dans quel but et, surtout, doit en assurer la protection.
À cette fin il est indispensable de recenser et de tenir à jour un registre :
- des différents traitements de données personnelles,
- des catégories de données personnelles traitées,
- des objectifs poursuivis par les opérations de traitement de données,
- des acteurs (internes ou externes) qui traitent ces données,
- des flux en indiquant l’origine et la destination des données.
Le titulaire devra rencontrer les services, les agents et les prestataires qui traitent des données personnelles et créer le registre des traitements qui en découle.
À partir de cet état des lieux le titulaire identifiera les actions à mener pour se conformer aux obligations du RGPD ainsi que les traitements de données à risque sur le plan de la liberté des personnes.
Pour tous les traitements de données à risque une étude d’impact, telle que décrite sur le site de la CNIL, devra être réalisée par le titulaire.
Une vigilance particulière sera apportée à la question de la sécurité des données, notamment en ce qui concerne les données sensibles. À cette étape, le titulaire s’appuiera sur le diagnostic sécurité qui aura été réalisé en amont.
Enfin le titulaire devra guider les membres du groupement dans la mise en œuvre de procédures leur permettant de faire face à des réclamations ou des violations de données.
Dans sa réponse, le soumissionnaire proposera un volume de jours-homme relatif à l’état de l’existant fourni dans ce document ou à défaut sur la taille de la collectivité. Le candidat détaillera dans sa réponse sa méthodologie et fournira un exemple de livrables (registre de traitements…).
Sensibilisation des agents
Les problèmes de cybersécurité ont très souvent pour cause le facteur humain, de manière intentionnelle ou non. De même en ce qui concerne les données à caractère personnel, les erreurs commises viennent dans la majorité des cas d’une méconnaissance des réglementations.
C’est pourquoi les membres du groupement de commandes souhaitent que la sensibilisation de leurs agents soit partie intégrante de la démarche de mise en conformité de leur système d’information (SI).
Cette sensibilisation sera composée d’un volet de formations et d’un volet de création d’une Charte d’utilisation du système d’information.
Pour la partie formation, le soumissionnaire :
- Proposera un plan de formation sur la base d’une demi-journée. La formation théorique sera accompagnée de cas pratiques ou de mises en situation permettant d’expliciter les biens faits d’une « bonne hygiène informatique » au quotidien. Une attention particulière sera apportée à l’utilisation des moyens informatiques en mobilité.
- Indiquera le nombre d’agents pouvant suivre en simultané la session de formation. Les sessions seront organisées sous la forme de conférences où les participants n’auront pas d’ordinateurs à leur disposition, aussi le prestataire titulaire du marché, fournira pour les besoins de la formation le matériel nécessaire.
La rédaction de la Charte d’utilisation du SI devra être adaptée au contexte de chaque collectivité.
Dans sa réponse le soumissionnaire proposera un volume de jours-homme relatif au nombre de personnes à former. Le candidat détaillera dans sa réponse sa méthodologie de formation et de création de la charte, le profil des intervenants.
Suivi de la conformité, mission de délégué à la protection des données
Il est permis à une autorité publique de désigner un seul DPD pour « plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. ».
C’est dans ce cadre que la CCPMF, coordinatrice du groupement de commande visant à la mise en conformité au RGPD, considère qu’il y a eu lieu de procéder à la désignation d’un seul DPD pour l’ensemble des parties au groupement. Ce dernier sera lié individuellement à chacune des parties.
Le titulaire aura pour mission d’être le DPO externe des membres du groupement de commandes. Comme indiqué sur le site de la CNIL, le rôle du délégué à la protection des données est d’être le « chef d’orchestre » de la conformité en matière de protection des données. Il est principalement chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs agents,
- de contrôler le respect du règlement et du droit national en matière de protection des données, - de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution,
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Pour accompagner les membres du groupement dans la mise en place des nouvelles obligations imposées par le RGPD, le délégué doit notamment :
- informer sur le contenu des nouvelles obligations,
- sensibiliser les décideurs sur l’impact de ces nouvelles règles,
- réaliser l’inventaire des traitements de données de la collectivité,
- concevoir des actions de sensibilisation,
- piloter la conformité en continu.
Le DPD rendra compte au comité de pilotage de l’entité de façon périodique. Le soumissionnaire proposera dans sa réponse une périodicité propre pour chaque entité du groupement.
Le soumissionnaire présentera la méthode qu’il mettra en œuvre pour assurer cette mission ainsi que l’ensemble de ses formations en mentionnant les organismes formateurs et l’ensemble de leurs expériences dans ce domaine.
Dans sa réponse, il indiquera le volume en jours-homme pour chaque membre du groupement en intégrant une ou plusieurs sessions de restitution en fonction du besoin.
Les soumissionnaires ayant suivi une formation labellisée CNIL et/ou certifié CNIL pour effectuer la prestation de DPD externalisé et qui auront déjà exercé ces missions auparavant seront privilégiés.