Mission d'accompagnement à la mise en conformité RGPD

Contexte

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur et les collectivités territoriales doivent s’y conformer.

Dans le cadre de son application, elles ont notamment l’obligation :

  • de tenir une documentation interne complète sur leurs traitements de données personnelles, s’assurer que ces traitements respectent bien les nouvelles obligations légales et prévoir les actions à mener pour se conformer aux obligations actuelles et à venir, le cas échéant ;
  • d’identifier les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées et mener une étude d’impact sur la protection des données pour chacun de ces traitements ;
  • de mettre en place des mesures organisationnelles et techniques permettant de répondre aux principaux risques et menaces qui pèsent sur la vie privée des personnes concernées par ces traitements, le cas échéant.

La prestation attendue est une mission d’accompagnement à la mise en conformité de la Communauté d’Agglomération et de ses communes membres au Règlement Général Européen de Protection des Données.

Objectifs et contenus de la mission

L’objet du présent contrat consiste en une mission d’accompagnement à la mise en conformité de la communauté d’agglomération et ses communes membres au Règlement Général Européen de Protection des Données.

Cette mission d’accompagnement consiste en :

  • Phase 1 : Réalisation d’un Diagnostic / Audit de la CA et ses communes membres (recensement des traitements des données personnelles détenues et analyse de la sécurité informatique),
  • Phase 2 : l’élaboration d’un plan d’actions priorisé identifiant les mesures techniques et organisationnelles à prendre pour une mise en conformité au RGPD.

Audit / Diagnostic

L’audit à réaliser comprend deux volets :

le recensement précis et exhaustif des traitements des données personnelles détenues par les structures auditées :

Ce recensement doit notamment permettre d’identifier, pour chaque traitement, le responsable du traitement, la catégorie des données personnelles concernée, les finalités du traitement, les délais de conservation des données, et toute autre information nécessaire à la cartographie exhaustive des traitements prévue par la CNIL.

Ce recensement se formalisera par la constitution et la livraison, pour chaque structure concernée, d’un registre de traitement des données avec fichier de registre individuelle par traitement, conforme aux exigences de la CNIL.

Ce recensement intégrera également une phase d’information et sensibilisation aux risques des services et responsables de traitement.

un audit de la sécurité informatique :

il s’agit d’évaluer le périmètre de sécurité informatique existant de chaque commune : accès à internet, accès wi-fi, sauvegardes, gestion des utilisateurs et habilitations, politique de mot de passe,… Cet audit intégrera l’analyse des risques de menace sur le système informatique de chacun et l’analyse d’impact des risques.

Livrables attendus et individualisés par structure :

  • Registre de traitement des données,
  • Rapport sur la sécurité informatique

Plan d’actions

Au regard du recensement des traitements de données personnelles et de l’audit de la sécurité informatique, le prestataire évaluera le degré de conformité au RGPD des structures auditées et identifiera les actions à mener par chacune pour se conformer aux obligations du RGPD.

Cette phase se formalisera par un plan d’actions qui devra être établi par ordre de priorité au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées. Ce plan d’actions listera les préconisations en terme de mesures techniques et organisationnelles à prendre afin de garantir un niveau de sécurité adapté au risque.

Livrables attendus et individualisés par structure : Plan d’actions priorisé.

Prestations attendues du titulaire

Rôle attendu du titulaire

Les prestations attendues sont celles relevant du rôle de délégué à la protection des données, c’est à dire :

  • informer et conseiller l’ensemble des personnels des collectivités sur les obligations qui leur incombent en vertu du RGPD et d’autres dispositions en matière de protection de données à caractère personnel.
  • alerter des manquements constatés, et conseiller les mesures à prendre pour y remédier, formaliser les arbitrages nécessaires.
  • veiller à la mise en oeuvre de mesures appropriées pour chaque collectivité.
  • veiller à la bonne application du principe de protection des données dès la conception et par défaut dans tous les projets comportant un traitement de données personnelles.
  • auditer et contrôler le respect du RGPD pour chaque collectivité.
  • piloter la production et la mise en oeuvre de politiques, de lignes directrices, de procédures et de règles de contrôle pour une protection efficace des données personnelles

Le titulaire doit effectuer les visites sur site nécessaire à l’établissement de sa mission.

L’engagement de résultat

L’engagement de résultat que prendra le titulaire vise à fournir pour la Communauté d’Agglomération une démarche RGPD :

  • Dans le cadre d’une démarche personnalisée,
  • Dans le respect des coûts et des délais de son offre,
  • Dans le cadre réglementaire et légal en vigueur,

Les prestations d’accompagnement dub projet

Les prestations d’accompagnement aux différents stades du projet sont réalisées dans l’objectif principal d’apporter un soutien aux utilisateurs aux moments clés :

  • Déclinaison et interprétation des besoins,
  • Participation aux groupes de travail,
  • Accompagnement aux changements,

La formation

Le prestataire devra assurer la formation de l’ensemble de l’équipe projet et de personnes désignées par la Communauté d’Agglomération.

Le titulaire s’engage à assurer le transfert effectif des compétences fonctionnelles et techniques nécessaires aux personnes habilitées et aux agents désignés par la Communauté d’Agglomération, afin qu’ils utilisent la solution et puissent, le cas échéant, démultiplier les enseignements reçus.

Les formations se déroulent dans les locaux mis à disposition par la Collectivité.

Catégories:

RGPD