Mutualisation du délégué à la protection des données

Contexte

Les organismes de logement social traitent quotidiennement de nombreuses données à caractère personnel et des données dites sensibles, concernant leurs fournisseurs, leurs collaborateurs, les demandeurs de logement social ainsi que les locataires.

Les bailleurs sociaux, en tant que responsables des traitements, doivent veiller à ce que les données personnelles soient collectées pour un usage déterminé, légitime et pertinent, pour un intervalle de temps limité, en toute sécurité et confidentialité, et en respectant le droit des personnes (information, accès, opposition, suppression).

Les applications et fichiers informatiques utilisés, lorsqu’ils recensent des informations sur les personnes, doivent respecter les principes posés par la loi N°78-17 dite “Informatique et Libertés” du 6 janvier 1978 qui fixe un cadre à la collecte et au traitement des données. Leur divulgation ou leur mauvaise utilisation est en effet susceptible de porter atteinte aux droits et libertés des personnes ou à leur vie privée.

Le 27 avril 2016, le Règlement Européen relatif à la Protection des Données à caractère personnel et à la libre circulation des données a été adopté par le Parlement Européen.

Si les principes essentiels de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés y sont conservés, le règlement (RGPD) instaure de nouvelles dispositions :

  • Le principe de responsabilité (« accountability ») et la prise en compte de la protection des données dans toute conception (« privacy by design ») ;
  • La transformation du correspondant Informatique et libertés (CIL) en délégué à la protection des données (data protection officer - DPO) ;
  • La mise en place d’études d‘impacts pour les traitements comportant des données sensibles.

Depuis 2014, l’Association Territoriale Hlm a initié auprès de ses adhérents la mise en place d’un Correspondant Informatique et Libertés mutualisé pour les organismes le souhaitant, dans le but de se mettre en conformité avec la loi Informatique et Libertés. Depuis 2018, les organismes présents dans le premier groupement de commande ont entrepris leur mise en conformité avec le RGPD, et le CIL mutualisé a été nommé DPO au travers d’un avenant au contrat initial.

Le marché initié en 2014 arrivant à son terme, l’Association Territoriale Hlm a souhaité renouveler auprès de ses organismes adhérents, la proposition d’une démarche commune visant à la passation d’un marché pour la désignation d’un DPO mutualisé.

Objet de la mission

Dans le cadre de l’arrivée à échéance du marché, il est nécessaire de procéder à une nouvelle consultation, visant à la passation d’un marché pour la désignation d’un DPO mutualisé. Cette consultation est élargie à l’ensemble des organismes de logement social adhérents à l’Association Territoriale Hlm, qui ont souhaité rejoindre le groupement de commande.

Contenu de la mission

Une réunion de lancement de la mission sera réalisée avec l’ensemble des organismes participant au groupement, notamment pour présenter la méthodologie proposée.

Réunion de cadrage

Le prestataire effectuera sur site avec chaque membre du groupement, en lien avec le Relai Informatique & Liberté (RIL), une réunion de cadrage afin de : Prendre connaissance de chaque organisation et du niveau de maturité du système de conformité à la protection des données de chaque membre du groupement.
Prendre connaissance de la cartographie et/ou du registre des traitements déjà existants ainsi que des analyses d’impact réalisées, et prévoir le transfert du registre et des analyses d’impact depuis leur forme initiale vers l’outil proposé par le prestataire. Présenter les exigences réglementaires et la méthodologie de mise en conformité proposée.

Réalisation d’un audit initial de conformité

Cette prestation sera adaptée en termes de durée en fonction des besoins formulés par chaque membre, en tenant compte de leur taille et de leur niveau de maturité par rapport à la mise en conformité avec le RGPD. Elle devra permettre :

  • D’évaluer le niveau de conformité des organismes membres à la réglementation Informatique et libertés, et notamment au RGPD ;
  • D’identifier les écarts par rapport aux exigences légales ;
  • De réaliser un audit des traitements ;
  • De proposer un plan d’actions de mise en conformité à la réglementation applicable ;
  • De rédiger un rapport d’audit, de formuler des recommandations destinées à assurer le maintien en conditions opérationnelles de la complétude Informatique et libertés et de proposer un plan d’action.

Missions liées à la fonction de DPO

Informations et conseils des responsables de traitements, de leurs employés et de leurs sous-traitants. Dans le cadre de cette mission de conseil général (droit informatique et libertés, droit du travail et droit social) et du maintien de la conformité RGPD, le titulaire formulera des recommandations sur les affaires, les dossiers ou les questions soumises par chaque bailleur contractant ou par l’ARELOR à l’occasion de démarches mutualisées menées pour le compte des bailleurs.

En fonction des demandes exprimées par l’un des bailleurs contractants ou l’ARELOR, cela pourra donner lieu à la réalisation des prestations suivantes sans que cette liste ne soit exhaustive :

  • Notes et consultations ;
  • Demandes d’autorisations auprès de la CNIL ;
  • Audit et rapport d’audit annuel (à fournir dans les 30 jours après la réalisation de l’audit) ;
  • Registre des traitements ;
  • Projets de lettres ;
  • Projets d’actes ou d’interventions auprès de la CNIL ;
  • Élaboration et/ou participation à l’élaboration de procédures ou documents internes ;
  • Assistance à réponse dans le cas d’une demande de droit d’accès formulé par un locataire ou demandeur de logement social.

Réalisation d’analyses d’impact (EIVP-PIA) : le titulaire accompagnera le cas échéant, le bailleur contractant dans la décision de recourir à une analyse d’impact et dans la réalisation de celle-ci.

Mission de précontentieux lié à la violation des données à caractère personnel d’un locataire ou demandeur, comprenant notamment :

  • L’analyse de l’ensemble des pièces et documents des dossiers ;
  • L’identification et l’analyse des points de force et des points de faiblesse des dossiers ;
  • La ou les propositions de stratégie ;
  • L’identification de zones de risque pour chaque bailleur contractant à retenir telle ou telle solution ;
  • Les négociations précontentieuses ;
  • La rédaction le cas échéant des actes correspondants (mise en demeure, sommation, courriers divers, transaction, désistement, …).

Assistance lors de contrôle de la CNIL : Le titulaire s’engage à être présent physiquement lors du contrôle et à se rendre disponible (disponibilité 24 heures sur 24, 7 jours sur 7), et apportera une assistance à l’établissement contrôlé, agences comprises.

Le titulaire s’engage également à mettre en place une cellule de crise du début à la fin du contrôle, gestion économique (dossier de préjudice) et politique, et pour la gestion des conséquences immédiates du contrôle (inventaire des saisies, communication en interne et en externe autour du contrôle, notamment).

Le titulaire apportera à chaque bailleur contractant son expérience dans l’assistance et l’accompagnement en cas de contrôle de la CNIL et des suites à donner à ce contrôle.

Accompagnement mutualisé des organismes adhérents à la démarche

L’accompagnement mutualisé prendra la forme : De la mise à disposition d’une méthodologie et d’outils (plate-forme, hotline, lettre d’information, support pédagogique…) permettant l’accompagnement à la mise en conformité des systèmes et traitements de chaque membre, de documents liés aux traitements communs aux organismes de logement social (clauses, mentions, …). De l’animation de réunions d’information des RIL au moins 3 fois par an en partenariat avec l’ARELOR.

Veille juridique et réglementaire

Cette veille juridique et réglementaire consistera en l’information des organismes au travers de support de communication, de l’actualité générale Informatique et Libertés ainsi que plus spécifiquement l’actualité liée au logement social.

Sensibilisation et formation du personnel

Il s’agira pour le titulaire de sensibiliser et former les collaborateurs (directions, salariés, membres du conseil d’administration, …) des organismes contractants aux risques et principes à respecter par rapport au RGPD.

Journées de prestation complémentaire

Le titulaire assure la réalisation de journée ou demi-journée de prestation complémentaire le cas échéant, en fonction des besoins identifiés par les organismes contractants.

En cas de changement d’équipe dédiée à la prestation au cours de la période du marché, le candidat s’engage à organiser le transfert et la communication des informations entre le personnel anciennement et nouvellement dédié à la prestation.

Catégories:

RGPD