CONVENTION DE MISE A DISPOSITION DE PERSONNEL POUR LA MISE EN CONFORMITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL A LA LOI INFORMATIQUE ET LIBERTES ET A LA REGLEMENTATION EUROPEENNE

CONVENTION DE MISE A DISPOSITION DE PERSONNEL POUR LA MISE EN CONFORMITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL A LA LOI INFORMATIQUE ET LIBERTES ET A LA REGLEMENTATION EUROPEENNE

Les termes de la présente convention sont régis par :

- la loi n° 83-634 du 13 juillet 1983 modifiée portant droits et obligations des fonctionnaires ;

- la loi n° 84-53 du 26 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique territoriale ;

- le décret n° 85-643 du 26 juin 1985 relatif aux centres de gestion institués par la loi n° 84-53 du 26 janvier 1984 modifiée ;

- la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés;

- le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loin° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

- La délibération du conseil d'administration du centre de gestion de Meurthe-et- Moselle n°17/65 du 29 novembre 2017: Organisation de la mutualisation de la mission relative au Délégué à la Protection des Données.

- la délibération du conseil d'administration du centre de gestion de Meurthe-et- Moselle n° 18/17 du 29 janvier 2018 – Mise en place effective de la mission DPD ;

- la délibération du conseil d'administration du centre de gestion de Meurthe-et- Moselle n° 18/30 du 22 mars 2018 – Poursuite de la mise en place de la mission RGPD – DPD ;

- La délibération CNIL n° 2016-191 du 30 juin 2016 portant labellisation d'une procédure de gouvernance Informatique et Libertés présentée par le Centre de Gestion de Meurthe-et-Moselle (CDG 54).

- Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entrant en application le 25 mai 2018 (dit Règlement Général sur la Protection des données, soit « RGPD ») ;

- La délibération de [organe délibérant de la collectivité] n° ../.. en date du ../../…., décidant de recourir au centre de gestion de Meurthe-et-Moselle pour la mise en place d’un accompagnement de la collectivité dans la mise en conformité des traitements à la loi Informatique et libertés n° 78-17 du 6 janvier 1978 ;

CECI ETANT EXPOSE, ENTRE:

Le centre de gestion de la fonction publique territoriale de Meurthe-et-Moselle, représenté par son Président en exercice, monsieur Xxxxxxxx XXXXX, agissant en cette qualité et en vertu de la délibération n° 14/34 du 4 juillet 2014 et des délibérations citées dans le préambule, ci-après désigné « Le CDG 54 » d'une part,

ET

La collectivité, représentée par ….., [qualité], situé [adresse], ci-après désigné « La collectivité » d’autre part,

IL EST CONVENU CE QUI SUIT :

Préambule:

Le règlement européen 2016/679 dit « RGPD » entre en vigueur le 25 mai 2018. Il apporte de nombreuses modifications en matière de sécurité des données à caractère personnel et rend obligatoire leur application. En effet, le non-respect de ces nouvelles obligations entraine des sanctions lourdes (amendes administratives pouvant aller jusqu'à 20 000 000€), conformément aux articles 83 et 84 du RGPD.

Au regard du volume important de ces nouvelles obligations légales imposées et de l'inadéquation potentielle entre les moyens dont la collectivité dispose et lesdites obligations de mise en conformité, la mutualisation de cette mission avec le CDG 54 présente un intérêt certain.

Le CDG 54 propose, en conséquence, des ressources mutualisées ainsi que la mise à disposition de son Délégué à la Protection des Données. Il peut donc accéder à la demande d'accompagnement de la collectivité.

ARTICLE 1 : OBJET ET COMPOSITION DE LA MISSION

La présente convention a pour objet la mise à disposition de moyens humains et matériels au profit la collectivité cosignataire ; avec pour finalité la maîtrise des risques liés au traitement des données personnelles, risques autant juridiques et financiers pour la collectivité et les sous traitants, que risque de préjudice moral pour les individus.

La collectivité confie au CDG 54 une mission d'accompagnement dans la mise en conformité des traitements à la loi Informatique et libertés n° 78-17 du 6 janvier 1978 et au RGPD.

Cette mission comprend les cinq étapes suivantes, dans lesquelles le DPD mis à disposition de la collectivité réalise les opérations suivantes :

1. Documentation et information

o fournit à la collectivité un accès à une base documentaire comprenant toutes les informations utiles à la compréhension des obligations mises en place par le RGPD et leurs enjeux ;

o organise des réunions d'informations auxquelles seront invités les représentants de la collectivité ;

2. Questionnaire audit et diagnostic

o fournit à la collectivité un questionnaire qu'elle aura à remplir visant à identifier ses traitements de données à caractère personnel actuellement en place ou à venir, ainsi que diverses informations précises et indispensables au bon fonctionnement de la mission ;

o met à disposition de la collectivité le registre des traitements selon les modèles officiels requis par le RGPD et créé à partir des informations du questionnaire ;

o dispense des conseils et des préconisations relatifs à la mise en conformité des traitements listés;

3. Etude d'impact et mise en conformité des procédures

o accompagne la réalisation de l’étude d’impact sur les données à caractère personnel provenant des traitements utilisés par la collectivité

o produit une analyse des risques incluant leur cotation selon plusieurs critères ainsi que des propositions de solutions pour limiter ces risques;

o fournit des modèles de procédures en adéquation avec les normes RGPD (contrat type avec les sous-traitants, procédure en cas de violation de données personnelles...) ;

4. Plan d’action

o établit un plan d'action synthétisant et priorisant les actions proposées ;

5. Bilan annuel

o produit chaque année un bilan relatif à l'évolution de la mise en conformité ;

ARTICLE 2 : DEFINITIONS

Les présentes définitions s'entendent au sens des articles 4, pris en son 7°, ainsi que 37 à 39 de la règlementation européenne (Règlement européen 2016/679, susvisé).

Deux acteurs de la protection des données sont à définir clairement :

• Le Responsable de traitement

Le responsable d'un traitement de données à caractère personnel est le maire de la commune/le président de l'établissement public, sauf désignation expresse contraire par des dispositions législatives ou réglementaires relatives à ce traitement.

Pour la commune/l’établissement public, le responsable de traitement est : NOM Prénom

maire/président.

• Le Délégué à la Protection des Données (dit ci-après le « DPD ») Sa désignation est obligatoire pour toute collectivité ou organisme public.

Pour le CDG 54, le Délégué à la Protection des Données est désigné par son président.

Par la présente, la collectivité désigne le DPD mis à disposition par le CDG 54 comme étant son DPD. Le DPD prépare les documents permettant au président de procéder à sa désignation effective auprès de la CNIL.

En cas de modifications dans la désignation des acteurs, les cocontractants s'engagent à s'informer mutuellement de tout changement sous un délai de deux mois maximum.

ARTICLE 3 : OBLIGATIONS DU DELEGUE A LA PROTECTION DES DONNEES

Les données contenues dans les supports et documents du CDG54 et de la collectivité sont strictement couvertes par le secret professionnel (article 226-13 du code pénal).

Il en va de même pour toutes les données dont le DPD (ou les autres experts du CDG l'assistant le cas échéant) prendra connaissance à l'occasion de l'exécution de sa mission.

La collectivité reste propriétaire de ses données et pourra à tout moment récupérer l’intégralité desdites données qui auront été transmises au DPD dans la cadre de sa mission.

Conformément à l'article 34 de la loi informatique et libertés modifiée, le DPD s'engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées.

De fait, il s'engage à respecter les obligations suivantes :

- ne prendre a titre personnel aucune copie des documents et supports d'informations qui lui sont confiés ;

- ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées à la présente convention;

- ne pas divulguer ces documents ou informations à d'autres personnes, qu'il

s'agisse de personnes privées ou publiques, physiques ou morales ;

- prendre toutes mesures permettant d'éviter toute utilisation détournée ou frauduleuse des fichiers informatiques étudiés ;

- prendre toutes mesures de sécurité, notamment matérielle, pour assurer la conservation et l'intégrité des documents et informations traités pendant la durée de la présente convention ;

La collectivité, dans le cadre de la mise à disposition, se réserve le droit de procéder à toutes vérifications qui lui paraîtraient utiles pour constater le respect des obligations précitées

ARTICLE 4: TARIFS ET FACTURATION

Dans le cadre de la mise à disposition, la participation de la collectivité est exprimée par un taux de cotisation additionnel, fixé annuellement par délibération du conseil d'administration du CDG 54 : ce taux est de 0,057% en 2018. Ce taux est appliqué à partir du 1er jour du mois suivant la date d’adhésion au service. L’assiette retenue correspond à la masse des rémunérations versées à leurs agents permanents, telles qu'elles apparaissent aux états liquidatifs mensuels ou trimestriels dressés pour le règlement des charges sociales dues aux organismes de sécurité sociale, au titre de l'assurance maladie.

Une réunion annuelle interviendra pour procéder au bilan financier de la convention. La collectivité verse sa cotisation au CDG 54 selon les modalités habituelles.

Tout changement dans la tarification de la mission devra intervenir dans des conditions similaires à celles ouvrant cas de résiliation, telles que définies à l'article 8 de la présente convention.

Le paiement, identifié « RGPD », s'effectue auprès de :

Madame le Payeur départemental

Paierie départementale de Meurthe-et-Moselle 00, xxx xx Xxxxxxx Xxxxxxx

XX Xx 0

00000 XXXXX XXXXX

ARTICLE 5 : DUREE

La mission pourra débuter, après signature de la présente convention, à la date convenue entre la collectivité et le CDG 54.

La présente convention court jusqu'au 31 décembre 2021, reconductible tous les ans par tacite reconduction.

ARTICLE 6 : PROTOCOLES ANNEXES

La collectivité et le Délégué à la Protection des Données s'engagent mutuellement en signant la Lettre de Mission et la Charte déontologique en annexe à la présente convention.

ARTICLE 7 : RESILIATION DE LA CONVENTION

La présente convention peut être dénoncée à tout moment, par chacune des parties, en cas de non respect d'une des stipulations qu'elle comporte ; ou tous les 1er janvier en

cas de modification du taux de cotisation, sous réserve d'un préavis déposé avant le 1er octobre.

ARTICLE 8 : CONTENTIEUX

En cas de litige sur l'interprétation ou sur l'application de la convention, les parties s'engagent à rechercher toute voie amiable de règlement. A défaut, le Tribunal administratif de NANCY est compétent.

Fait à …….., Fait à Villers-Lès-Nancy,

le le

(cachet et signature)

Prénom NOM Fonction

Responsable de traitement de (nom de la collectivité)

Xxxxxxxx XXXXX

Président du centre de gestion de Meurthe et Moselle

Lettre de mission du Délégué à la protection des données

(à remplir par la collectivité/établissement adhérent)

Je, soussigné, …….. , [en qualité de], de (nom de la collectivité), désigne ….., agent du Centre de Gestion de Meurthe et Moselle, comme étant le Délégué à la Protection des Données (DPD) de la collectivité susmentionnée, au titre du règlement (UE) 2016/678 du 27 avril 2016, à compter du (JJ/MM/AAAA).

Cette désignation a fait l'objet d'un récépissé de la CNIL en date du (JJ/MM/AAAA) avec une date d'effet au (JJ/MM/AAAA).

Au titre de votre qualité de Délégué à la protection des données, vous m'êtes directement rattaché.

Pour vous permettre de mener à bien ces différentes missions, la commune/l’établissement public s’engage à :

- tenir compte des analyses et conseils en matière de protection des données personnelles et, dans le cas où vos recommandations ne seraient pas retenues, à en documenter les raisons ;

- vous alerter par voie électronique lors de toute création de traitement de données à caractère personnel et lors de toute modification dans le traitement des données actuelles ;

- vous alerter en cas de violation constatée de données à caractère personnel

- prendre connaissance dans les plus brefs délais de la documentation CNIURGPD, diffusée par le CDG54.

- vous fournir l'accès aux données et aux opérations de traitement ;

- vous faciliter l'accès aux données et informations manquantes détenues par d'éventuels sous traitants ;

Une copie de cette lettre de mission sera portée à la connaissance de l'ensemble du personnel.

Prénom NOM Fonction

Responsable de traitement Nom de l’organisme

Logo de la collectivité

Charte d'engagement du Délégué à la Protection des Données

Je, soussigné, ……….. , Délégué à la Protection des Données (DPD) au titre du règlement (UE) 2016/678 du 27 avril 2016, agissant comme agent du Centre de Gestion de Meurthe et Moselle mis à disposition de la collectivité de (nom de la collectivité), depuis la convention du (JJ/MM/AAAA) jusqu’au (JJ/MM/AAAA).

Cette désignation a fait l'objet d'un récépissé de la CNIL en date du (JJ/MM/AAAA) avec une date d'effet au (JJ/MM/AAAA).

Mes engagements de Délégué à la Protection des Données sont les suivants :

• Sensibiliser:

o Conduire des réunions d'informations au sujet des obligations du RGPD et d'autres dispositions en matière de protection de données à caractère personnel

o Alimenter une base documentaire destinée à la collectivité et incluant toutes les informations utiles concernant la mise en conformité RGPD

• Fournir des outils d'audit et de diagnostic :

o Produire un questionnaire exhaustif à remplir par la collectivité et permettant l'audit des traitements actuels et la constitution du registre

• Tenir le registre des traitements de la collectivité:

o Créer un registre à partir des informations collectées via le questionnaire d'audit rempli par la collectivité

o Mettre à jour ce registre disponible sur l'extranet mis à disposition de la collectivité

• Informer et conseiller:

o Délivrer des préconisations à la collectivité concernant les éventuels manquements constatés et les possibles améliorations afin de garantir la sécurité des données traitées

o Conseiller la collectivité sur les traitements à venir et les bonnes pratiques d'ordre général en matière de sécurité des données à caractère personnel ;

o Etre l'interlocuteur privilégié de l'Autorité de contrôle et coopérer avec elle

• Réaliser l'étude d'impact :

o Accompagner la réalisation de l’étude d’impact sur les données à caractère personnel provenant des traitements utilisés par la collectivité

o Rendre disponibles les résultats et compte-rendu de l'étude ainsi que des préconisations, sur l'extranet à destination de la collectivité

• Analyser les risques :

o Analyser en suivant le principe de cotation des risques ;

o Proposer des actions afin de limiter les risques identifiés et minimiser l'apparition de nouveaux risques ;

• Fournir des modèles de documents et procédures :

o Fournir des contrat-type avec les sous-traitants, aux normes RGPD

o Créer les procédures en cas de contrôle de la CNIL

• Produire le bilan annuel des activités

• Respecter le secret professionnel (article 226-13 du code pénal), ne divulguer aucune données personnelle ni informations confidentielles ; ne prendre aucune copie des documents et supports d'informations qui me sont confiés ; ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées à la présente convention ; ne pas divulguer ces documents ou

informations à d'autres personnes, qu'il s'agisse de personnes privées ou publiques, physiques ou morales ;

• prendre toutes mesures permettant d'éviter toute utilisation détournée ou frauduleuse des fichiers informatiques étudiés

• Garantir la sécurité des travaux au moyen de mesures de sécurité, notamment matérielles, pour assurer la conservation et l'intégrité des documents et informations traités pendant la durée de la présente convention

• Remettre tous les éléments relatifs à la mission et à informer mon éventuel successeur des travaux en cours

• Me soumettre à toute vérification de la part de la collectivité lui paraissant utile pour constater le respect des obligations précitées.

……………

Délégué à la Protection des Données mutualisé