CONVENTION DE MISE A DISPOSITION DE PERSONNEL POUR LA MISE EN CONFORMITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL A LA LOI INFORMATIQUE ET LIBERTES ET A LA REGLEMENTATION EUROPEENNE
CONVENTION DE MISE A DISPOSITION DE PERSONNEL POUR LA MISE EN CONFORMITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL A LA LOI INFORMATIQUE ET LIBERTES ET A LA REGLEMENTATION EUROPEENNE
Les termes de la présente convention sont régis par :
la loi n° 83-634 du 13 juillet 1983 modifiée portant droits et obligations des fonctionnaires ;
la loi n° 84-53 du 26 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique territoriale ;
le décret n° 85-643 du 26 juin 1985 relatif aux centres de gestion institués par la loi n° 84-53 du 26 janvier 1984 modifiée ;
la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés;
le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loin° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
La délibération du conseil d'administration du centre de gestion de Meurthe-et Moselle n°17/65 du 29 novembre 2017: Organisation de la mutualisation de la mission relative au Délégué à la Protection des Données.
la délibération du conseil d'administration du centre de gestion de Meurthe-et-Moselle n° 18/17 du 29 janvier 2018 – Mise en place effective de la mission DPD ;
la délibération du conseil d'administration du centre de gestion de Meurthe-et-Moselle n°18/30 du 22 mars 2018 – Poursuite de la mise en place de la mission RGPD – DPD ;
La délibération CNIL n° 2016-191 du 30 juin 2016 portant labellisation d'une procédure de gouvernance Informatique et Libertés présentée par le Centre de Gestion de Meurthe-et-Moselle (CDG 54).
Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entrant en application le 25 mai 2018 (dit Règlement Général sur la Protection des données, soit « RGPD ») ;
L’avis provisoire du Comite Technique du centre de gestion de la fonction publique territoriale des Vosges en date du 12 juin 2018,
La délibération du Conseil d’Administration du Centre de gestion de la fonction publique territoriale des Vosges, en date du 12 juin 2018, décidant de recourir au centre de gestion de Meurthe-et-Moselle pour la mise en place d'un accompagnement mutualisé tant du CDG 88 lui-même que des collectivités affiliées du département des Vosges dans la mise en conformité des traitements à la loi Informatique et libertés n° 78-17 du 6 janvier 1978 ;
La convention de mise à disposition de personnel pour la mise en conformité des traitements de données à caractère personnel à la loi informatique et liberté et la règlementation européenne signée le 13 juin 2018 entre le CDG 54 et le CDG 88, notamment prise en son article 7 ;
CECI ETANT EXPOSE, ENTRE:
Le centre de gestion de la fonction publique territoriale de Meurthe-et-Moselle, représenté par son Président en exercice, monsieur Xxxxxxxx XXXXX, agissant en cette qualité et en vertu de la délibération n° 14/34 du 4 juillet 2014 et des délibérations citées dans le préambule, ci-après désigné « Le CDG 54 » d'une part,
ET
La collectivité, représentée par ….., [qualité], situé [adresse], ci-après désigné « La collectivité » en dernière part,
IL EST CONVENU CE QUI SUIT :
Préambule:
Le règlement européen 2016/679 dit « RGPD » entre en vigueur le 25 mai 2018. Il apporte de nombreuses modifications en matière de sécurité des données à caractère personnel et rend obligatoire leur application. En effet, le non-respect de ces nouvelles obligations entraine des sanctions lourdes (amendes administratives pouvant aller jusqu'à 20 000 000€), conformément aux articles 83 et 84 du RGPD.
Au regard du volume important de ces nouvelles obligations légales imposées et de l'inadéquation potentielle entre les moyens dont la collectivité dispose et lesdites obligations de mise en conformité, la mutualisation de cette mission avec le CDG 54 présente un intérêt certain.
Dans le cadre de la mutualisation volontaire des moyens entre les centres de gestion de la fonction publique territoriale de l’Interregion EST, il est apparu que le Xxxxxx xx xxxxxxx xx xx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xx Xxxxxxx-xx-Xxxxxxx a accepté de mutualiser son expertise et ses moyens tant en personnel qu’en solution informatique au bénéfice des centres de gestion de l’Interrégion Est et des collectivités et établissements publics qui leur sont rattachés. Le CDG 88 s’inscrit dans cette démarche par sa délibération en date du 12/06/2018 susvisée.
Le CDG 54 propose, en conséquence, des ressources mutualisées ainsi que la mise à disposition de son Délégué à la Protection des Données. Il peut donc accéder à la demande d'accompagnement du CDG 88, et de toute collectivité des Vosges désireuse d'accomplir ces formalités obligatoires.
ARTICLE 1 : OBJET ET COMPOSITION DE LA MISSION
La présente convention a pour objet la mise à disposition de moyens humains et matériels au profit la collectivité cosignataire ; avec pour finalité la maîtrise des risques liés au traitement des données personnelles, risques autant juridiques et financiers pour la collectivité et les sous traitants, que risque de préjudice moral pour les individus.
La collectivité confie au CDG 54 une mission d'accompagnement dans la mise en conformité des traitements à la loi Informatique et libertés n° 78-17 du 6 janvier 1978 et au RGPD.
Cette mission comprend les cinq étapes suivantes, dans lesquelles le DPD mis à disposition de la collectivité réalise les opérations suivantes :
Documentation et information
fournit à la collectivité un accès à une base documentaire comprenant toutes les informations utiles à la compréhension des obligations mises en place par le RGPD et leurs enjeux ;
organise des réunions d'informations auxquelles seront invités les représentants de la collectivité ;
Questionnaire audit et diagnostic
fournit à la collectivité un questionnaire qu'elle aura à remplir visant à identifier ses traitements de données à caractère personnel actuellement en place ou à venir, ainsi que diverses informations précises et indispensables au bon fonctionnement de la mission ;
met à disposition de la collectivité le registre des traitements selon les modèles officiels requis par le RGPD et créé à partir des informations du questionnaire ;
dispense des conseils et des préconisations relatifs à la mise en conformité des traitements listés;
Etude d'impact et mise en conformité des procédures
accompagne la réalisation de l’étude d’impact sur les données à caractère personnel provenant des traitements utilisés par la collectivité
produit une analyse des risques incluant leur cotation selon plusieurs critères ainsi que des propositions de solutions pour limiter ces risques;
fournit des modèles de procédures en adéquation avec les normes RGPD (contrat type avec les sous-traitants, procédure en cas de violation de données personnelles...) ;
Plan d’action
établit un plan d'action synthétisant et priorisant les actions proposées ;
Bilan annuel
produit chaque année un bilan relatif à l'évolution de la mise en conformité ;
ARTICLE 2 : DEFINITIONS
Les présentes définitions s'entendent au sens des articles 4, pris en son 7°, ainsi que 37 à 39 de la règlementation européenne (Règlement européen 2016/679, susvisé).
Deux acteurs de la protection des données sont à définir clairement :
Le Responsable de traitement
Le responsable d'un traitement de données à caractère personnel est le maire de la commune/le président de l'établissement public, sauf désignation expresse contraire par des dispositions législatives ou réglementaires relatives à ce traitement.
Pour la (commune/l’établissement public), le responsable de traitement est : (NOM Prénom maire/président).
Le Délégué à la Protection des Données (dit ci-après le « DPD »)
Sa désignation est obligatoire pour toute collectivité ou organisme public.
Pour le CDG 54, le Délégué à la Protection des Données est désigné par son président.
Par la présente, la collectivité désigne le DPD mis à disposition par le CDG 54 comme étant son DPD. Le DPD prépare les documents permettant au président de procéder à sa désignation effective auprès de la CNIL.
En cas de modifications dans la désignation des acteurs, les cocontractants s'engagent à s'informer mutuellement de tout changement sous un délai de deux mois maximum.
ARTICLE 3 : OBLIGATIONS DU DELEGUE A LA PROTECTION DES DONNEES
Les données contenues dans les supports et documents du CDG54 et de la collectivité sont strictement couvertes par le secret professionnel (article 226-13 du code pénal).
Il en va de même pour toutes les données dont le DPD (ou les autres experts du CDG l'assistant le cas échéant) prendra connaissance à l'occasion de l'exécution de sa mission.
La collectivité reste propriétaire de ses données et pourra à tout moment récupérer l’intégralité desdites données qui auront été transmises au DPD dans la cadre de sa mission.
Conformément à l'article 34 de la loi informatique et libertés modifiée, le DPD s'engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées.
De fait, il s'engage à respecter les obligations suivantes :
ne prendre a titre personnel aucune copie des documents et supports d'informations qui lui sont confiés ;
ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées à la présente convention;
ne pas divulguer ces documents ou informations à d'autres personnes, qu'il s'agisse de personnes privées ou publiques, physiques ou morales ;
prendre toutes mesures permettant d'éviter toute utilisation détournée ou frauduleuse des fichiers informatiques étudiés ;
prendre toutes mesures de sécurité, notamment matérielle, pour assurer la conservation et l'intégrité des documents et informations traités pendant la durée de la présente convention ;
La collectivité, dans le cadre de la mise à disposition, se réserve le droit de procéder à toutes vérifications qui lui paraîtraient utiles pour constater le respect des obligations précitées
ARTICLE 4: TARIFS ET FACTURATION
Dans le cadre de la mise à disposition, la participation de la collectivité est exprimée par un taux de cotisation fixé annuellement par délibération du conseil d'administration du CDG 54 : ce taux est de 0,057% en 2018. L’assiette retenue correspond à la masse des rémunérations versées à leurs agents permanents, telles qu'elles apparaissent aux états liquidatifs mensuels ou trimestriels dressés pour le règlement des charges sociales dues aux organismes de sécurité sociale, au titre de l'assurance maladie.
Dans le cas où le montant calculé par application du taux serait inférieur à 30 euros, la somme de 30 euros sera appelée forfaitairement à la collectivité pour compenser les frais liés à la mise à disposition.
Une réunion annuelle interviendra pour procéder au bilan financier de la convention.
La collectivité verse sa cotisation au CDG 54 selon les mêmes modalités que les cotisations versées à son centre départemental de gestion habituel.
Tout changement dans la tarification de la mission devra intervenir dans des conditions similaires à celles ouvrant cas de résiliation, telles que définies à l'article 8 de la présente convention.
Le paiement, identifié « RGPD_Code INSEE », s'effectue auprès de :
Xxxxxxx
Xxxxxxxxxxxxxx 00
00 Xxxxxxxxx Xxxxxxx Xxxxxx
00000
XXXXX
ARTICLE 5 : DUREE
La mission pourra débuter, après signature de la présente convention, à la date convenue entre la collectivité et le CDG 54
La présente convention court jusqu'au 31 décembre 2021, reconductible tous les ans par tacite reconduction.
ARTICLE 6 : PROTOCOLES ANNEXES
La collectivité et le Délégué à la Protection des Données s'engagent mutuellement en signant la Lettre de Mission et la Charte déontologique en annexe à la présente convention.
ARTICLE 7 : RESILIATION DE LA CONVENTION
La présente convention peut être dénoncée à tout moment, par chacune des parties, en cas de non respect d'une des stipulations qu'elle comporte ; ou tous les 1er janvier en cas de modification du taux de cotisation, sous réserve d'un préavis déposé avant le 1er octobre.
ARTICLE 8 : CONTENTIEUX
En cas de litige sur l'interprétation ou sur l'application de la convention, les parties s'engagent à rechercher toute voie amiable de règlement. A défaut, le Tribunal administratif de NANCY est compétent.
Fait à …….., Fait à Villers-Lès-Nancy,
le …….., le
(cachet et signature) Xxxxxxxx XXXXX
Président du centre de gestion de
Prénom NOM Meurthe et Moselle
Fonction
Responsable de traitement de (nom de la collectivité)
Lettre de mission du Délégué à la protection des données
(à remplir par chaque collectivité/établissement adhérent)
Je soussigné, (Nom – Prénom), en qualité de (président/maire) de (nom de la collectivité), désigne Xxxxxxx XXXXXXXXX, agent du Centre de Gestion de Meurthe et Moselle, comme étant le Délégué à la Protection des Données (DPD) de la collectivité susmentionnée, au titre du règlement (UE) 2016/678 du 27 avril 2016, à compter du (JJ/MM/AAAA) (date de signature de la convention).
Au titre de votre qualité de Délégué à la protection des données, vous m'êtes directement rattaché.
Pour vous permettre de mener à bien ces différentes missions, la commune/l’établissement public s’engage à :
tenir compte des analyses et conseils en matière de protection des données personnelles et, dans le cas où vos recommandations ne seraient pas retenues, à en documenter les raisons ;
vous alerter par voie électronique lors de toute création de traitement de données à caractère personnel et lors de toute modification dans le traitement des données actuelles ;
vous alerter en cas de violation constatée de données à caractère personnel
prendre connaissance dans les plus brefs délais de la documentation CNIURGPD, diffusée par le CDG54.
vous fournir l'accès aux données et aux opérations de traitement ;
vous faciliter l'accès aux données et informations manquantes détenues par d'éventuels sous traitants ;
Une copie de cette lettre de mission sera portée à la connaissance de l'ensemble du personnel.
Prénom NOM
Fonction
Responsable de traitement
Nom de l’organisme
Adresse mail du correspondant RGPD dans la collectivité :
___________________________@___________________________
Logo de la collectivité