La note qui nous a été transmise est des plus laconiques. En effet, en 7 lignes seulement, elle traite ce sujet important. Il s’agit de garantir une protection optimale des données à chaque instant des usagers et être en mesure de la démontrer en documentant la conformité des pratiques de la CUGR.
De même ce sujet est porté devant le CT, alors que depuis, le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est applicable.
Pour mesurer l’enjeu, il suffira de souligner qu’en cas de non-respect du RGPD, la Collectivité peut s’exposer à des sanctions de 10 à 20 M€ d’amende.
Ce dans un contexte où tant le gouvernement que la CUGR entendent développer l’administration électronique pour réduire les coûts.
Nous demandons le report de ce dossier afin que nous soient présentés :
- les mesures techniques et organisationnelles pour garantir une protection tout au long du cycle de vie des données
- les mesures démontrant à tout instant que la CUGR offre un niveau optimal de protection aux données traitées.
- Les mesures relatives aux prestataires de service hébergeant des données et tout organisme, public ou privé, auxquels la CUGR sous-traite la mise en œuvre de leurs traitements de données personnelles
- le registre des activités de traitement,
- les analyses d’impact sur la vie privée et les libertés pour certains traitements à risques
- l’organisation de la prise en charge des demandes d’exercice des droits,
- l’organisation de la détection et la gestion des incidents de sécurité.
Quant au DPO, nous demandons que son profil de poste et sa lettre de mission soient présentés au CT. Sa mission ne saurait être décrite en seulement 2 lignes.
Pour la CGT et l’UFUCT-CGT, le délégué a pour principales missions :
- d’informer et de conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents ;
- de diffuser une culture Informatique & Libertés au sein de la collectivité ;
- de contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier ;
- de conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- de coopérer avec la CNIL et d’être le point de contact de celle-ci.
Au demeurant, le délégué doit être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie et bénéficier d’une liberté dans les analyses et actions qu’il décide d’entreprendre. Quelles sont donc les mesures prises pour qu’il soit protégé ?
Enfin, la note n’indique pas si le DPO fera l’objet d’une mutualisation avec le CCAS, la Ville de Reims et les autres communes de la CUGR. Qu’en est-il ?
Le passage en CT aurait dû être précédé par une étude d’impact soumise au CHSCT quant aux conséquences pour la DSIT et les autres services concernés
Qui plus est, rien est indiqué quant aux efforts nécessaires de la collectivité pour sensibiliser à ce sujet l’ensemble des agents et cadres du Grand Reims et former les plus impactés.