Post Image

[14 janvier 2019] Il se dit que le « secteur public » serait en retard dans la mise en oeuvre du RGPD, cette véritable loi européenne n°2016/679 entrée en application le 25 mai 2018… Il se raconte pourtant que les entreprises à mission de service public, les établissements publics, les associations à délégation de mission de service public s’y intéressent de près. Voila pourquoi je vous propose aujourd’hui « RGPD spécial secteur public culturel« . Vous trouverez dans la présentation en BD accessible dans le slider ci-dessous (à la fin de ce post) le détail du régime légal applicable au secteur public (culturel ou non) et des principales obligations nécessaires à la protection des données personnelles collectées ou traitées par les professionnels de la culture.

RGPD secteur public et protection des données : spécial « établissement public culturel »

Si vous êtes une mairie / un département / un conseil régional / etc. vous pouvez lire aussi, les mêmes contraintes s’appliquent à l’identique à votre personne morale de droit public hors du domaine culturel…

PD secteur public et protection des données : spécial "établissement public culturel"


RGPD secteur public et protection des données : comprendre d’abord POURQUOI le RGPD ?

RGPD secteur public et protection des données : comprendre d'abord POURQUOI le RGPD ?


RGPD secteur public et protection des données : la réalité des données personnelles en 2019

La notion « d’informations nominatives » de la loi « Informatique et Libertés » du 6 janvier 1978 et celle de « données à caractère personnel » au sens du RGPD en 2019 n’ont plus grand chose à voir. En 1978, pas de communications électroniques comme nous les connaissons aujourd’hui (ordinateur, site web, téléphone portable, etc.).

GPD secteur public et protection des données : la réalité des données personnelles en 2019


RGPD secteur public et protection des données : distinguer données de contenu / métadonnées / données à caractère personnel

GPD secteur public et protection des données : distinguer données de contenu / métadonnées / données à caractère personnel


RGPD secteur public et protection des données : les données indirectement identifiantes ???

Si un professionnel identifie un terminal (par exemple pour lui envoyer de la pub ciblée), ce professionnel traite effectivement des données identifiant indirectement la personne qui s’en sert. Il y a alors (sans aucun doute) un traitement de « données à caractère personnel » au sens du RGPD-GDPR.

RGPD secteur public et protection des données : les données indirectement identifiantes


RGPD secteur public et protection des données : la notion de traitement

Il faut se pencher sur la notion de « traitement » : « toute opération appliquée à des données personnelles« … Difficile de faire plus large. Nous ferons un rappel sur l’exception de traitement domestique (les traitements « strictement privés » et exonérés des obligation du RGPD) et nous passerons en revue les 6 principes obligatoires  de traitement (loyal / licite / finalité déterminée / minimisation / etc.).

RGPD secteur public et protection des données : la notion de traitement


RGPD secteur public et protection des données : responsable de traitement (controller) et sous-traitant (processor)

Il est aujourd’hui peu probable que des établissements culturels soient « sous-traitants » de données personnels. Il est en revanche beaucoup plus probable que certaines personnes morales exerçant des mission de service public culturel fassent appel à des sous-traitants au sens du RGPD (prestataires de service SaaS ou hébergeurs par exemple). Il faut donc maitriser les deux notions qui sont centrales dans l’application du RGPD-GDPR.

RGPD secteur public et protection des données : responsable de traitement (controller) et sous-traitant (processor)


RGPD secteur public et protection des données : l’obligation d’information des personnes 

C’était obligatoire déjà sous le régime de la loi « Informatique et Libertés » du 6 janvier 1978, ça l’est tout autant avec le RGPD mais le non-respect de cette obligation est sanctionné pour les personnes publiques à hauteur de 10.000.000 €uros d’amende administrative. Pour une personne morale de droit privée qui exerce une mission / délégation de service public, le « tarif » grimpe jusqu’à 4% du chiffre d’affaires… Alors, on regarde ce que le « responsable du traitement » est tenu de faire vis-à-vis des personnes dont il collecte et traite les données personnelles ?

RGPD secteur public et protection des données : l'obligation d'information des personnes 


RGPD secteur public et protection des données : la base juridique obligatoire des traitements

C’est une des vraies révolutions juridiques introduites par le RGPD-GDPR : l’obligation de choisir une « base juridique ». Il n’y en a que 6 « bases juridiques » et elles sont panachables.

Nous ferons donc un tour d’horizon du problème.

RGPD secteur public et protection des données : la base juridique obligatoire des traitements


RGPD secteur public et protection des données : les droits RGPD

Impossible de faire l’impasse sur ce point. Retenez que, selon les « bases juridiques » retenues, il faudra offrir certains droits RGPD (mais certainement pas tous…).

RGPD secteur public et protection des données : les droits RGPD


RGPD secteur public et protection des données : la désignation OBLIGATOIRE d’un DPO

C’est la seule et unique spécificité du RGPD pour les personnes morales de droit public et les personnes privées gérant des missions de service public : l’obligation de désigner un DPO. C’est l’occasion de faire le point sur la réalité des missions d’un agent / salarié / prestataire externe qui doit rester indépendant.

RGPD secteur public et protection des données : la désignation OBLIGATOIRE d'un DPO


RGPD secteur public et protection des données : les obligations techniques

Oui, des obligations techniques sont imposées dans le RGPD : pseudonymisation, chiffrement… Nous parcourrons rapidement les obligations RGPD qui s’imposent à l’identique au « secteur public » comme au « secteur privé ».

RGPD secteur public et protection des données : les obligations techniques


RGPD secteur public et protection des données : le risque de « violation » des données personnelles

L’obligation de sécurisation des systèmes d’information est destinée à éviter – autant que faire se peut – les risques de faille de sécurité et de fuite de données. C’est la définition que retient l’UE, que le risque soit le fruit d’une « négligence » ou d’une action volontairement agressive (nous y reviendrons très prochainement avec une présentation sur les cyber-attaques et les données personnelles).

RGPD secteur public et protection des données : le risque de "violation" des données personnelles


RGPD secteur public et protection des données : la notification OBLIGATOIRE à la CNIL des violations de données

Les responsables des personnes publiques, comme ceux du secteur privé, ont rarement envie de clamer sur les toits la découverte d’une faille de sécurité suivie d’une fuite de données. La déclaration de la découverte d’une « violation » de données est pourtant aujourd’hui obligatoire, dans les 72 heures de sa découverte… Le Ministère des affaires étrangères ne s’y est pas trompé en décembre 2018

RGPD secteur public et protection des données : la notification OBLIGATOIRE à la CNIL des violations de données


RGPD secteur public et protection des données : si vous retenez tout ça, vous savez l’essentiel !!!

RGPD secteur public et protection des données : si vous retenez tout ça, vous savez l'essentiel !!!


Si vous voulez tous les détails, la présentation dans le slider ci-dessous est là pour ça !!!

RGPD secteur public et protection des données : la présentation en BD complète dans le slider ci-dessous