Protection des Données & Cybersécurité

Les collectivités territoriales et leurs établissements publics traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers des ressources humaines…), la sécurisation de leurs locaux (contrôle d’accès par badge, dispositifs vidéo…) ou la gestion des différents services publics et activités dont ils ont la charge.

La nécessité pour les différentes structures publiques de prendre en compte les exigences relatives aux traitements de données à caractère personnel, est renforcée depuis l’entrée en application, le 25 mai 2018, du Règlement Général sur la Protection des Données (RGPD), qui s’inscrit dans la continuité des principes de la Loi Informatique et Libertés (LIL) du 6 janvier 1978.

En vertu du RGPD, les autorités publiques ou organismes publics ont l’obligation, depuis mai 2018, de désigner auprès de la Commission Nationale Informatique et Libertés (CNIL) un Délégué à la Protection des Données (DPD).

En parallèle, les structures publiques doivent faire face à l’augmentation des cyberattaques ; une situation qui peut avoir de graves conséquences ; aussi bien techniques, financières, réputationnelles, juridiques, qu’humaines, pour qui en est victime.

Une cyberattaque peut se produire à tout moment et, parfois, ce sont les personnels de la structure visée qui en sont les premiers témoins : fichiers chiffrés, difficultés ou impossibilité d’accès aux logiciels ou systèmes informatiques, etc.

Compte tenu des exigences du RGPD et du niveau d’expertise demandé en matière de protection de données et cybersécurité, et au regard des moyens dont disposent les communes et les établissements publics pour répondre à ces obligations, le Centre de Gestion de la Fonction Publique Territoriale de l’Aude propose les services d’agents qualifiés.

Définitions

Afin de mieux appréhender le domaine de la protection des données, il convient de définir certains termes.

Les définitions ci-dessous s’entendent au sens des articles 4 et 35 du RGPD.

– « donnée à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

– « traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

– « responsable de traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

– « violation de données à caractère personnel » : une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;

– « Analyse d’Impact sur la Protection des Données (AIPD) » : lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Les définitions ci-dessous sont issues du site Internet de la CNIL.

– « registre des traitements » : document permettant de recenser les traitements de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles ;

– « finalité d’un traitement » : objectif principal de l’utilisation de données personnelles. Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur. Exemples de finalité : gestion des recrutements, gestion des paies, etc ;

– « exercice des droits des personnes » : les personnes dont vous traitez les données ont des droits sur ces données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Vous devez leur donner les moyens d’exercer effectivement leurs droits et prévoir dans vos systèmes informatiques les outils techniques qui permettront la bonne prise en compte de leurs droits.

Les définitions ci-dessous sont issues du site Internet de l’ANSSI.

– « cybersécurité » : État d’un système d’information qui résiste aux cyberattaques et aux pannes accidentelles survenant dans le cyberespace ;

– « cyberespace » : Espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment l’Internet ;

– « cyberattaque » : Ensemble coordonné d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité.

Le service Protection des Données & Cybersécurité

Le service Protection des Données & Cybersécurité a été créé en avril 2016.

Au 1^er avril 2024, 150 communes et 19 établissements publics sont adhérents au service.

Le service compte deux DPD mutualisés ayant une parfaite maitrise de l’environnement territorial et une solide expertise juridique sur la protection des données et la cybersécurité afin de proposer un accompagnement individualisé au plus près des employeurs.

Pour adhérer au service, les collectivités et établissements publics doivent solliciter le service Protection des Données & Cybersécurité du CDG11 en effectuant leur demande par courriel, téléphone ou courrier aux coordonnées ci-dessous :

Service Protection des Données & Cybersécurité

Centre de Gestion de l’Aude – 85 avenue Claude Bernard – CS 60050 – 11890 Carcassonne

04.68.77.79.71 / 04.68.77.79.60

dpd@cdg11.fr