Réalisation du recensement des traitements
Cette phase d’audit est essentielle dans votre approche de la conformité de la collectivité locale avec la loi « Informatique et Libertés » et avec vos engagements de « respect des données personnelles ».
L’objectif est de recenser et d’analyser l’ensemble de traitements réalisés dans les différents services et de les confronter avec les recommandations de la Commission Nationale Informatique et Libertés.
Ainsi vous dégagerez rapidement les manquements immédiats et la mise en conformité, mais vous pourrez également dégager des axes de progrès qui vous permettront d’améliorer la qualité des processus « métier » et du système d’information.
Enfin, vous pourrez instaurer une véritable stratégie « Informatique et Libertés »
Déroulement de l’audit d’un service :
Présentation de la loi Informatique et Libertés
- Le Demandeur de traitement présente ses traitements, ses processus et ses fichiers
- Mise en forme des informations recueillies au format demandé par la CNIL
- Processus de validation de la demande de traitement
Les résultats de cet audit seront analysés avec le consultant I&L de la société GOconcepts pour définir la liste des déclarations à réaliser et la liste des traitements à risque.
Cartographie des traitements
Pour chaque traitement analysé, le consultant GOconcepts réalisera une « Cartographie de ce traitement »
Exemple : Gestion du conseil communautaire
Analyse des résultats de l’audit de conformité
Suite à la réalisation de la matrice de conformité « I&L », il est nécessaire de valider avec les demandeurs de traitements les informations à caractère personnel contenu dans leurs fichiers et certainement compléter des processus métier que nous n’avons pas pu analyser.
Présentation du rapport d’audit auprès du Responsable des traitements et de la Direction Générale de la collectivité.
Liste des traitements à risque
Suite à l’audit de conformité, le consultant I&L de la société GOconcepts réalisera la matrice des risques I&L de votre collectivité et les actions de mise en conformité (déclarations, demandes d’avis CNIL, arrêt des traitements, actions auprès des éditeurs de logiciels…).
Remarque : en fonction des risques découverts, une étude d’analyse de risques et d’impacts pourra être proposée
Exemple de liste de risques pour la Direction des Systèmes d’Information
Rédaction des clauses pour les sous-traitants
Le recensement des déclarations de traitement de données personnelles, va permettre d’établir une cartographie de l’ensemble des prestataires, sous contrat, convention, etc…
Tout prestataire devra répondre à un engagement mutuel de respect du RGPD
Proposition de modèle simple de clause :
| Le prestataire s’engage à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »), et la loi n°78-17 du 6 janvier 1978 modifiée (dite « loi informatique et libertés »). |
Pour des traitements plus spécifiques, il sera nécessaire d’établir une clause RGPD
Recommandations de mise en conformité
Ces recommandations se basent sur :
Ce que dit la CNIL : par exemple sur un processus de « gestion de contact »
Ce que recommandent les Consultants GOconcepts
Exemple d’un traitement de gestion des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance mis en œuvre par les organismes gérant un service public et les collectivités territoriales.
Ce que recommandent les Consultants GOconcepts
Plan d’actions correctives
Ce Plan d’actions correctives est basé sur :
Des mesures organisationnelles : archives contenant des données à caractère personnel, dossiers de santé non sécurisé, armoires ne fermant pas à clés ….
Des mesures de mises en conformité des documents
Par exemple la mention légale à ajouter à un formulaire « gestion des cartes ramassage scolaire »
Des formulaires électroniques non-conformes et non-sécurisés (exemple de présentation des résultats d’un Audit de conformité à un Responsable de traitements
Des mesures d’améliorations des pratiques et des techniques informatiques
Exemple de proposition d’un Plan d’action pour le service informatique d’une collectivité de 15 000 habitants
