Syndicat mixte pour la Modernisation numérique et l’Ingénierie informatique des Collectivités et établissements publics Adhérents - www.smica.fr

10 Rue du faubourg Lo Barri - Immeuble Le Sérial - 12000 RODEZ - tél 05 65 67 85 90 - courriel : accueil@smica.fr

Manuel d’utilisation

1

SOMMAIRE

A. Présentation générale de Madis ............................................................................. 2

B. Se connecter à Madis ............................................................................................. 2

C. Présentation de la page d’accueil .......................................................................... 3

C.1. Tableau de bord ..................................................................................................... 3

C.2. Présentation du menu ............................................................................................ 4

C.2.1. Paramétrage : ma collectivité ........................................................................... 5

C.2.2. Mon compte utilisateur ................................................................................... 6

D. Les registres ............................................................................................................ 7

D.1. Le registre des traitements ................................................................................. 7

Zoom sur la création d’un nouveau traitement ...................................................... 8

D.2. Le registre des sous-traitants ........................................................................... 12

D.3. Les demandes de personnes concernées ......................................................... 13

D.3.1. Créer une nouvelle demande ...................................................................... 13

D.4. Le registre des violations de données ............................................................... 15

Zoom – Comment renseigner le registre des violations de données ..................... 16

E. Les actions de protection ..................................................................................... 18

E.1. Modifier une action de protection .................................................................. 19

E.2. Créer une action de protection ....................................................................... 19

F. Plan d’actions ....................................................................................................... 20

G. Indice de maturité ................................................................................................ 20

H. Générer un bilan ................................................................................................... 24

I. Gestion de la preuve ............................................................................................ 24

Zoom – Rattacher une preuve à un traitement, sous-traitant, etc. ..................... 25

Annexe. Lexique RGPD .............................................................................................. 27

2

A. Présentation générale de MADIS

Madis est un logiciel conçu pour accompagner les collectivités à la

mise en oeuvre de leur conformité au RGPD.

Cette notice pourra évoluer en fonction des évolutions règlementaires et

des besoins des collectivités.

B. Se connecter à MADIS

L’application métier MADIS est disponible à l’adresse suivante : rgpd.smica.fr

Pour vous connecter, vous devez avoir un compte Utilisateur. Celui-ci est

attaché à votre adresse mail.

Lors de votre première connexion, vous devrez créer votre mot de passe.

Pour cela, nous vous invitons à cliquer sur “Mot de passe oublié”, puis à renseigner l’adresse mail rattachée à votre compte utilisateur.

Un lien vous sera envoyé par mail. En cliquant sur le lien, vous pourrez créer

votre mot de mot de passe.

En cas d’oubli de mot de passe, cliquez ici. Vous devez changer votre nouveau mot de passe en respectant les règles de sécurité

suivantes : 14 caractères, une lettre majuscule/minuscule minimum, au moins un chiffre et un caractère spécial.

3

C. Présentation de la page d’accueil

Une fois connecté, différents modules vous permettent d’effectuer

la saisie des registres, de documenter votre mise en conformité et de piloter sa

mise en oeuvre.

C.1 Tableau de bord

La fenêtre principale vous permet de visualiser en un coup d’oeil l’état

d’avancement de votre mise en conformité.

Les légendes sont affichées en survol de la souris

4

C.2 Présentation du menu

Ici, les quatre registres à renseigner, puis tenir à jour. En premier lieu, nous vous invitons à vous

concentrer sur l’élaboration du registre des traitements.

Insérez ici les justificatifs permettant de documenter la conformité (Contrat d’accompagnement

délégation à la protection des données, attestations de présences, politique de gestion des

données, etc.)

Une liste de 42 actions de protection triées par thématiques (du n°1 ou n°6) vous est proposée.

Ici, vous retrouverez, dans le « Plan d’actions », les

actions de protection que vous aurez planifiées.

Vous pourrez également générer un indice de

maturité, et un bilan de votre mise en conformité.

Ci-après les explications (p.5)

5

C.2.1 Paramétrage : ma collectivité

Vous pouvez visualiser les données de votre collectivité. Vous n’avez pas la

possibilité de modifier les informations générales et l’adresse. En cas de

rectification souhaitée, merci de faire votre demande à l’adresse suivante :

cellule-dpd@smica.fr.

Vous avez la possibilité de modifier les différents acteurs de votre mise en

conformité (référent opérationnel, responsable informatique, éventuellement

responsable de traitement).

Responsable de

traitement :

personne qui

détermine les

moyens et finalités

d’un traitement –

Représentant légal

de la collectivité

Référent opérationnel : personne qui tient à jour les registres

Par défaut, la cellule DPD du SMICA est indiquée comme étant votre DPD.

6

C.2.2 Mon compte utilisateur

Votre compte utilisateur vous permet de vous identifier (nom, prénom, adresse mail).

Vous pouvez y accéder en cliquant sur « mon compte » et le modifier au besoin.

Affichage des droits

Rappel : En cas d’oubli de

votre mot de passe,

vous avez la possibilité de la

réinitialiser en cliquant ici

7

D. Les registres

D.1 Le registre des traitements

Le registre des traitements permet de recenser l’ensemble des traitements de

données à caractère personnel de votre collectivité.

Lorsque vous cliquez sur “Traitements”, la fenêtre ci-dessous s’ouvre. Il

est possible, ici, de consulter ou de créer des traitements de données.

Si une liste de traitements est prédéfinie, pensez à désactiver les traitements

non effectués au sein de votre collectivité, et à vérifier/adapter les fiches de

traitement.

8

Zoom sur la création d’un nouveau traitement :

Lorsque vous cliquez sur “Nouveau traitement”, la fenêtre ci-dessous s’affiche.

Pour compléter votre fiche de traitement, vous devrez remplir les différentes rubriques, en vous basant sur la méthodologie présentée lors de l’atelier sur le registre des traitements (finalités du traitement, personnes concernées, catégories de données collectées, destinataires des données, durées de conservation).

Les champs précédés d’un * sont obligatoires.

9

Voici un exemple d’ « informations générales » préremplies :

Indiquez ici l’intitulé précis du traitement

Décrivez la ou les finalité(s), les objectifs du traitement de données

Personne(s) ou service qui gère

le traitement. Peut être different du responsable de traitement ou du

référent opérationnel.

Le statut “Actif” est coché par défaut.

Pensez à désactiver les traitements qui ne sont pas mis en oeuvre au

sein de votre collectivité.

Vous devez indiquer ici la base légale du traitement, c’est-à-dire ce qui

autorise légalement sa mise en œuvre, le « fondement juridique » du

traitement.

Six bases légales sont prévues par le RGPD : l’obligation légale,

l’exécution d’un contrat, le consentement, l’exécution d’une

mission d’intérêt public, la sauvegarde des intérêts vitaux, l’intérêt légitime.

Vous pouvez renseigner ici toutes observations sur le traitement, qui vous semblent nécessaires (ex. le

texte qui définit la durée de

conservation, etc.)

10

Les catégories de données :

Vous devez préciser ici toutes les catégories de données concernées par le

traitement :

Rappel du détail des catégories de données

Données d’identification, état civil : nom, prénom, adresse, téléphone, mail, date et lieu de naissance…

Vie personnelle : habitude de vie, situation familiale

Vie pro CV : situation professionnelle, scolarité, formation

Informations économiques et financières, revenus, données bancaires…

Données de connexion : adresse IP, logs, identifiants de connexion

Données de localisation : déplacement, données GPS, GSM

Données internet : cookies, données de navigation, mesures d’audience

Les données sensibles (origine raciale ou ethnique, appartenance syndicale, opinions politiques, philosophiques ou religieuses, santé ou orientation sexuelle, génétiques ou biométriques)

Pour sélectionner plusieurs catégories de données, cliquer sur la/les catégorie(s) souhaitée(s) en maintenant la

la touche Ctrl.

Personnes concernées, conservation

Vous pouvez ici :

- Sélectionner les personnes concernées

- Le(s) logiciel(s) utilisé(s)

- Indiquer s’il y a un traitement papier

- Préciser le délai de conservation

Rappel : Le délai de conservation doit pouvoir s’appuyer sur une justification (base légale , par exemple). Si vous ne pouvez pas indiquer

une durée chiffrée, préciser les critères utilisés pour déterminer le délai de conservation (ex : 3 ans à compter de la fin de la relation

contractuelle).

11

Les destinataires

Indiquez ici les destinataires des données à

caractère personnel (service, organisation

extérieure, partenaires etc.)

Apparaissent ici tous les sous -traitants

identifiés dans le registre des sous- traitants.

Pour sélectionner le(s) sous- traitant(s)

rattaché(s) à ce traitement, veuillez le(s)

sélectionner à l’aide la touche Ctrl (sur ordinateur).

Les mesures de sécurité renseignées ici sont propres à chaque traitement.

Ex. Accès via login/ mot de passe ou certification, gestion des habilitations, badges, etc.

Ex. Journalisation des accès utilisateurs, données enregistrées (identifiants, date et heure de connexion, actions)

Préciser ici le type de sauvegarde (support, interne/externe, fréquence…)

Mise à jour des logiciels, de l’environnement, contrat de mise à jour, etc.

Préciser toute autre mesure que vous souhaitez documenter (chiffrement, etc.)

Indiquez si des personnes habilitées figurent parmi les destinataires.

Un ou plusieurs traitement(s) spécifique(s) va/vont peut être conditionner une analyse d’impact, notamment s‘ils sont croisés avec des données sensibles.

Surveillance systématique de personnes (ex : vidéosurveillance)

Ex : qui visent à traiter un volume considérable de données à caractère personnel

(au niveau régional)

Personnes âgées, enfants de moins de 15 ans, personne en situation de

handicap, patients, employés…

Croisement ou combinaison d’ensemble de données

12

D.2. Le registre des sous-traitants

Un sous-traitant est une personne, physique ou morale, un organisme,

une entreprise qui traite de données à caractère personnel pour le

compte, sur instruction et sous l’autorité du responsable de traitement.

Le registre des sous-traitants vise à recenser les sous-traitants de votre

collectivité et à effectuer le suivi de leur conformité au RGPD (clauses

contractuelles vérifiées, conforme au RGPD).

Lorsque vous cliquez sur “Sous-traitants”, la fenêtre ci-dessous s’ouvre.

Vous visualisez ainsi l’ensemble des sous-traitants recensés dans votre

collectivité.

Vous pouvez modifier ou créer un nouveau sous-traitant comme ci-dessous :

Les clauses contractuelles (obligatoires) sont-elles vérifiées ? Si oui, cochez la case.

Le sous-traitant est-il conforme au RGPD ? Si oui, cochez la case.

Vous retrouverez sur votre tableau de bord, l’état d’avancement du suivi de

conformité de vos sous-traitants.

Pour voir apparaître vos sous-traitants dans la rubrique « Destinataires » de vos fiches de

traitement, ils devront avoir été recensés dans le registre des sous-traitants en premier lieu.

13

D.3. Les demandes de personnes concernées

Lorsque vous cliquez sur “Demandes”, la fenêtre ci-dessous s’ouvre.

D.3.1. Créer une nouvelle demande

A chaque nouvelle demande (droit d’accès, d’opposition, etc.), celle-ci doit être enregistrée dans

“nouvelle demande”.

Lorsque la réponse est délivrée, vous devez retourner dans la demande,

« modifier » et enregistrer la réponse apportée, les moyens de réponse et

la date de réponse.

Rappel : La réponse doit être délivrée dans un délai maximum de 1 mois.

14

Précisez le type de demande formulée

Renseignez ici la date à laquelle la demande a

été enregistrée par la collectivité

Ai-je toutes les informations me permettant

de traiter la demande ?

La personne concernée est la personne qui

fait la demande ou est le tuteur dument

habilité à faire la demande

La demande repose sur une base

légale. Elle est pertinente et

proportionnée.

Le tableau de bord affiche les demandes saisies dans ce registre (non traitées).

Vous pouvez ainsi suivre les demandes recensées et restant à traiter sur la page

d’accueil en un coup d’œil.

15

D.4. Les registres de violations de données

Un incident de sécurité, d’origine malveillante ou non, intentionnel ou non,

et qui risque de compromettre l’intégrité, la confidentialité ou la disponibilité

de données personnelles est une violation de données.

La première fenêtre affiche la liste des violations recensées dans votre

collectivité.

Rappel : chaque violation de données doit être être inscrite dans le registre des violations.

Pour enregistrer une nouvelle violation, veuillez suivre les étapes ci-dessous :

16

Zoom – Comment renseigner le registre des violations de données

Lorsque vous créez une “nouvelle violation”, il vous sera demandé de renseigner des informations sur la violation et sur les conséquences potentielles de cette violation pour les personnes concernées.

La date renseignée est celle de la violation de

données.

Indiquez la nature de la violation.

Indiquez l’origine de la violation de données

parmi la liste déroulante.

Indiquez la cause de la violation de données.

Précisez les catégories de données concernées

par la violation.

Précisez les catégories de personnes concernées

par la violation.

Indiquez ici le nombre approximatif

d’enregistrements et de

personnes concernées

par la violation.

17

Listez les impacts potentiels de la violation

pour les personnes concernées.

Dans certains cas, les

personnes concernées doivent être informées

de la violation.

Indiquez ici si les personnes ont été

informées, ou non. Vous

pouvez apporter des précisions sur la manière dont la communication a

été effectuée (ex. Courier, mail, etc.)

Indiquez ici la nature

des mesures de sécurité mises en oeuvre suite à

la violation.

Précisez ici si la violation doit faire l’objet

d’une notification, et si oui de quel type.

18

E. Les actions de protection

Les actions de protection sont les mesures techniques, organisationnelles,

juridiques, etc. permettant de garantir la sécurité et la confidentialité des

données.

Vous trouverez une liste de propositions d’actions de protection, classées par

thématiques :

1- Technique

2- Vie privée

3- Violation de données

4- Organisation

5- Juridique

6- Sensibilisation/formation

Cette liste, non-exhaustive, a été créée pour vous aider dans votre recensement.

Vous pouvez modifier les actions en fonction de votre propre organisation,

ajouter les mesures déjà mises en place dans votre collectivité et qui n’auraient

pas été identifiées ici…

19

E.1 Modifier une action de protection

Lorsqu’une action de protection est non appliquée, vous pouvez la modifier

pour indiquer qu’elle est déjà appliquée au sein de la collectivité.

Vous pouvez également planifier des actions de protection. Une fois l’action

réalisée, vous pourrez changer le statut de « non appliquée » à « appliquée

».

Seules les actions « non appliquées », et pour lesquelles vous avez

programmé une date, apparaîtront dans le plan d’actions.

E.2. Créer une action de protection

Si une action de protection n’existe pas dans la liste préétablie, vous pouvez l’ajouter

en cliquant sur « Créer une action de protection ».

20

F. Plan d’actions

Le plan d’action reflète les décisions prises dans le but d’améliorer sa mise en

conformité au RGPD. Il permet de planifier, budgétiser et évaluer les charges en

jour/homme par exemple.

Pour planifier les actions de protection, cliquer dans .

Indiquer la date prévisionnelle des actions que vous choisissez de planifier, et

éventuellement le coût et la charge (temps passé pour effectuer l’action).

Lorsque vous cliquez dans « Plan d’actions », vous pouvez visualiser la liste des

actions que vous avez planifiées.

Astuce : vous avez la possibilité de trier les actions par date/coût/charge, etc…

G. Indice de maturité

L’indice de maturité est une suite de 42 questions, classées par thématiques,

qui se traduit par un « radar » qui vous permet de suivre l’évolution de votre

mise en conformité.

Outil d’aide à la décision, il permet ainsi de mettre en exergue les thèmes

prioritaires à développer. Il est votre repère pour vous aiguiller dans

l’élaboration de votre plan d’actions.

21

Dans la liste des indices de maturité, vous retrouvez l’historique des indices

effectués dans votre collectivité. Cela permet d’évaluer votre progression.

A chaque nouvel indice, vous devez répondre à l’ensemble des 42 questions

proposées. Attention, si vous n’êtes pas certain de la réponse, veuillez cocher

“Je ne sais pas”.

Figure 1. Critères Indice de maturité – Technique – Vie privée

22

Figure 2. Critères Indice de maturité – Violation de données – Organisation

Figure 3. Critères Indice de maturité – Juridique – Sensibilisation/Formation

23

Lorsque vous avez répondu aux 42 questions, et que vous avez validé vos

réponses, un nouvel indice de maturité est généré.

Vous retrouvez le schéma du « radar » avec le nouvel indice (bleu) et l’indice

N-1 (rose). Ce schéma est visible sur la page d’accueil de votre compte Madis,

et également dans le bilan.

24

H. Générer un bilan

Au minimum une fois par an, nous vous conseillons de générer un bilan. Ce

dernier synthétise l’ensemble des éléments renseignés dans Madis, du

recensement des traitements aux actions de protection en place et à mettre

en oeuvre…

Pour le générer, cliquez dans le menu sur “Générer un bilan”.

Le fichier du bilan est généré sous Word afin que

vous puissiez ajouter vos logos et le

personnaliser.

I. Gestion de la preuve

Afin de prouver votre conformité, vous devez constituer un dossier

documentaire.

Dans la rubrique “Documents”, vous pouvez ajouter l’ensemble des preuves

vous permettant de démontrer le respect de vos obligations en tant que

responsable de traitement…

Pour créer une preuve, cliquez sur “Ajouter une preuve”, renseignez les différentes rubriques (nom, type de preuve) et télécharger votre document.

La taille du fichier est volontairement limitée à 4 Mo.

25

Zoom – Rattacher une preuve à un traitement, sous-traitant,…

Vous avez la possibilité d’associer des preuves à d’autres éléments de MADIS (traitements, sous-traitants, actions de protection, demandes de personnes concernées, violation). Lors de la création (ou de la modification) de la preuve, il suffit de sélectionner les éléments auxquels vous souhaitez rattacher le document, dans l’onglet “Association”. Pour sélectionner plusieurs éléments, maintenez la touche Ctrl. Ex. Vous créez une preuve “Contrat d’accompagnement à la protection des données-SMICA”. Ce document prouve le respect de votre obligation de désigner un DPD. Vous pourrez alors associer ce document à l’action de protection “Désigner un DPD pour la collectivité”.

Il est ensuite possible d’accéder aux preuves directement depuis la fiche de l’élément dans la rubrique “Documents associés”.

26

Cellule Délégué à la Protection des Données

10, rue du Faubourg Lo Barri 12 000 RODEZ

Cellule-dpd@smica.fr 05-65-67-85-90

27

LEXIQUE RGPD

Données personnelles Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Les données personnelles comprennent, entre autres, les noms, prénoms, numéros de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou courriel, la voix ou l’image. Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1@email.fr ») ne sont pas, en principe, des données personnelles.

Traitement de données personnelles Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction...)

Finalité du traitement La finalité du traitement est l’objectif poursuivi par le traitement. Les données sont collectées pour un but déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.

Responsable de traitement Le responsable de traitement est la personne morale (commune, intercommunalité, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.

Minimisation Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Sous-traitant Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation. Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat.

Données sensibles Les données sensibles forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique,

28

des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le RGPD interdit de recueillir ou d’utiliser ces données, sauf dans certains cas qui sont précisément listés.

Registre des activités de traitement Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles. Il permet notamment d’identifier les parties prenantes, les catégories de données traitées ; à quoi servent ces données, qui y accède et à qui elles sont communiquées, combien de temps les données personnelles sont conservées et comment elles sont sécurisées.

Les bases légales La base légale d’un traitement est ce qui autorise légalement sa mise en oeuvre, ce qui donne le droit à un organisme de traiter des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement. Six bases légales sont prévues par le RGPD :

- le consentement ; - le contrat ; - l’obligation légale ; - la sauvegarde des intérêts vitaux ; - l’intérêt public ; - les intérêts légitimes.

Violation de données Une violation de la sécurité se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illic

29