RGPD : comment les collectivités territoriales sont-elles impactées ?

11 juillet 2017

Les collectivités territoriales traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou  la gestion des différents services publics et activités dont elles ont la charge.

Certains de ces traitements présentent une sensibilité particulière, comme les fichiers d’aide sociale et ceux de la police municipale. 

Quels sont les enjeux des collectivités en matière  de protection des données ? 

Le développement de l’administration électronique constitue un levier majeur de la modernisation de l’action publique. De ce fait, les collectivités recourent de plus en plus aux technologies et usages numériques : téléservices, open data, systèmes d’information géographique, cloud computing, compteurs intelligentsréseaux sociaux, dispositifs vidéo, lecture automatique de plaques d’immatriculation, etc.

Par ailleurs, le nombre de cyberattaques ne cesse d’augmenter, et ce, quel que soit la taille des organisations visées.

De plus, les citoyens sont de plus en plus soucieux de la manière dont leurs données sont utilisées.  A ce titre, la loi pour une République numérique est venue consacrer en octobre 2016 un droit à l’auto-détermination informationnelle que l’on retrouve posé à l’article 1er de la loi Informatique et Libertés : « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Les nouveaux services numériques, pour qu’ils créent de la confiance auprès des administrés, doivent donc répondre aux exigences de protection des données dont la sécurité est une des composantes essentielles.

Enfin, la nécessité pour les collectivités de prendre en compte ces exigences est renforcée depuis l’entrée en application, le 25 mai 2018, du règlement européen sur la protection des données (RGPD).

En effet, le RGPD :

  • renforce les obligations en matière de transparence des traitements et de respect des droits des personnes,
  • s’axe sur une logique globale de responsabilisation de l’ensemble des acteurs ,
  • crédibilise la régulation des « CNIL » en musclant leur pouvoir de sanction :  outre des avertissements publics, elles pourront prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou, pour une entreprise, 4% du chiffre d’affaires mondial.

En quoi le règlement européen sur la protection des données impacte-t-il les collectivités territoriales ?

Une logique de responsabilisation

Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas, un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs privés et publics.  Ce changement de posture se traduit par une mise en conformité permanente et dynamique de la part des collectivités. Elles devront ainsi

  • adopter des mesures techniques et organisationnelles pour garantir une protection tout au long du cycle de vie des données
  • démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées.

Les prestataires de service hébergeant des données et tout organisme, public ou privé, auxquels les collectivités sous-traitent la mise en œuvre de leurs traitements de données personnelles devront participer à la mise en conformité des collectivités territoriales, en les aidant, sous peine de sanctions, à satisfaire aux exigences du RGPD .

La protection des données dès la conception et par défaut

Les collectivités devront intégrer les principes de protection des données dès la conception (Privacy by design) et par défaut (Privacy by default).

Elles devront ainsi tenir compte, le plus en amont possible, des contraintes concernant la protection des droits et des libertés des personnes concernées par les traitements de données, et définir, dès la phase de conception du produit, du service ou du traitement, des mesures et paramétrages par défaut respectueux des règles d’or de la protection des données. Il s’agira en particulier de minimiser au maximum, à tout point de vue et à tout moment, le traitement effectué.

Par exemple :

  • favoriser par principe les menus déroulants ou les cases à cocher plutôt que les zones de commentaires libres sur les formulaires de collecte et dans les bases de données internes, pour limiter dès le départ le nombre et la nature des données enregistrées ;
  • restreindre au maximum l’accès aux données en définissant strictement les habilitations et en précisant les opérations susceptibles d’être réalisées ;
  • pseudonymiser les données lorsque leur exploitation sous une forme identifiante n’est pas nécessaire ;
  • appliquer des mécanismes de purge/d’archivage automatique des données.

La gouvernance des données

Le RGPD, allège fortement les obligations en matière de formalités préalables. Le régime déclaratif est totalement supprimé, au profit de la mise en place d'une gouvernance des données personnelles. Une bonne gouvernance nécessite la documentation des actions menées pour être en capacité de piloter et de démontrer la conformité.

Ainsi, les collectivités doivent :

  • tenir un registre de leurs activités de traitement,
  • notifier à la CNIL, voire aux personnes concernées, les violations de données personnelles,
  • effectuer des analyses d’impact sur la vie privée et les libertés pour certains traitements à risques
  • encadrer les opérations sous-traitées dans les contrats de prestation de services,
  • veiller à garantir la confidentialité des données,
  • organiser la prise en charge des demandes d’exercice des droits,
  • organiser la détection et la gestion des incidents de sécurité.
Le délégué à la protection des données

Le délégué à la protection des données

Depuis le 25 mai 2018, la désignation d’un délégué à la protection des données est obligatoire pour les collectivités. Ce délégué peut être interne ou externe, mutualisé ou non pour plusieurs organismes.

>En savoir plus sur le délégué et sa désignation

Missions du délégué à la protection des données

Le délégué a pour principales missions :

  • d’informer et de conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents ;
  • de diffuser une culture Informatique & Libertés au sein de la collectivité ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier ;
  • de conseiller la collectivité sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec la CNIL et d’être le point de contact de celle-ci.

Le délégué doit être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie et bénéficier d’une liberté dans les analyses et actions qu’il décide d’entreprendre.

Expertise et moyens

Le délégué à la protectiond es données doit disposer d’un niveau d’expertise et de moyens suffisants pour exercer son rôle de façon efficace. Ainsi, il doit :

  • être désigné sur la base de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, mais également de sa bonne connaissance du secteur d’activité ;
  • être associé en temps utile et de manière appropriée à l’ensemble des questions Informatique & Libertés ;
  • bénéficier des ressources et formations nécessaires pour mener à bien ses missions.

Dans ce contexte, la mutualisation de la fonction de DPO apparaît constituer un enjeu essentiel pour les collectivités territoriales, notamment pour celles de petite taille qui combinent préoccupations identiques et moyens limités.

A quel niveau envisager la mutualisation du délégué à la protection des données ?

La mutualisation permet de limiter les coûts et de bénéficier de professionnels disposant des compétences et de la disponibilité nécessaires.  Elle peut prendre l’une des formes suivantes :

  • Désignation d'un délégué situé au niveau d’un établissement public de coopération intercommunale et agissant pour le compte des collectivités qui en sont membres (ex. : Clermont Auvergne métropole) ;
  • Désignation d'un délégué proposé aux collectivités de son ressort territorial par un centre de gestion de la fonction publique territoriale (ex. : CDG11, CDG22, CDG33, CDG54, CDG59, CDG60), une association départementale d’élus locaux (ex. : Union des maires du Val d’Oise), une agence départementale (ex. : Agence landaise pour l’informatique, Agence technique départementale de la Dordogne, Agence des Territoires de la Vienne) ou un syndicat mixte (ex. : SMICA, SOLURIS) ou offrant à ses adhérents des services d’accompagnement et de mutualisation informatique.

Que leur délégué soit interne, externe, mutualisé ou non, les collectivités ayant les mêmes préoccupations ont tout intérêt à travailler ensemble pour faciliter leurs démarches de mise en conformité. De fructueux échanges collaboratifs (partage de connaissance, d’outils et bonnes pratiques) peuvent être effectués aussi bien au sein de réseaux locaux que nationaux. L’Assemblée des départements de France a ainsi mis en place un groupe de travail « RGPD » réunissant l’ensemble des DPO de ces collectivités, après que les 12 départements de la région Aquitaine se sont engagés dans une préparation collective de la mise en application du règlement européen.

Les outils pour engager une démrache de conformité au RGDP

Les collectivités peuvent s’appuyer sur l’ensemble des outils mis à disposition des professionnels pour les aider dans leurs démarches. En particulier,

De plus, la CNIL prépare activement l'adoption de règlements types et référentiels déclinant, pour différents traitements, les grands principes portés par le RGPD. La conformité à ces référentiels permettra aux collectivités de savoir ce qu’attend de leur part le régulateur.

Le respect des règles de protection des données par les décideurs publics constitue un gage de sécurité juridique, en les protégeant notamment contre un risque pénal particulièrement important.Les mesures de sécurité informatique exigées par le RGPD sont profitables à l’ensemble du patrimoine informationnel de la collectivité. L’information des personnes, l’intégration de la protection des données par défaut et dès la conception et le respect de leurs droits constituent un vecteur de confiance et de valorisation de l’image de la collectivité. Ainsi, si la conformité a un coût, elle doit surtout être perçue comme un investissement


Les mots clés associés à cet article