Règlement européen sur la protection des données : comment les collectivités peuvent-elles se préparer ?

18 juillet 2017

Selon une enquête réalisée par la Gazette des communes, seulement 10 % des collectivités pensent qu’elles seront prêtes pour mai 2018. La CNIL les incite à se préparer en  désignant dès maintenant un correspondant à la protection des données qui deviendra délégué. 

Les collectivités territoriales traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou  la gestion des différents services publics et activités dont elles ont la charge.

Le développement de l’e-administration constitue un levier majeur de la modernisation de l’action publique. De ce fait, les collectivités recourent de plus en plus aux technologies et usages numériques : téléservices, open data, systèmes d’information géographique, cloud computing, compteurs intelligents, réseaux sociaux, lecture automatique de plaques d’immatriculation, etc. Par ailleurs, le nombre de cyberattaques ne cesse d’augmenter, et ce, quelle que soit la taille des organisations visées.

Ce qui change avec le règlement

Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas avec le règlement européen, un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs privés et publics (accountability). 

Ce changement de posture devra se traduire par une mise en conformité permanente et dynamique de la part des collectivités. Elles devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées.

Les collectivités devront intégrer un nouveau principe de protection des données dès la conception (Privacy by design) du traitement et par défaut (Privacy by default).

La désignation obligatoire d’un délégué à la protection des données

A compter du 25 mai 2018, la désignation d’un délégué à la protection des données (Data Privacy Officer), successeur du correspondant informatique et libertés (CIL) dont la désignation est aujourd’hui facultative, sera obligatoire pour les organismes et autorités publics, et donc pour les collectivités. Sans attendre 2018, les collectivités peuvent d’ores et déjà désigner un correspondant informatique libertés ayant vocation à occuper ensuite la fonction de délégué à la protection des données.

Si les grandes collectivités ont déjà engagé cette démarche (2/3 des régions, la moitié des départements, 2/3 des métropoles, 1/3 des communautés urbaines, 1/10 des communautés d’agglomération), seulement 2% des communes ont désigné un correspondant. Pour ces collectivités, qui ont des préoccupations identiques, la mutualisation de la fonction semble tout à fait adaptée. Elle permet de limiter les coûts et de bénéficier de professionnels disposant des compétences et de la disponibilité nécessaires à un bon pilotage de la conformité. 

Cette mutualisation peut se faire à différents niveaux :

  • Les structures de mutualisation informatique ;
  • Les communautés de communes, d’agglomération, les communautés urbaines et les métropoles, peuvent également proposer aux collectivités qui en sont membres les services d’un délégué mutualisé.

Afin de sensibiliser les collectivités à leur nécessaire préparation, la CNIL va adresser prochainement des courriers à plusieurs têtes de réseaux en soulignant la nouvelle logique d’accountability et la désignation obligatoire d’un délégué à la protection des données.

  • AMF Association des Maires de France et des présidents d’intercommunalité
  • ADCF Assemblée des Communautés de France
  • ADF Assemblée des Départements de France
  • ARF Régions de France
  • APVF Association des Petites Villes de France
  • AMRF Association des Maires Ruraux de France
  • FRANCE URBAINE
  • VILLES DE FRANCE
  • Association des Maires Ville et Banlieue de France
  • SNDGCT Syndicat national des Directeurs Généraux des Collectivités Territoriales
  • ADGCF Association des Directeurs généraux des Communautés de France
  • FNCDG Fédération Nationale des Centres de Gestion de la Fonction Publique Territoriale
  • FNCCR Fédération nationale des collectivités concédantes et régies (FNCCR)
  • Association DECLIC (fédère les structures départementales d’accompagnement et de mutualisation informatique des collectivités : asso, syndicats mixtes, CDG, agences techniques départementales)
  • Fédération des Entreprises Publiques Locales

Les mots clés associés à cet article