RGPD : comment les collectivités locales sont-elles impactées ?
Les collectivités territoriales traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou la gestion des différents services publics et activités.
Certains de ces traitements présentent une sensibilité particulière, comme les fichiers d’aide sociale et ceux de la police municipale…
QUELS SONT LES ENJEUX DES COLLECTIVITÉS EN MATIÈRE DE PROTECTION DES DONNÉES ?
Le développement de l’administration électronique constitue un levier majeur de la modernisation de l’action publique.
Par ailleurs, le nombre de cyberattaques ne cesse d’augmenter, et ce, quel que soit la taille des organisations visées.
De plus, les citoyens sont de plus en plus soucieux de la manière dont leurs données sont utilisées.
Les nouveaux services numériques, pour qu’ils créent de la confiance auprès des administrés, doivent donc répondre aux exigences de protection des données dont la sécurité est une des composantes essentielles.
Enfin, la nécessité pour les collectivités de prendre en compte ces exigences est renforcée depuis l’entrée en application, le 25 mai 2018, du règlement européen sur la protection des données (RGPD).
En effet, le RGPD :
- Renforce les obligations en matière de transparence des traitements et de respect des droits des personnes,
- S’axe sur une logique globale de responsabilisation de l’ensemble des acteurs,
- Crédibilise la régulation de la « CNIL » en musclant son pouvoir de sanction : outre des avertissements publics, elles pourront prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou, pour une entreprise, 4% du chiffre d’affaires mondial.
EN QUOI LE RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES IMPACTE-T-IL LES COLLECTIVITÉS LOCALES ?
Une logique de responsabilisation
Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas, un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs privés et publics.
Ce changement de posture se traduit par une mise en conformité permanente et dynamique de la part des collectivités. Elles devront ainsi
- Adopter des mesures techniques et organisationnelles pour garantir une protection tout au long du cycle de vie des données
- Démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées.
Les prestataires de service hébergeant des données et tout organisme, public ou privé, auxquels les collectivités sous-traitent la mise en œuvre de leurs traitements de données personnelles devront participer à la mise en conformité des collectivités territoriales, en les aidant, sous peine de sanctions, à satisfaire aux exigences du RGPD.
La protection des données dès la conception et par défaut
Les collectivités devront intégrer les principes de protection des données dès la conception (Privacy by design) et par défaut (Privacy by default).
Il s’agira en particulier de minimiser au maximum, à tout point de vue et à tout moment, le traitement effectué.
Par exemple :
- Favoriser par principe les menus déroulants ou les cases à cocher plutôt que les zones de commentaires libres sur les formulaires de collecte et dans les bases de données internes, pour limiter dès le départ le nombre et la nature des données enregistrées ;
- Restreindre au maximum l’accès aux données en définissant strictement les habilitations et en précisant les opérations susceptibles d’être réalisées ;
- Pseudonymiser les données lorsque leur exploitation sous une forme identifiante n’est pas nécessaire ;
- Appliquer des mécanismes de purge/d’archivage automatique des données.
La gouvernance des données
Le RGPD, allège fortement les obligations en matière de formalités préalables. Le régime déclaratif auprès de la CNIL est totalement supprimé, au profit de la mise en place d’une gouvernance des données personnelles. Une bonne gouvernance nécessite la documentation des actions menées pour être en capacité de piloter et de démontrer la conformité.
Ainsi, les collectivités doivent :
- Tenir un registre de leurs activités de traitement,
- Notifier à la CNIL, voire aux personnes concernées, les violations de données personnelles,
- Effectuer des analyses d’impact sur la vie privée et les libertés pour certains traitements à risques
- Encadrer les opérations sous-traitées dans les contrats de prestation de services,
- Veiller à garantir la confidentialité des données,
- Organiser la prise en charge des demandes d’exercice des droits,
- Organiser la détection et la gestion des incidents de sécurité.
MISSIONS DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Le délégué, DPD (ou DPO en Anglais) a pour principales missions :
- D’informer et de conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents ;
- De diffuser une culture Informatique & Libertés au sein de la collectivité ;
- De contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier ;
- De conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- De coopérer avec la CNIL et d’être le point de contact de celle-ci.
Le délégué doit être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie et bénéficier d’une liberté dans les analyses et actions qu’il décide d’entreprendre.
Expertise et moyens
Le délégué à la protection des données doit disposer d’un niveau d’expertise et de moyens suffisants pour exercer son rôle de façon efficace.
Ainsi, il doit :
- Être désigné sur la base de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, mais également de sa bonne connaissance du secteur d’activité ;
- Être associé en temps utile et de manière appropriée à l’ensemble des questions Informatique & Libertés ;
- Bénéficier des ressources et formations nécessaires pour mener à bien ses missions.
Dans ce contexte, la mutualisation de la fonction de DPO apparaît constituer un enjeu essentiel pour les collectivités territoriales, notamment pour celles de petite taille qui combinent préoccupations identiques et moyens limités.
A quel niveau envisager la mutualisation du délégué à la protection des données ?
La mutualisation permet de limiter les coûts et de bénéficier de professionnels disposant des compétences et de la disponibilité nécessaires.
Que leur délégué soit interne, externe, mutualisé ou non, les collectivités ayant les mêmes préoccupations ont tout intérêt à travailler ensemble pour faciliter leurs démarches de mise en conformité.
De fructueux échanges collaboratifs (partage de connaissance, d’outils et bonnes pratiques) peuvent être effectués aussi bien au sein de réseaux locaux que nationaux.
Source : CNIL