Le Règlement général sur la protection des données (RGPD) entre en vigueur ce vendredi 25 mai 2018

Les conséquences pour les collectivités territoriales de ce nouveau règlement sont importantes, gérant de nombreuses données personnelles (fichiers de l’état civil, listes électorales, fichiers relatifs à la fiscalité locale, fichiers cadastraux, fichiers sociaux, fichiers de recensement de la population, fichiers des logements vacants, fichiers des associations subventionnées, fichiers des cantines scolaires, etc.) et recourent de plus en plus aux technologies et usages numériques (téléservices, open data, systèmes d’information géographique, « cloud computing », compteurs intelligents, réseaux sociaux, lecture automatique de plaques d’immatriculation…).

Pourtant le gouvernement n’avait rien prévu pour les collectivités dans le projet de loi relatif à la protection des données personnelles. Fidèles à notre mission de représentants des collectivité locales,  nous avons souhaité, au Sénat, modifier le texte afin que soit apportées :

– une aide pour les collectivités territoriales et leurs groupements à se mettre en conformité avec les nouvelles règles. Des conventions destinées à faciliter la mutualisation de leurs moyens pourront être conclues afin de réaliser des prestations de service liées au traitement de données à caractère personnel. De même, les collectivités pourront se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel ;

– et une adaptation des missions de la Commission nationale de l’informatique et des libertés (CNIL) aux spécificités de nos collectivités territoriales. La CNIL devra ainsi apporter une information adaptée aux collectivités territoriales et à leurs groupements. En outre, l’autorité devra tenir compte de la situation particulière des collectivités lorsqu’elle publiera ses lignes directrices, recommandations ou référentiels. Elle devra prendre en compte la situation des personnes dépourvues de compétences numériques, encore nombreuses dans nos territoires ruraux particulièrement touchés par la fracture numérique.

Pour autant, les députés du groupe majoritaire à l’Assemblée nationale ont refusé de voir les difficultés que l’application du RGPD suscite pour les collectivités territoriales et ont malheureusement :

-autorisé la CNIL à imposer aux collectivités territoriales et à leurs groupements des amendes administratives et des astreintes, alors que le Sénat les en avait exonérés puisque l’État lui-même en sera exonéré ;

– supprimé l’affectation prévue par le Sénat du produit des amendes prononcées par la CNIL au financement de mesures d’accompagnement destinées à aider les responsables de traitement à se mettre en conformité ;

– supprimé la dotation communale et intercommunale pour la protection des données à caractère personnel que le Sénat avait proposé de créer pour financer les efforts de mise ne conformité avec les nouvelles règles européennes.

Même si les principales formalités préalables sont désormais supprimées (disparition de la « déclaration à la CNIL » dans la majorité des cas), de nouvelles responsabilités pèsent sur les collectivités et les pouvoirs de sanction de la CNIL ont été renforcés.

Les collectivités territoriales et leurs groupements doivent donc bien prendre en compte les nouvelles exigences de protection des données :

– seules les données strictement nécessaires à la poursuite de certains objectifs clairement définis peuvent être légalement collectées et traitées ;

-les personnes concernées peuvent exercer plusieurs droits (droit d’accès, droit de rectification, droit à la portabilité, etc.) auxquels il faut pouvoir répondre dans les délais ;

– les personnes concernées doivent également être informées de ces droits par des mentions appropriées ;

– leurs prestataires et sous-traitants partagent avec eux ces nouvelles responsabilités (et des clauses contractuelles doivent être prévues pour leur rappeler leurs obligations en matière de sécurité, de confidentialité et de protection des données personnelles traitées);

– des mesures de sécurité appropriées doivent être mises en place, en fonction du risque du traitement.

En outre, la désignation d’un « délégué à la protection des données » devient obligatoire pour toutes les structures publiques, quelle que soit leur taille ; il succédera au « correspondant Informatique et libertés » et il est vivement conseillé de procéder au plus vite à sa nomination.

Le correspondant désigné pourra ainsi profiter des nombreux ateliers d’information généralistes et thématiques proposés gratuitement par la CNIL, ainsi que de son service dédié à l’accompagnement de ces professionnels dans leurs démarches de mise en conformité.

La CNIL référence les collectivités territoriales ayant d’ores et déjà désigné un correspondant, ce qui permet éventuellement de mutualiser cette fonction (au niveau de l’intercommunalité, ou d’un syndicat mixte, ou avec l’aide d’un centre de gestion, etc.).

La CNIL propose également une méthodologie en six étapes pour se préparer et anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018. La démarche permet d’accompagner les professionnels et de leur apporter une sécurité juridique maximale.

RGPD_6_etapes_CNIL Document de la Commission nationale de l’informatique et des libertés présentant les mesures à mettre en oeuvre pour être en conformité avec le Règlement général sur la protection des données (RGPD).