Impacts du Règlement Européen relatif à la Protection des Données (RGPD) sur les collectivités territoriales

Cécile Vernudachi Avocat au Barreau de Paris – fondatrice de JCCV Avocats

Le règlement 2016/679/UE (ou RGPD) du 27 avril 2016 relatif à la protection des données personnelles entre en application dans 100 jours environ (le 25 mai prochain). Ce règlement, bien que d’application immédiate, fait l’objet d’une « incorporation » en droit français pour adapter la loi française[i].

« Il y aura une période de transition pour l’application du RGPD »…

« Les sanctions ne concerneront pas les collectivités territoriales car les amendes potentielles sont prélevées sur le budget de l’Etat »…

« Les petites communes ne sont pas concernée » …

Autant de fausses idées sur cette nouvelle réglementation :

  • en réalité, une période de 2 ans s’est déjà écoulée entre l’adoption du RGPD et son entrée en application le 25 mai 2018. Les organisations auront donc eu – en théorie –  ce délai pour commencer leur démarche de mise en conformité. Il n’y aura donc pas de phase de transition pour l’application du RGPD ;
  • même si l’on peut raisonnablement envisager que les collectivités ne seront pas d’emblée dans la cible des contrôles opérés par la CNIL, il n’en demeure pas moins que les sanctions financières peuvent toucher l’ensemble des acteurs concernés, y compris les collectivités territoriales ; mais quoi qu’il en soit, le plus grand risque n’est pas tant financier que d’image à l’égard des administrés ;
  • dans le secteur public, tous les acteurs sont concernés par le RGPD, et ce quelle que soit leur taille ; le RGPD n’a effectivement pas prévu de seuils, par conséquent mêmes les petites communes sont concernées et ce d’autant qu’elles auront l’obligation (comme l’ensemble des responsables de traitement relevant du secteur public) de désigner un Délégué à la Protection des Données ou DPO[ii].

Le RGPD ne révolutionne pas les principes de la protection des données personnelles car la loi française, dite loi « informatique et libertés »[iii] présente déjà un grand niveau d’exigences en la matière, connues pas de nombreuses collectivités qui ont déjà par exemple, nommé des Correspondants Informatiques et Libertés.

Le bouleversement apporté par le RGPD provient surtout du fait qu’il opère un véritable transfert de responsabilités vers les acteurs traitant des données personnelles : mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données devient ainsi une obligation légale. Si les formalités de déclarations préalables sont supprimées, le contrôle de conformité (et sa démonstration), lui, pèse sur l’organisme et plus sur l’autorité de contrôle (la CNIL).

Les collectivités sont particulièrement concernées dans la mesure où elles traitent au quotidien de nombreuses données personnelles, et qu’elles gèrent également un parc applicatif souvent très important (télé-procédures, vidéosurveillance, stationnement, etc.). Ces traitements peuvent concerner des données sensibles (police municipale, aide sociale…), au sens du RGPD, dont la sécurisation est un enjeu capital.

Plus concrètement, dans les chantiers de mise en conformité au RGPD, communs à tous les acteurs, quels sont les points d’attention (non exhaustifs) propres aux collectivités territoriales ?

  • Au préalable, les collectivités doivent analyser leur rôle au regard du traitement des données : elles sont a priori responsables des traitements qu’elles mettent en œuvre, mais le transfert de compétences (organisé par la loi – loi NOTRe du 7 août 2015) et/ou la délégation de compétences (au profit de structures intercommunales, par exemple) peuvent venir complexifier cette analyse ;
  • Elles devront anticiper et organiser la nomination d’un DPO, qui peut être, au besoin, mutualisé entre plusieurs collectivités ayant des traitements similaires (ce peut être le cas de plusieurs petites communes par exemple) et le cas échéant, externalisé (solution intéressante si la taille de la collectivité n’est pas trop importante) ; il pourra lui être assigné la tâche de tenir le registre des activités de traitement ;
  • La gestion des relations contractuelles avec les sous-traitants est un volet essentiel de la conformité : il s’agit de s’assurer que les prestations en cours sont effectuées en conformité avec les dispositions réglementaires et d’obtenir de la part des fournisseurs, le cas échéant en s’appuyant sur les clauses d’exécution des marchés, des informations sur leur niveau de sécurité, leur architecture technique, etc. permettant de vérifier qu’ils présentent des garanties suffisantes (article 28.1 du RGPD) ; pour les commandes à venir, qu’elles soient ou non passées en vertu des dispositions de l’ordonnance 2015-899 du 23 juillet 2015 relatives aux marchés publics, il deviendra obligatoire d’intégrer dans la documentation d’appel d’offre des clauses relatives au respect des données personnelles ;
  • Les collectivités devront également s’interroger sur la nécessité de conduire des analyses d’impact (EIVP) dans la mesure où le traitement est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques (article 35 § 1 3 et 4 du RGPD) : on pense par exemple, à la vidéosurveillance ou aux systèmes de lecture automatique des plaques d’immatriculation pour le stationnement, aux téléservices permettant la communication entre administrations et administrés[iv]
  • Les collectivités devront enfin travailler sur le chantier des notices ou mentions d’information à destination de leurs administrés puisque le RGPD a notablement augmenté leur nombre (ex. le fondement juridique du traitement, la durée de conservation), ces informations variant selon que les données ont été collectées ou non directement auprès de la personne concernée. La procédure de gestion des demandes d’accès ou de rectifications doit être également revue puisque les réponses doivent être désormais fournies sous 1 mois.

Le travail à accomplir est donc considérable et transverse, et doit être accompli en priorisant les chantiers et en sollicitant en mode projet les différents services impactés.

***

[i] Projet de loi adopté en première lecture par l’Assemblée Nationale le 13 février 2018.

[ii] « Data Protection Officer ».

[iii] Loi 78-17 du 6 janvier 1978 modifiée.

[iv] Ces téléservices sont soumis au référentiel général de sécurité (RGS) édité par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

Leave a Reply

Your email address will not be published. Required fields are marked *