Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Data

De l’urgence de protéger les données personnelles

Publié le 08/12/2016 • Par Claire Chevrier • dans : Dossiers d'actualité, France, Innovations et Territoires, Régions

Contrôle ordinateur
Fotolia
Le règlement européen de 2018 sur les données personnelles impose une obligation de résultats avec la mise en place de procédures de documentation et de sécurité.Les collectivités doivent nommer, d’ici au 25 mai 2018, un délégué à la protection des données et se mettre en conformité avec la loi, sous peine d’une très lourde amende.Il s’agit de désigner au plus vite une personne qui recense tous les traitements de données à caractère personnel, prépare les procédures spécifiques et sensibilise les agents.

La loi pour une République numérique, applicable courant 2017, et le Règlement général sur la protection des données (RGPD), qui lui, entrera en vigueur en 2018 dans tous les pays de l’Union européenne, contribuent à mieux protéger les données à caractère personnel, et donc la vie privée des citoyens.

Des amendes dissuasives

Les sanctions financières fixées sont dissuasives : « Les amendes qui sont de 300 000 euros maximum aujourd’hui, vont passer à 3 millions début 2017, et à 10 ou 20 millions d’euros à partir du 25 mai 2018. Les collectivités doivent vraiment prendre conscience du fait qu’elles sont soumises à la loi informatique et libertés et à ce nouveau règlement », souligne Virginie Langlet, correspondante informatique et libertés (CIL) du conseil départemental des Alpes-Maritimes (1,1 million d’habitants).

Pour celles qui n’ont encore rien mis en œuvre en termes de données à caractère personnel, le RGPD constitue une marche très haute à franchir…

Il impose à toutes les collectivités, quelle que soit leur taille, de se doter d’un délégué à la protection des données (DPO) d’ici au 25 mai 2018. Toutefois, l’article 37 du règlement autorise à avoir un délégué mutualisé ou en sous-traitance, via par exemple un contrat de service. Si un correspondant informatique et libertés existe déjà, il pourra être nommé DPO.

Incontournable délégué

Ce délégué deviendra incontournable. « Attention toutefois à ne pas confondre vitesse et précipitation, prévient maître Isabelle Cantero, avocat au sein du cabinet Caprioli & Associés. Avant de nommer ce DPO, s’il est en interne, certaines grandes collectivités mettent en place un comité de pilotage afin d’envisager quel sera le meilleur positionnement dans l’organigramme. »

Le règlement européen introduit, par ailleurs, le principe de protection de la vie privée dès la conception (privacy by design) : les agents devront donc être sensibilisés à l’importance de mettre dans la boucle le DPO dès le début des projets.

Démontrer l’efficacité des mesures

Le RGPD instaure aussi un système de contrôle a posteriori.

La collectivité doit pouvoir démontrer l’efficacité des mesures qu’elle a prises (principe d’ »accountability », de responsabilité) alors que, jusqu’à présent, la démarche consiste en un contrôle a priori de la Commission nationale de l’informatique et des libertés (Cnil).

Il va falloir mettre en place des analyses d’impact sur la vie privée pour les traitements à risque et retravailler le respect des droits dévolus aux usagers, car un manquement à ces droits pourra être sanctionné d’une amende allant jusqu’à 20 millions d’euros !
La sécurité des données à caractère personnel devra enfin être renforcée afin d’empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Le règlement prévoit qu’en cas de faille de sécurité (avec le vol ou la perte de données), la Cnil soit informée, et parfois aussi, les usagers. Il est donc nécessaire de s’y préparer en créant une procédure en cas de violation de données.

« Pour cela, il faut se mettre autour de la table avec l’informatique, les métiers et imaginer ce qui peut se passer, comment le gérer, comment prévenir l’usager sans l’affoler… » explique Virginie Langlet.

Etablir un pré-inventaire

La tâche peut sembler gigantesque aux collectivités qui n’ont pas encore travaillé le sujet des données à caractère personnel. Se mettre en conformité avec la loi « informatique et libertés » constitue une première étape…

Pour y arriver, une cartographie complète des traitements présents au sein de la collectivité doit être établie.

« Pour faire un pré-inventaire, j’ai fait jouer l’article 31 de la loi « informatique et libertés » qui permet de récupérer auprès de la Cnil tout ce qui a déjà été déclaré », explique Isabelle Rio, CIL à temps partiel pour la communauté d’agglomération Caux vallée de Seine (68 000 habitants, Seine-Maritime) depuis septembre.

En même temps qu’elle rédige son registre recensant tous les traitements de la collectivité, elle commence à organiser des réunions dans les services pour faire un point juridique, attirer l’attention des agents sur le fait qu’ils vont devoir lui signaler tout nouveau traitement dès sa conception, détruire les fichiers après un certain temps…

« J’espère pouvoir mener une action de sensibilisation à l’occasion de la semaine de la sécurité qui se tiendra en mai, et je vais aussi essayer d’intervenir lors des deux sessions d’intégration des nouveaux arrivants qui sont organisées chaque année », ajoute-t-elle.

Une grille d’analyse mise en ligne par la Cnil

Les collectivités peuvent s’appuyer sur plusieurs outils mis à leur disposition sur le site de la Cnil, comme le guide pratique de la prise de fonction du CIL, le guide des traitements des collectivités et le kit de la réforme territoriale.

« Il faut mener une réflexion sur sa documentation pour voir comment l’adapter aux nouvelles exigences du règlement.

Pour les analyses d’impact sur la vie privée, l’autorisation unique AU-053 sur la biométrie publiée récemment par la Cnil propose une grille d’analyse qui a l’avantage d’être pédagogique. Il est intéressant de s’en inspirer », conseille maître Isabelle Cantero.

Afin de préparer l’arrivée de l’accountability, « la Cnil nous demande de plus en plus de documenter nos traitements. Pour la mise en place du compte personnel de formation, la commission demande qu’un dossier technique décrivant le traitement et les mesures de sécurité mises en œuvre soit annexé à la déclaration », détaille Flore Bonhomme (lire ci-dessous), CIL de la région Normandie (3,3 millions d’hab.) .

Label, ateliers gratuits et mutualisation

De plus, le label Cnil « gouvernance informatique et libertés », dont le référentiel a été élaboré à la lumière du règlement européen, permet d’évaluer son process existant et donne des pistes sur l’organisation et les procédures à mettre en œuvre.

« Nous avons réalisé qu’en suivant le cahier des charges de ce label, nous serions conformes au nouveau règlement européen. Nous avons donc pris ses 25 points d’exigence afin de nous auto-évaluer, et savoir ce qu’il nous restait à faire », confirme Marie-Laure Baron, CIL du conseil départemental de Charente-Maritime (633 400 habitants).

Elle estime que sa mise en conformité va nécessiter au moins 220 jours hommes (journées de travail).

Afin de valoriser tous ces efforts, le conseil départemental a d’ailleurs prévu de déposer courant 2017, un dossier de demande de label auprès de la Cnil.

S’il l’obtient, il pourra communiquer auprès de ses usagers sur la qualité de ses procédures, comme le fait déjà celui des Alpes-Maritimes.

Pour effectuer tout ce travail, il est recommandé, même si ce n’est pas obligatoire, de désigner rapidement un correspondant informatique et libertés.

« Ces personnes pourront bénéficier des ateliers proposés à titre gracieux par la Cnil. Ces nouveaux CIL auront 18 mois pour monter en compétences et toucher du doigt le sujet », rappelle Virginie Langlet.

C’est la démarche qu’a suivie Isabelle Rio : « J’ai demandé à être nommée correspondante pour accéder à l’extranet de la Cnil et avoir des informations privilégiées que je n’aurais pas eues autrement. »

Savoir s’il existe un délégué mutualisé à proximité

Encore peu de collectivités ont nommé un CIL, mais depuis la publication du règlement européen « on note une recrudescence des nominations de CIL mutualisés, au niveau de structures telles que les centres de gestion, les syndicats mixtes en charge de l’informatique et des EPCI », remarque Alice de la Mure, juriste au service des CIL de la Cnil.

C’est le cas, des centres de gestion de l’Oise et de Meurthe-et-Moselle ou de l’Agence landaise pour l’informatique.

Il est donc utile de se renseigner pour savoir si, sur son territoire, certains acteurs ont prévu de mettre en place des DPO mutualisés.

Avantage: les collectivités seront en conformité avec la loi. Elles pourront obtenir le label de la Cnil et le faire valoir.
Inconvénient: il y a encore peu de projets de mutualisation de correspondant ou de délégué spécialisé. L’urgence ne doit pas pousser à signer avec des consultants attirés par un marché lucratif.

« La solution pour les collectivités sera d’externaliser leur référent »

Christophe Champoussin, consultant et CIL externe

Dans une grande majorité des cas, la seule solution pour les collectivités sera d’externaliser leur délégué à la protection des données (DPO), en passant par la mutualisation ou via un contrat de services. Beaucoup de communes de moins de 10 000 habitants ne peuvent avoir en interne une personne aussi spécialisée. Les communautés de communes ou d’agglomération, les syndicats informatiques, les centres de gestion peuvent être le bon type d’interlocuteurs pour proposer des CIL, puis des DPO mutualisés. La difficulté sera de faire remonter l’information vers le CIL externe.

« Nous traçons toutes les actions qui garantissent la sécurité des données »

Flore Bonhomme, CIL de la région Normandie

Flore Bonhomme

Flore Bonhomme

Les agents sont sensibilisés depuis plusieurs années et des procédures ont été élaborées. Mon objectif pour 2018 est de vérifier qu’elles sont bien conformes et les systématiser. Nous faisons déjà le travail de documentation qu’exige l’accountability (le principe de responsabilité, ndlr) : nous avons mis en place un dossier par traitement afin de tracer toutes les actions réalisées qui garantissent la sécurité et la confidentialité des données. On me soumet les cahiers des charges ou les conventions afin d’intégrer les obligations d’hébergement des données, de mesures de sécurité… Nous ne partons pas de rien et sommes relativement sereins.

Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

De l’urgence de protéger les données personnelles

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X