Alors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière. La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.
Les communes jouent en effet un rôle-clé en matière de données personnelles, à travers notamment la collecte d’une multitude de données (fichiers de personnel ou des administrés, listes électorales, fichiers d’actions sociales ou des associations, plateformes dédiées au télé-service…) et parmi-elles des données sensibles ou particulièrement protégées (données relatives aux infractions, données biométriques, géolocalisation et vidéosurveillance, données de mineurs, données sociologiques etc…). Le recours accéléré au Big Data et les projets de villes intelligentes témoignent aussi de l’intérêt des communes pour un accès et une utilisation accrue de données et bien évidemment de données personnelles. Sans compter la problématique spécifique de l’open data.
Le rôle clé du maire
Il faut souligner tout d’abord que le règlement ne modifie pas les équilibres hérités de la loi Informatique et libertés et de la directive 95/46 et qu’à ce titre les maires, en tant que responsables de traitement au niveau de leurs communes, vont être des acteurs importants dans la mise en conformité.
La définition du responsable de traitement à l’article 4§7 du RGPD (la personne physique ou morale ; l’autorité publique, le service, ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement) souligne les contours des pouvoirs de direction et de contrôle du maire comme sa responsabilité lors de la mise en place de traitements de données personnelles.
Des obligations nombreuses
Le RGPD décline une série d’obligations que ce soit au titre du principe d’accountability remplaçant la plupart des déclarations ou de ses dispositions spécifiques qui devront faire l’objet d’une mise en œuvre par chaque commune.
Les maires devront ainsi assurer le respect des obligations suivantes :
- La tenue d’un registre de traitement (article 30§1) par le responsable de traitement et les sous-traitant, ce registre devant contenir pour le responsable de traitement, ses coordonnées, les finalités des traitements, les personnes concernées, les destinataires des données personnelles, les éventuels transferts de données ou encore une description des mesures de sécurité ;
- La mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32§1) à travers la gestion des mots de passes, un contrôle adéquat d’accès aux fichiers et documents, la mise en place d’une charte informatique ou la pseudonymisation des données personnelles ;
- La conduite d’études d’impact si nécessaire, quand un traitement est effectué grâce à des technologies nouvelles, ou qu’en raison de la nature, de la portée ou des finalités du traitement, ce dernier est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 35§1) ;
- La nomination obligatoire d’un DPO, (article 37§1.a) (contrairement à la désignation d’un CIL qui était facultative). A ce titre, la CNIL a relevé qu’au 11 juillet 2017, seules 2% des communes avaient désigné un CIL et encouragé le recours à la mutualisation d’un DPO afin de limiter les coûts et de bénéficier de professionnels qualifiés ;
- Le suivi et l’audit des contrats en matière de protection des données, notamment lors du recours à la sous-traitance, afin de définir les obligations et responsabilités respectives.
- La mise en place de mesures techniques et organisationnelles destinées à garantir l’effectivité des droits garantis par le RGPD aux articles 12 à 22 (droit d’accès, rectification, modification, opposition…). A noter que le droit à la portabilité ne trouvera pas à s’appliquer pour les données collectées sur le fondement d’une obligation légale. Les personne concernées devront enfin être informées de leurs droits via un affichage dédié ou des campagnes d’information spécifiques ;
- La finalisation des procédures destinées à avertir la CNIL cas de violation des données à caractère personnel -si possible dans un délai de 72 après en avoir pris connaissance (article 33§1)- et à communiquer cette violation aux personnes concernées dans les meilleurs délais (article 34).
Des responsabilités nouvelles
Ces obligations sont nombreuses et devront prendre en compte les spécificités propres à chaque commune, au regard des traitements de données et des risques particuliers qu’ils présentent. Ces obligations s’analysent aussi en des obligations de résultat (à l’exception des mesures techniques devant être mises en place au titre de la sécurité des données) et appellent donc une vigilance particulière de la part des maires au titre de leur responsabilité.
La responsabilité des maires est ainsi sensiblement étendue, alors que leur responsabilité pouvait déjà être engagée en matière pénale ou civile dans ce domaine (par exemple au titre de manquements à l’obligation de sécurité ou du détournement de finalités d’un traitement de données personnelles).
Le relèvement du niveau des sanctions administratives pouvant être prononcées au titre du RGPD soulignent enfin l’importance attachée à la protection de ce droit fondamental. Il faut noter que la CNIL et les autorités de contrôle prendront en compte le caractère délibéré ou non d’une violation de données ou les mesures techniques mises en œuvre pour en atténuer les effets, ce qui marque de facto la nécessité d’une mise en œuvre pro-active et efficace de ce règlement.
Cet article est en relation avec le dossier
Domaines juridiques
