Données à caractère personnel : 5 pistes pour anticiper le projet de règlement européen

« Avec le règlement européen, les amendes passent de 150 000 à 20 millions d’euros ! » , prévient Virginie Langlet, correspondante informatique et libertés (CIL), du conseil départemental des Alpes-Maritimes. Les collectivités sont et seront soumises aux mêmes exigences que les entreprises, même si elles collectent et traitent des données à caractère personnel dans le cadre de leur mission de service public.

Le chantier va être lourd à mener pour ceux qui n’ont pas encore travaillé sur la conformité de leurs traitements. « Le règlement européen va nous obliger à remettre à plat tous nos process », souligne Flore Bonhomme, CIL de l’ancienne région Haute-Normandie. Il va falloir, par exemple, dans les mentions légales de tous les documents et formulaires, faire apparaître le consentement de l’individu et donc prévoir parfois des développements informatiques. « Dans un premier temps, il faut, a minima, mettre en place une politique de protection des données internes et des données externes », noteVirginie Langlet.

1- Désigner un CIL qui deviendra DPO

Nommer un CIL permet de commencer à mettre en œuvre les mesures permettant d’être près pour 2018. « Les désignations de CIL n’ont pas à être suspendues mais, au contraire, anticipées », insiste la CNIL. Pourtant, jusqu’à présent, nombreuses sont les collectivités n’ayant pas nommé de CIL⁽¹⁾. Et même parmi celles qui en ont désigné un, certains n’ont pas les moyens de mettre en place la conformité des traitements de données…

 

La désignation d’un CIL est d’autant plus recommandée que le projet de règlement prévoit pour les collectivités l’obligation de nommer un délégué à la protection des données (data protection officer, DPO). « Il sera un régulateur interne, comme une sorte de CNIL interne. Il faut donc se structurer avant de porter cette responsabilité. C’est pourquoi, selon moi, il est nécessaire dans un premier temps de nommer un CIL qui ne soit pas « un simple prête-nom ». Il aura deux ans pour bénéficier de tous les ateliers gratuites de la CNIL, participer aux réseaux existants, échanger des bonnes pratiques et mettre en œuvre les procédures adéquates… La charge de travail est très lourde et ces deux années ne sont pas de trop », souligne Virginie Langlet. La CNIL encourage aussi les collectivités à initier « le travail de réflexion autour des nécessaires mutualisations de délégués à mettre en place » au niveau des intercommunalités, des syndicats mixtes et des centres de gestion de la fonction publique territoriale.

2- Justifier des moyens à disposition

Avec le projet de règlement européen, l’autonomie et l’indépendance du DPO seront renforcées par rapport à celles du CIL. La collectivité aura l’obligation de le doter de moyens et devra pouvoir prouver qu’il est bien autonome. « Là encore cela se prépare, car, le plus souvent le CIL aujourd’hui travaille avec le budget des autres, c’est-à-dire qu’il n’a pas de budget propre. En revanche, ses recommandations peuvent avoir un coût. Il faut donc faire effectuer des extractions permettant de faire ressortir ces moyens qui peuvent être indirects, comme par exemple le temps passé par le CIL, l’emploi de stagiaires, les frais de reprographie, les frais de déplacements, la valorisation des formations en intra qu’il effectue… », explique Virginie Langlet.

3- Structurer sa documentation

Le projet de réglementation introduit la notion d' »accountability », le fait de devoir rendre compte. Il va donc falloir structurer son organisation et sa documentation, traitement par traitement, afin d’avoir toutes les pièces permettant de montrer que toutes les obligations ont bien été mises en place. « Jusqu’à présent, nous étions plutôt dans une culture de moyen, et le CIL avait un rôle d’accompagnement et de conseil.

 

Avec le règlement européen, le DPO sera plus dans une mission de contrôle. Nous entrons dans une culture du résultat et non plus de moyens. Nous ne serons plus sur le mode déclaratif, nous devrons prouver que les mesures préconisées afin que les traitements soient conformes auront bien été mises en œuvre », souligne Flore Bonhomme.

Là encore il faut se préparer dès à présent à cette démarche d’accountability. Par exemple, « dans les marchés, il apparaît nécessaire de prévoir dès maintenant l’obligation de traçabilité en lecture, écriture, modification… », recommande  Virginie Langlet. Selon elle, le dossier de demande du label gouvernance informatique et liberté de la CNIL est un bon exercice, et un très bon schéma directeur pour se préparer. « Il s’agit surtout d’avoir des procédures claires, adoptées et respectées par les agents, et une obligation de transparence en cas de faille de sécurité et/ou d’atteinte à la vie privée. Transparence envers l’autorité de contrôle mais également envers les usagers », complète la CIL du conseil départemental des Alpes-Maritimes. Il faudra également systématiser les études d’impact sur la vie privée.

4- Prévoir la communication en cas de fuite de données

Un ordinateur portable contenant des données sensibles perdu ou volé, une intrusion dans les bases de données à caractère personnelle… devront être signalés à partir de 2018, avec un impact non négligeable en termes d’image… En effet, l’article 31 du règlement prévoit la notification à l’autorité de contrôle d’une violation de données à caractère personnel, et l’article 32 la communication à la personne concernée. Le mieux est donc de se préparer en faisant une procédure en cas de violation. « Pour cela, il est nécessaire de se mettre autour de la table avec l’informatique, les métiers et imaginer ce qui peut se passer, comment le gérer, comment prévenir l’usager sans l’affoler… Ce n’est pas simple et il est clair que si la collectivité n’est pas préparée, ce sera encore plus dur à gérer », estime Virginie Langlet.

5- Profiter de la co-responsabilité

« Le règlement européen introduit la notion de co-responsabilité entre le responsable des traitements et ses prestataires. Jusqu’à présent, nous pouvions signer des accord de confidentialité, mais nous portions la responsabilité en cas de fuites de données. Dorénavant nous pourrons exiger d’avoir la garantie que le sous-traitant est bien conforme au règlement, et, nous pourrons l’auditer. Il va falloir formaliser cette co-responsabilité dans les conventions », souligne Flore Bonhomme.

 

La notion de « co-responsabilité » est très intéressante car les éditeurs notamment devront par exemple fournir des applications conformes au règlement. Pour l’instant, ils n’ont pas d’obligation de respect de la loi informatique et libertés, et c’est à la collectivité de s’assurer de prévoir cette conformité dans ses appels d’offre. « Actuellement, par exemple, si dans une application de frais de déplacement un champ a été prévu pour que l’agent indique son numéro de sécurité sociale, la collectivité doit demander au prestataire de retirer ce champ qui est totalement disproportionné au regard des besoins du traitement et donc interdit », explique Virginie Langlet. Sur ce point au moins devrait simplifier la vie des collectivités.

Cet article est en relation avec le dossier

• Données personnelles : un gisement sous haute protection