logo
Adresse de l'article https://www.lagazettedescommunes.com/558069/donnees-personnelles-quelles-responsabilites-pour-les-maires/

[TRIBUNE] RGPD
Données personnelles : quelles responsabilités pour les maires ?
Auteur associé | Actu juridique | Tribune | Publié le 03/04/2018

Le maire est le responsable des traitements de données de la commune. Maître Jérôme Deroulez revient sur les obligations qui pèseront sur le maire en matière de protection des données personnelles à compter du 25 mai prochain. Un constat qui peut être étendu à toutes les strates de collectivités.

protection donnees cnilAlors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière. La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.

Les communes jouent en effet un rôle-clé en matière de données personnelles, à travers notamment la collecte d’une multitude de données (fichiers de personnel ou des administrés, listes électorales, fichiers d’actions sociales ou des associations, plateformes dédiées au télé-service…) et parmi-elles des données sensibles ou particulièrement protégées (données relatives aux infractions, données biométriques, géolocalisation et vidéosurveillance, données de mineurs, données sociologiques etc…). Le recours accéléré au Big Data et les projets de villes intelligentes témoignent aussi de l’intérêt des communes pour un accès et une utilisation accrue de données et bien évidemment de données personnelles. Sans compter la problématique spécifique de l’open data.

Le rôle clé du maire

Il faut souligner tout d’abord que le règlement ne modifie pas les équilibres hérités de la loi Informatique et libertés et de la directive 95/46 et qu’à ce titre les maires, en tant que responsables de traitement au niveau de leurs communes, vont être des acteurs importants dans la mise en conformité.

La définition du responsable de traitement à l’article 4§7 du RGPD (la personne physique ou morale ; l’autorité publique, le service, ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement) souligne les contours des pouvoirs de direction et de contrôle du maire comme sa responsabilité lors de la mise en place de traitements de données personnelles.

Des obligations nombreuses

Le RGPD décline une série d’obligations que ce soit au titre du principe d’accountability remplaçant la plupart des déclarations ou de ses dispositions spécifiques qui devront faire l’objet d’une mise en œuvre par chaque commune.

Les maires devront ainsi assurer le respect des obligations suivantes :

Des responsabilités nouvelles

Ces obligations sont nombreuses et devront prendre en compte les spécificités propres à chaque commune, au regard des traitements de données et des risques particuliers qu’ils présentent. Ces obligations s’analysent aussi en des obligations de résultat (à l’exception des mesures techniques devant être mises en place au titre de la sécurité des données) et appellent donc une vigilance particulière de la part des maires au titre de leur responsabilité.

La responsabilité des maires est ainsi sensiblement étendue, alors que leur responsabilité pouvait déjà être engagée en matière pénale ou civile dans ce domaine (par exemple au titre de manquements à l’obligation de sécurité ou du détournement de finalités d’un traitement de données personnelles).

Le relèvement du niveau des sanctions administratives pouvant être prononcées au titre du RGPD soulignent enfin l’importance attachée à la protection de ce droit fondamental. Il faut noter que la CNIL et les autorités de contrôle prendront en compte le caractère délibéré ou non d’une violation de données ou les mesures techniques mises en œuvre pour en atténuer les effets, ce qui marque de facto la nécessité d’une mise en œuvre pro-active et efficace de ce règlement.

POUR ALLER PLUS LOIN