Le bloc communal à la traîne pour désigner les délégués à la protection des données

Selon la CNIL, à fin septembre, « 24 500 organismes ont désigné un délégué à la protection des données (DPD) ». L’effet RGDP est bien là puisqu’il y a aujourd’hui 13 000 DPD contre seulement 5000 CIL (correspondants informatique et libertés) avant le RGPD. Ce qui s’explique par le fait que la désignation d’un DPD est obligatoire, ce qui n’était pas le cas pour le CIL.

Les collectivités ont elles aussi progressé. Plus elles sont de tailles importantes, mieux elles respectent cette obligation. Ainsi, 99% des régions ont déjà un DPD, alors qu’elles n’étaient que 65% à avoir désigné un CIL en mai 2017. Les départements sont moins performants : seuls 70% se sont dotés d’un délégué, alors que la moitié avaient déjà un CIL. Les communes et les communautés de communes sont les plus en retard ! Seules 10 % d’entre elles ont un DPD. A leur décharge, elles n’étaient déjà que 2% à avoir un correspondant informatique et libertés…

Une quinzaine de collectivités a notifié des violations de données

D’autre part, le RGPD oblige les détenteurs de données à caractère personnel à notifier à la CNIL les incidents constituant « un risque au regard de la vie privée des personnes concernées ». En quatre mois, 600 notifications de violations de données (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) ont été envoyées à la CNIL. Une quarantaine parmi elles concernaient des administrations publiques dont une quinzaine était des collectivités.

Bientôt des fiches pratiques…

Les équipes de la CNIL travaillent sur des outils qui permettront aux entreprises et aux collectivités de mieux comprendre et mettre en place le RGPD. Par exemple, un « règlement-type » biométrie a été mis en consultation tout le mois de septembre 2018. Un référentiel sur les ressources humaines devrait être adopté prochainement, et un MOOC pour s’informer sur les principes fondamentaux du RGPD va ouvrir. La CNIL prévoit aussi la publication, sur son site Internet, de fiches pratiques pour les collectivités locales, sur les téléservices, l’administration électronique… Elle n’a cependant pas pu nous dire quand ces fiches seraient consultables.

…et une ordonnance d’ici à six mois

Par ailleurs, la CNIL a précisé que « la loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le cadre juridique européen. Ces textes permettent la mise en œuvre concrète du RGPD et de la Directive « police-justice », applicable aux fichiers de la sphère pénale. La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise dans un délai de six mois. »