Selon la CNIL, à fin septembre, « 24 500 organismes ont désigné un délégué à la protection des données (DPD) ». L’effet RGDP est bien là puisqu’il y a aujourd’hui 13 000 DPD contre seulement 5000 CIL (correspondants informatique et libertés) avant le RGPD. Ce qui s’explique par le fait que la désignation d’un DPD est obligatoire, ce qui n’était pas le cas pour le CIL.
Les collectivités ont elles aussi progressé. Plus elles sont de tailles importantes, mieux elles respectent cette obligation. Ainsi, 99% des régions ont déjà un DPD, alors qu’elles n’étaient que 65% à avoir désigné un CIL en mai 2017. Les départements sont moins performants : seuls 70% se sont dotés d’un délégué, alors que la moitié avaient déjà un CIL. Les communes et les communautés de communes sont les plus en retard ! Seules 10 % d’entre elles ont un DPD. A leur décharge, elles n’étaient déjà que 2% à avoir un correspondant informatique et libertés…
Une quinzaine de collectivités a notifié des violations de données
D’autre part, le RGPD oblige les détenteurs de données à caractère personnel à notifier à la CNIL les incidents constituant « un risque au regard de la vie privée des personnes concernées ». En quatre mois, 600 notifications de violations de données (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) ont été envoyées à la CNIL. Une quarantaine parmi elles concernaient des administrations publiques dont une quinzaine était des collectivités.
Bientôt des fiches pratiques…
Les équipes de la CNIL travaillent sur des outils qui permettront aux entreprises et aux collectivités de mieux comprendre et mettre en place le RGPD. Par exemple, un « règlement-type » biométrie a été mis en consultation tout le mois de septembre 2018. Un référentiel sur les ressources humaines devrait être adopté prochainement, et un MOOC pour s’informer sur les principes fondamentaux du RGPD va ouvrir. La CNIL prévoit aussi la publication, sur son site Internet, de fiches pratiques pour les collectivités locales, sur les téléservices, l’administration électronique… Elle n’a cependant pas pu nous dire quand ces fiches seraient consultables.
…et une ordonnance d’ici à six mois
Par ailleurs, la CNIL a précisé que « la loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le cadre juridique européen. Ces textes permettent la mise en œuvre concrète du RGPD et de la Directive « police-justice », applicable aux fichiers de la sphère pénale. La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise dans un délai de six mois. »
Cet article fait partie du Dossier
Données personnelles : un gisement sous haute protection
Sommaire du dossier
- Données personnelles : ce que dit la (nouvelle) loi française
- RGPD : une formation révèle l’ampleur du chantier pour les petites communes
- A qui appartiennent les données personnelles détenues par les collectivités territoriales ?
- Le bloc communal à la traîne pour désigner les délégués à la protection des données
- Une nouvelle certification pour les délégués à la protection des données
- Protection des données personnelles: une responsabilité des collectivités très encadrée
- Données personnelles : un délégué externalisé, la solution pour bon nombre de collectivités
- Point complet sur le règlement européen relatif aux données personnelles
- RGPD : les RH doivent s’interroger sur le traitement des données de leurs agents
- « Le self data permet au citoyen d’améliorer son quotidien »
- Le self data met l’habitant au centre des décisions sur son territoire
- Comment gérer les droits des agents et des administrés en matière de données personnelles en 7 étapes
- Données personnelles : la mise en conformité n’attend plus
- Données personnelles : 5 règles à respecter pour protéger les citoyens
- Données à caractère personnel : « Les citoyens demandent des règles claires et précises »
- Améliorer les services, mieux cibler les politiques publiques, avec les données personnelles
- Charente-Maritime : les agents sensibilisés à la protection des données à caractère personnel
- Les données personnelles, une denrée sous-utilisée par les collectivités
Thèmes abordés