Rappel : Les enjeux du Règlement Général pour la Protection des Données (RGPD) au sein des collectivités territoriales et l’obligation de respect de ses prescriptions
Il faut rappeler aux élus que les collectivités territoriales sont amenées à traiter de nombreuses données personnelles, que ce soit dans le cadre de la sécurisation de leurs locaux (vidéosurveillance, contrôle d’accès, etc…) ou bien de la gestion administrative de leur personnel et des différents services qu’elles ont à charge (ressources humaines). Elles sont donc forcément concernées par le Règlement Général pour la Protection des Données (RGPD) adopté le 27 avril 2016 mais entré effectivement en vigueur à partir du 25 mai 2018, qui encadre strictement l’utilisation de ces données personnelles. Ce RGPD est venu ainsi renforcer la nécessité pour les collectivités de prendre en compte notamment l’obligation de transparence dans le traitement des données à caractère personnel.
Le RGPD a eu un fort impact sur le fonctionnement des collectivités, notamment en ce qui concerne les obligations en termes de formalités préalables. Ce dernier a entraîné la suppression totale du régime déclaratif, au profit du déploiement d’une solution de gouvernance des données personnelles. Ainsi, les collectivités territoriales doivent être en mesure de piloter leur mise en conformité avec le RGPD et de démontrer cette dernière, à tout moment. Le RGPD les oblige à plusieurs mesures telles que : analyse des impacts de certains traitements à risques sur la vie privée et la liberté des utilisateurs ; organisation de la détection et de la gestion des accidents survenus lors du traitement des données ; garantie de la confidentialité des données.
Les collectivités territoriales, tout comme les autres organismes concernés par le RGPD, sont également tenus de nommer un DPO (Data Protection Officer) - Délégué à la Protection des Données (article 37 du RGPD) et de lui fournir les moyens nécessaires à l’exercice de ses missions, à savoir :
- informer et conseiller le responsable et les agents de traitement des données personnelles ;
contrôler le respect du RGPD au sein de la structure en réalisant des audits ;
diffuser une culture relative à l’informatique et aux libertés dans les services concernés ;
conseiller la collectivité dans le déploiement d’une analyse d’impact concernant la protection des données ;
coopérer avec la CNIL (Commission Nationale de l’Informatique et des Libertés).
Néanmoins, elles ont la possibilité de mutualiser cette obligation (article 31 de la loi n°2018-493 du 20 juin 2018) ce qui leur permettra d’assumer en commun cette sujétion. Le DPO doit être choisi sur la base de ses connaissances du droit et des pratiques en matière d’application du RGPD. Toutefois, le RGPD n’impose pas aux collectivités de recourir à une profession particulière pour la désignation de leur DPO : aucun agrément n’est prévu, aucune exigence de diplôme ou condition statutaire n’est fixée. Il peut donc s’agir d’une personne physique ou morale issue du secteur juridique ou technique, en interne (agent titulaire ou contractuel) ou en externe (avocat, consultant, etc…).
Par ailleurs, les collectivités doivent notamment tenir un registre concernant le traitement des données (article 30 du RGPD). La tenue du registre par le responsable de traitement est l’occasion de sensibiliser les services aux enjeux de la protection des données. Dans les faits, ce registre est souvent tenu par le DPO. Pour avoir un registre exhaustif et à jour, il est nécessaire d’être en contact régulier avec toutes les personnes de la collectivité susceptibles de traiter des données personnelles. Chaque fiche du registre permet de vérifier :
- que les données traitées sont bien pertinentes et nécessaires à l’objectif poursuivi (principes de pertinence et de minimisation)
la nature des données traitées afin d’adopter des mesures de sécurité adaptées aux risques spécifiques associés aux données
que seuls les agents habilités ont accès aux données dont ils ont besoin
que les données ne sont pas conservées au-delà de ce qui est nécessaire en fixant précisément la durée de conservation et d’archivage des données (principe de durée limitée de conservation des données).
En ce qui concerne la base légale ou le fondement juridique qui autorise la collectivité à traiter des données personnelles, le RGPD prévoit 6 bases légales : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public et l’intérêt légitime. Les collectivités sont le plus souvent concernées par les bases légales suivantes : intérêt public et obligation légale. Dans la majorité des cas, les collectivités n’auront pas à recueillir le consentement. Toutefois, certains traitements devront tout de même reposer sur le consentement des personnes. En outre, au même titre qu’une entreprise, les collectivités sont dans l’obligation d’informer les personnes concernées des traitements qui les concernent. Sur la forme, cela signifie que la collectivité doit mettre à disposition ces informations par exemple sur son site internet en ce qui concerne la manière dont elle traite les données personnelles des administrés et la liste de ses sous-traitants.
A noter également que les élus des collectivités territoriales doivent impérativement mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données. En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérence avec les risques pour les droits et libertés des personnes concernées (ex : usurpation d’identité). Trois types de risques sont ainsi à considérer : l’accès illégitime à des données, leur modification non désirée et leur disparition. Lorsque des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées (courriels transmis à des mauvais destinataires, équipement perdu ou volé, publication involontaire de données sur internet, etc…), cela constitue une « violation de données ». Si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, elle doit être signalée à la CNIL dans les 72 heures. Cette notification s’effectue en ligne sur le site web de la CNIL : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles. Les collectivités sont donc dans l’obligation d’informer les personnes concernées et la CNIL dès lors que des violations de données personnelles sont observées.
Ces incidents peuvent avoir des conséquences très préjudiciables pour les personnes dont les données sont concernées et des répercussions réputationnelles négatives très importantes pour les collectivités responsables de traitement de ces données personnelles. De même, à défaut de mise aux normes RGPD, les conséquences financières peuvent également être particulièrement importantes pour les collectivités, car, outre des avertissements publics, la CNIL est autorisée par le RGPD à prononcer à l’encontre des collectivités territoriales ne respectant pas son cadre, des amendes administratives pouvant atteindre 20 millions d’euros. Ceci sans préjudice des possibilités de recours individuel des personnes concernées (article 82 du RGPD), voire d’une action de groupe (article 80 du RGPD).
— Dernière mise à jour le 17 octobre 2024
