Les impacts et enjeux de la nouvelle réglementation pour les collectivités territoriales
Le 25 mai 2018, un nouveau Règlement européen portant sur la protection des données personnelles (dit « RGPD » ou « GDPR ») sera applicable à l’ensemble des pays membres de l’Union européenne. Ce texte pose un socle commun de règles contraignantes venant renforcer les droits des personnes concernées (clients, utilisateurs, administrés, salariés et agents) et la responsabilité des organismes privés comme publics qui traitent des données personnelles.
Le manquement à ces nouvelles obligations (y compris la négligence) sera sévèrement sanctionné par les autorités compétentes (ex : la CNIL pour la France), des amendes administratives à hauteur de 20 millions d’euros pouvant être prononcées.
Les collectivités territoriales inscrites dans un processus de transformation numérique de leur administration et des services qu’elles délivrent sont tout particulièrement concernées par les nouvelles obligations découlant de cette réforme, et ce quelle que soit leur taille.
Elles collectent, stockent, échangent et transfèrent en masse des données, notamment : via les nombreux services aux usagers (ex : les portails internet et autres téléservices locaux) ; les dispositifs de contrôle et sécurité (ex : vidéoprotection sur la voie publique) ou encore les projets de villes intelligentes (« smart cities »). Ces traitements impliquent la création de nombreuses bases de données tels que les fichiers d’état civil, de recensement, de liste électorale, de logements sociaux, d’associations subventionnées, d’établissements scolaires et sportifs, de transports communaux et de restaurants scolaires, etc.
Au-delà de ces contraintes légales et des sanctions, l’utilisation responsable et sécurisée des données collectées constitue un véritable enjeu d’accès au droit, d’égalité de traitement, de protection des citoyens et de confiance des administrés en leurs élus.
Les mesures à anticiper et les actions à mener par les collectivités territoriales
Compte tenu de l’échéance et des enjeux, les collectivités doivent impérativement lancer dès à présent, des actions de mise en conformité à la règlementation telles que :
Désigner un Délégué à la protection des données (ou « DPO ») interne ou externe ou encore mutualisé, qui en tant que garant de la conformité des traitements au règlement initiera et mettra en œuvre les actions nécessaires. Cette désignation est désormais obligatoire pour les collectivités ;
Obtenir une cartographie complète des traitements effectués par la collectivité par le biais d’audits juridique et technique ;
Créer et/ou mettre à jour de la documentation et des procédures internes, à communiquer à la CNIL en cas de contrôle, sous forme de registre, charte ou note d’information (ex : en cas de violation des données et de notification d’incident aux autorités ou pour la gestion des réclamations) ;
Mettre à jour la documentation d’appel d’offres des marchés publics, afin d’obtenir des partenaires et sous-traitants des garanties sérieuses, mais aussi de limiter sa responsabilité ;
Fournir une information loyale et effective aux administrés, utilisant les portails internet ou téléservices, quant à la gestion de leurs données (ex : adaptation des mentions légales, des CGV/CGU) ;
Garantir aux administrés l’effectivité de leurs droits d’accès, de rectification, d’opposition, de limitation, à l’effacement ou encore à la portabilité de leurs données ;
Sensibiliser et former régulièrement les agents de la fonction publique territoriale aux enjeux de la protection des données (ateliers de formation, fiches pratiques, etc.).
