Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Collectivités territoriales et protection des données personnelles : comment se mettre en conformité à la nouvelle règlementation ?

Par Betty Sfez et Elsa Geandrot, Avocats.

Les collectivités territoriales procèdent à la collecte et au traitement d’informations nominatives concernant leurs agents et leurs administrés. Ces opérations, donnant lieu à la création de nombreux fichiers et bases de données, seront soumises dans quelques mois à de nouvelles obligations.

Les impacts et enjeux de la nouvelle réglementation pour les collectivités territoriales

Le 25 mai 2018, un nouveau Règlement européen portant sur la protection des données personnelles (dit « RGPD » ou « GDPR ») sera applicable à l’ensemble des pays membres de l’Union européenne. Ce texte pose un socle commun de règles contraignantes venant renforcer les droits des personnes concernées (clients, utilisateurs, administrés, salariés et agents) et la responsabilité des organismes privés comme publics qui traitent des données personnelles.

Le manquement à ces nouvelles obligations (y compris la négligence) sera sévèrement sanctionné par les autorités compétentes (ex : la CNIL pour la France), des amendes administratives à hauteur de 20 millions d’euros pouvant être prononcées.

Les collectivités territoriales inscrites dans un processus de transformation numérique de leur administration et des services qu’elles délivrent sont tout particulièrement concernées par les nouvelles obligations découlant de cette réforme, et ce quelle que soit leur taille.

Elles collectent, stockent, échangent et transfèrent en masse des données, notamment : via les nombreux services aux usagers (ex : les portails internet et autres téléservices locaux) ; les dispositifs de contrôle et sécurité (ex : vidéoprotection sur la voie publique) ou encore les projets de villes intelligentes (« smart cities »). Ces traitements impliquent la création de nombreuses bases de données tels que les fichiers d’état civil, de recensement, de liste électorale, de logements sociaux, d’associations subventionnées, d’établissements scolaires et sportifs, de transports communaux et de restaurants scolaires, etc.

Au-delà de ces contraintes légales et des sanctions, l’utilisation responsable et sécurisée des données collectées constitue un véritable enjeu d’accès au droit, d’égalité de traitement, de protection des citoyens et de confiance des administrés en leurs élus.

Les mesures à anticiper et les actions à mener par les collectivités territoriales

Compte tenu de l’échéance et des enjeux, les collectivités doivent impérativement lancer dès à présent, des actions de mise en conformité à la règlementation telles que :

  • Désigner un Délégué à la protection des données (ou « DPO ») interne ou externe ou encore mutualisé, qui en tant que garant de la conformité des traitements au règlement initiera et mettra en œuvre les actions nécessaires. Cette désignation est désormais obligatoire pour les collectivités ;
  • Obtenir une cartographie complète des traitements effectués par la collectivité par le biais d’audits juridique et technique ;
  • Créer et/ou mettre à jour de la documentation et des procédures internes, à communiquer à la CNIL en cas de contrôle, sous forme de registre, charte ou note d’information (ex : en cas de violation des données et de notification d’incident aux autorités ou pour la gestion des réclamations) ;
  • Mettre à jour la documentation d’appel d’offres des marchés publics, afin d’obtenir des partenaires et sous-traitants des garanties sérieuses, mais aussi de limiter sa responsabilité ;
  • Fournir une information loyale et effective aux administrés, utilisant les portails internet ou téléservices, quant à la gestion de leurs données (ex : adaptation des mentions légales, des CGV/CGU) ;
  • Garantir aux administrés l’effectivité de leurs droits d’accès, de rectification, d’opposition, de limitation, à l’effacement ou encore à la portabilité de leurs données ;
  • Sensibiliser et former régulièrement les agents de la fonction publique territoriale aux enjeux de la protection des données (ateliers de formation, fiches pratiques, etc.).

Betty SFEZ & Elsa GEANDROT
Avocats

Cabinet Sfez Avocats
http://www.avocats-sfez.fr

Cabinet Talens Avocats
http://www.talens-avocats.com

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

24 votes