Village de la Justice : Petit retour en arrière, après le grand chamboulement du RGPD, aviez-vous connu un retour au calme en 2019, puis connaissez-vous un retour sur le devant de la scène avec cette crise ?
William Gonzalez :
"Tout d’abord, la mise en conformité RGPD est une démarche continue, progressive et qui doit s’inscrire dans le long terme. L’année 2019 a été une année pour construire une organisation au sein des services métiers des communes avec la désignation de référents. Une année pour s’approprier les enjeux du RGPD et impliquer l’ensemble des services de la collectivité, donc pas de retour au calme pour 2019 bien au contraire. Le délégué à la protection des données doit veiller à que cette démarche soit pérenne dans le temps. La protection des données personnelles doit maintenant faire partie du quotidien des services.
La crise sanitaire a impacté l’organisation du travail dans les collectivités, la mise en place du télétravail a été une des solutions pour assurer la continuité du service public.
Mais cette période est aussi propice à la cybercriminalité et le DPO a un rôle important à jouer pour sensibiliser le personnel en rappelant les bonnes pratiques en matière de protection des données.
Dans ce contexte de crise, renforcer les mesures de sécurité informatique est une nécessité, j’ai donc alerté l’ensemble des directions et les services informatiques. Des mails malveillants circulent, et la messagerie électronique reste un vecteur important de propagation de virus et de vol de données. (Phishing, cryptovirus...)
J’ai aussi été mobilisé par la cellule de crise de la ville de Fleury-les-Aubrais pour donner mon éclairage sur l’utilisation de données personnelles notamment dans la communication avec les parents d’élèves.
La crise génère très souvent des actions dans l’urgence mais cela ne doit pas être un prétexte pour ne pas préserver la vie privée des personnes.
Donc assez surpris finalement que la protection des données ne passe pas au second plan, cela montre que les décideurs maîtrisent mieux les enjeux et je suis ravi que le respect de notre vie privée prenne une place de plus en plus importante dans notre société."
Comment êtes-vous associé en tant que DPO à cette crise sanitaire dans votre mairie ? Êtes vous amenés à traiter de nouvelles données (liées à la santé), notamment pour la distribution des masques ?
"Les référents RGPD désignés dans les collectivités me sollicitent directement dès qu’une question se pose au sujet de la protection des données. Que ce soit pour une question juridique ou technique, on n’hésite plus à m’associer en amont de la décision. Je joue un rôle de conseil et je reste en veille permanente avec mes principales ressources que sont notamment la CNIL, l’ANSSI, l’AFCDP.
Effectivement, les collectivités sont chargées de distribuer des masques à leurs administrés. D’ailleurs la CNIL a publié des recommandations quant à l’utilisation de fichiers existants et la constitution de nouveaux traitements de données à caractère personnel dans le cadre de ces opérations de distribution de masques. La mise en place de ce dispositif n’a pas nécessité de traiter de nouvelles données liées à la santé.
La collecte des données de santé est très encadrée par la loi et le contexte de crise sanitaire n’échappe pas à cette règle.
Une commune est légitime pour rappeler à ses agents, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination au virus Covid-19. Pour ce faire, il est légal de constituer un traitement de données personnelles pour suivre ces signalements en respectant les principes du RGPD. En revanche, il n’est pas autorisé de mettre en un place un traitement de données personnelles pour collecter la température corporelle des agents ou de certaines pathologies susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19."
Quelles sont les inquiétudes de vos interlocuteurs sur la collecte des données spécialement dans le cadre du Covid et la manière dont vous les gérez ?
"Pour lever les inquiétudes, il faut appliquer un des principes fondamentaux du RGPD, "le droit à l’information". Dans une gestion de crise, une information complète et précise est primordiale, cela participe à rassurer les personnes et c’est aussi une des obligations du règlement européen.
Il faut rappeler aux personnes concernées la façon dont leurs données sont traitées à savoir :
quelles sont les finalités du traitement ;
sur quelle base juridique on s’appuie pour mettre en œuvre le traitement ;
le type de données collectées et les destinataires de ces données ;
la durée de conservation des données ;
la possibilité d’exercer ces droits et de contacter le délégué à la protection des données ou bien en dernier recours de saisir la CNIL."
Avec les projets d’application liés au tracking des malades, quelles sont vos craintes ?
"Ma principale crainte c’est le traçage généralisé de l’ensemble de la population avec une analyse de nos déplacements et de nos modes de vie.
Je ne suis pas contre une application mobile pour combattre la pandémie mais celle-ci doit garantir une totale sécurité de nos données et être utilisée uniquement le temps de cette crise sanitaire.
Je reste confiant car la CNIL s’est emparée du sujet et qu’en France nous sommes attachés au respect de notre vie privée. Mais je garde toujours en tête que la surveillance de masse existe (Référence au livre de Snowden) il ne faut pas l’oublier donc continuons à préserver notre liberté et notre vie privée."
