1. L’application immédiate du RGPD sans période transitoire.
« Il y aura une période de transition pour l’application du RGPD »…
« Les sanctions ne concerneront pas les collectivités territoriales car les amendes potentielles sont prélevées sur le budget de l’État »…
« Les petites communes ne sont pas concernées »...
Autant de fausses idées ont circulé sur cette nouvelle réglementation, qu’il est nécessaire de préciser.
En réalité :
Une période de 2 ans s’est déjà écoulée entre l’adoption du RGPD et son entrée en application prévue le 25 mai 2018. Les entités publiques seront donc considérées comme ayant bénéficié - en théorie - de ce délai pour mettre en place leur démarche de mise en conformité. Il n’y aura donc pas de phase de transition pour l’application du RGPD ;
Même si l’on peut raisonnablement envisager que les collectivités ne seront pas d’emblée dans la cible des contrôles opérés par la CNIL, ce que cette dernière semble confirmer, il n’en demeure pas moins que les sanctions financières peuvent toucher l’ensemble des acteurs concernés, y compris les collectivités territoriales.
Quoi qu’il en soit, le plus grand risque n’est pas tant financier que d’image à l’égard des cocontractants et des administrés ; il est intéressant de noter que, à l’occasion de l’adaptation de la loi contre l’avis du gouvernement, le Sénat a adopté le 21 mars dernier, un amendement visant à créer un fonds de dotation communal et intercommunal permettant l’accompagnement des collectivités dans leur conformité au RGPD...
Dans le secteur public, tous les acteurs sont concernés par le RGPD, et ce quelle que soit leur taille ; le RGPD n’ayant effectivement pas prévu de seuils, mêmes les petites communes sont concernées, et ce d’autant qu’elles auront l’obligation (comme l’ensemble des responsables de traitement relevant du secteur public) de désigner un délégué à la protection des données personnelles (DPD), ou « data protection officer » (DPO).
Il convient donc de se concentrer sur les nécessaires adaptations des collectivités territoriales au nouveau règlement.
2. Le transfert de responsabilité du contrôle de conformité.
Le RGPD ne révolutionne pas les principes de la protection des données personnelles. La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi « informatique et libertés » présentait déjà un niveau d’exigences conséquent en la matière, d’ailleurs appliquées par certaines collectivités qui ont, par exemple, déjà nommé des Correspondants Informatiques et Libertés.
Le bouleversement apporté par le RGPD provient surtout du fait qu’il opère un véritable transfert de responsabilités vers les acteurs traitant des données personnelles, consistant à mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Si les formalités de déclarations préalables sont supprimées, le contrôle de conformité (et sa démonstration), lui, pèse sur l’organisme en cause et non plus sur l’autorité de contrôle (la CNIL).
Les collectivités sont particulièrement concernées dans la mesure où elles traitent au quotidien de nombreuses données personnelles, et qu’elles gèrent également un parc applicatif souvent très important (télé-procédures, vidéosurveillance, stationnement, etc.). Ces traitements peuvent concerner des données sensibles au sens du RGPD (police municipale, aide sociale…), dont la sécurisation est un enjeu capital.
3. Focus sur certains points d’attention propres aux collectivités territoriales.
Les éléments listés ci-dessous ont pour objet d’attirer l’attention des collectivités sur les aspects – non exhaustifs – le concernant particulièrement.
Au préalable, les collectivités doivent qualifier leur rôle au regard du traitement des données. Si elles sont a priori responsables des traitements qu’elles mettent en œuvre, le transfert de compétences résultant de loi Notre du 7 août 2015 ainsi que la mise en œuvre de délégations de compétences, au profit de structures intercommunales par exemple, peuvent venir complexifier substantiellement cette analyse. Elles sont alors susceptibles d’être coresponsables du traitement.
Ensuite, elles devront anticiper et organiser la nomination d’un DPD, qui peut être, au besoin, mutualisé entre plusieurs collectivités mettant en œuvre des traitements similaires – par exemple, plusieurs petites communes – et, le cas échéant, externalisé, notamment si la taille de la collectivité n’est pas trop importante.
Le DPO pourra alors se voir assigner la tâche de tenir le registre des activités de traitement.
La nomination du DPO pose des questions pratiques telles que les modalités de recours à une structure intercommunale dans l’hypothèse d’une mutualisation, ou encore la passation d’un contrat de prestation de service en cas d’externalisation.
En outre, la gestion des relations contractuelles avec les prestataires est un volet essentiel de la mise en conformité. Il s’agit ici de s’assurer que les prestations en cours sont effectuées en conformité avec les dispositions réglementaires ; il est donc nécessaire d’obtenir de la part des prestataires fournisseurs, le cas échéant en s’appuyant sur les clauses d’exécution des marchés, des informations sur leur niveau de sécurité, leur architecture technique, etc. permettant de vérifier qu’ils présentent des garanties suffisantes (article 28.1 du RGPD).
S’agissant des commandes à venir, qu’elles soient ou non passées en vertu des dispositions de l’ordonnance 2015-899 du 23 juillet 2015 relatives aux marchés publics, il deviendra obligatoire d’intégrer dans la documentation d’appel d’offres des clauses relatives au respect des données personnelles. Ceci nécessite donc de repenser les modèles de documents de la consultation afin de s’assurer que cette obligation est satisfaite.
Par ailleurs, les collectivités devront également s’interroger sur la nécessité de conduire des analyses d’impact relatives à la protection des données, ou « Privacy Impact assessment » et notamment des études d’impact sur la vie privée (EIVP), dans la mesure où le traitement des données est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques (article 35 § 1 3 et 4 du RGPD).
A titre illustratif, l’on peut citer la vidéosurveillance, les systèmes de lecture automatique des plaques d’immatriculation pour le stationnement, ou encore les télé services permettant la communication et l’envoi de documents entre administrations et administrés.
A noter que ces télé-services sont soumis au référentiel général de sécurité (RGS) édité par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).
Enfin, les collectivités devront travailler sur le chantier des notices ou mentions d’information à destination de leurs administrés. En effet, le RGPD a notablement augmenté le nombre de ces informations, à l’exemple du fondement juridique du traitement des données ou de la durée de conservation des données. Ces informations varient selon que les données ont été collectées ou non directement auprès de la personne concernée, nécessitant ainsi une refonte en profondeur des notices, afin que chaque hypothèse fasse l’objet d’une information spécifique.
Notons que la procédure de gestion des demandes d’accès ou de rectifications aux données doit être également revue, les réponses devant être désormais transmises dans un délai d’un mois.
Le travail à accomplir est donc considérable et transverse : il nécessite de l’être selon une méthode de priorisation des chantiers et en sollicitant en mode projet les différents services impactés.
