Une réglementation touchant au cœur des métiers des collectivités.
Le règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), du 27 avril 2016 (n° 2016/679/UE), et la loi du 20 juin 2018 (n° 2018-493) sur la protection des données personnelles emportent d’importantes conséquences juridiques qui font depuis plusieurs semaines l’objet d’une large publicité.
Il est cependant une catégorie d’acteurs, à qui s’impose sans réserve ni exception l’intégralité de ces nouveaux dispositifs juridiques, qui fait face à des difficultés parfois difficilement surmontables pour les mettre en œuvre : il s’agit de certaines catégories de collectivités locales.
Ces acteurs publics exercent en effet des missions parmi lesquelles on a bien de la peine à identifier celles qui ne les conduisent pas à collecter et à traiter des données à caractère personnel. Que ce soit au titre de leurs compétences obligatoires ou facultatives, pour les collectivités locales bénéficiant encore de la clause générale, leur exercice suppose, de manière quasi-systématique, le maniement de ces données personnelles désormais couvert par un arsenal juridique particulièrement protecteur pour les concitoyens qui les leur confient.
Une réglementation engageante pour ceux qui y sont soumis.
Naturellement, les régions, les départements, les grands établissements publics de coopération intercommunale (EPCI) ou encore les communes rassemblant de nombreux habitants se sont saisis de ce sujet majeur. Les plus grandes collectivités territoriales ont d’ores et déjà dégagé des moyens, parfois substantiels, afin de s’assurer de leur « RGPD compatibilité ».
Mais la situation des autres communes est beaucoup plus préoccupante. Sur les 35.357 communes françaises, seules 270 d’entre elles comptent plus de 30.000 habitants, soit moins de 1% ; 75% ont moins de 1000 habitants et 50% moins de 400 habitants.
Trois mois après l’entrée en vigueur de la nouvelle réglementation, combien d’entre elles ont désigné leur délégué à la protection des données (DPD), sachant qu’un élu municipal, le directeur des services ou le secrétaire de mairie ne peuvent occuper ces fonctions ?
Ont-elles pris la mesure de la fin du système déclaratif et du fait qu’elles sont désormais seules en charge de la documentation de leur conformité ?
Leurs agents ont-ils été sensibilisés à ces nouvelles obligations qui vont parfois imposer des changements importants dans leur manière de travailler ?
Le responsable du traitement, c’est-à-dire le maire, mesure t’il les responsabilités qui sont les siennes en la matière et les sanctions civiles et pénales qu’il encourt ?
A cet égard, on attendra avec impatience, mais également inquiétude, la statistique que ne manquera pas de produire la commission nationale informatique et libertés, en début d’année prochaine, au sujet du nombre de collectivités territoriales qui ne se seront pas encore dotées d’un DPD. Pour celles qui n’auront pas satisfait à cette obligation, on imagine assez aisément que certains ne manqueront pas d’en faire un moyen contentieux face auquel il sera malaisé d’opposer des arguments en défense.
Il ne faut pas non plus minimiser l’importance qu’attachent de plus en plus les concitoyens à la protection de leurs données personnelles. De nombreuses et récentes actualités illustrent à l’envi l’ampleur et la gravité des détournements auxquels ils sont exposés. Il ne fait guère de doute qu’ils sauront de saisir de cette nouvelle réglementation afin de protéger leurs droits et leurs libertés. Et les collectivités locales qui manqueraient à leurs obligations en la manière risquent d’en payer le prix tant en terme d’image que de risque électoral.
Le « bloc communal » seul face à ses responsabilités.
Force est de constater que la plupart des communes doivent affronter ces nouvelles obligations sans grand soutien.
On relèvera tout d’abord que l’association de maires de France a publié au sujet du RGPD un premier vade-mecum, le 18 juillet dernier, concernant la mission et la désignation du DPD. Plus généralement, les associations d’élus communaux et intercommunaux apparaissent assez démunies face à ce défi qui touche souvent moins à des problèmes informatiques ou techniques qu’organisationnels chez leurs mandants.
Par ailleurs, rares sont les territoires où des offres de services ont été formulées par des agences ou des syndicats publics d’ingénierie, voire par des centres de gestion. Qui plus est, lorsque des prestations publiques mutualisées sont proposées, elles se limitent souvent à prendre en charge la mission de DPD. S’il s’agit d’une étape essentielle sur le chemin de la mise en conformité avec le RGPD, ce n’est malheureusement ni la plus complexe ni la plus coûteuse du processus.
Car pour rajouter aux difficultés, ces collectivités vont devoir faire face à de nouvelles charges budgétaires afin d’assurer leur « RGPD compatibilité ». Compte tenu des obligations et parfois de la complexité des mesures en mettre en œuvre, il ne s’agit pas d’une opération neutre financièrement.
Conscient de cet état de fait, des sénateurs avaient fait plusieurs propositions, à l’occasion des débats parlementaires sur le projet de loi relatif à la protection des données personnelles, afin de tenir compte de situations particulières, et notamment de celles des plus petites communes et des EPCI en zones rurales : ils leurs avaient ouvert la possibilité de bénéficier d’un accompagnement spécifique et surtout d’une dotation au titre des charges qu’elles allaient supporter pour se mettre en conformité avec cette nouvelle réglementation.
Cette dotation, proposée au terme d’une évaluation précise quant aux couts induits pas la protection des données, aurait pu permettre de financer annuellement 2.500€ pour une commune de 500 habitants, 5.000€ pour une commune de 1.000 habitants, 10.000€ pour une commune de 3.500 habitants ou encore 18.000€ pour une commune de 10.000 habitants.
Or, ces amendements, pourtant parfaitement cohérents avec les missions de service public exercées par ces acteurs publics locaux et nécessaires du fait de ces charges nouvelles qui s’ajoutent à une longue liste de transferts non compensés, ont malheureusement tous été rejetés en dernière lecture.
Des sénateurs devraient profiter des débats relatifs au projet de loi de finances pour 2019 pour réintroduire, à l’automne prochain, une disposition comparable et de nature à faciliter l’application des règles relatives à la protection des données à caractère personnel par ces collectivités territoriales.
Mais à cette heure, et sur la majeure partie de notre territoire, ces collectivités territoriales sont ainsi bien seules face à leurs responsabilités.
Quelles perspectives pour ces « échelons de base de la démocratie locale » ?
Face à ces difficultés, il leur appartient tout d’abord de prendre garde face aux offres qui commencent à fleurir sur le marché, en s’assurant non seulement que les intervenants soient qualifiés et habilités à intervenir en la matière, mais que les coûts des prestations proposées soient justement établis en fonction des strictes nécessités.
On ne saura ensuite que leur conseiller de se regrouper afin de bénéficier des effets de la mutualisation, ce que le RGPD permet notamment en matière de désignation des DPD. Mais au-delà, ces synergies sur des bassins de vie ou des territoires de projets permettront à ces collectivités territoriales de trouver des prestataires susceptibles d’assurer leur « RGPD compatibilité » à un coût le plus raisonnable possible.
Enfin, on soulignera que de ces prestations de services en matière de protection de données relèvent du champ concurrentiel et qu’elles sont donc soumises au respect des dispositions relatives à la commande publique. A cet égard, si les acheteurs publics peuvent conclure des marchés publics sans formalités en dessous du seuil de 25.000€ H.T., ils doivent cependant veiller à choisir une offre répondant de manière pertinente à leur besoin, à faire une bonne utilisation des deniers publics et à ne pas contracter systématiquement avec un même prestataire lorsqu’il existe une pluralité d’offres potentielles susceptibles de répondre au besoin.
A coup sûr, les cabinets d’avocats peuvent prendre leur place sur ce marché où leur capacité d’expertise juridique pourra utilement se combiner, le cas échéant, avec des compétences en matière d’évolution des organisations publiques et des intervenants qualifiés dans le domaine informatique. La profession pourra en retirer également une véritable légitimité auprès de ces plus petites collectivités qui hésitent trop souvent à avoir recours à leurs services.
