Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Collectivités territoriales : dispositions applicables issues du RGPD et de la loi du 20 juin 2018 sur la protection des données personnelles. Par Anne Baudoin, Avocat.

Les collectivités territoriales utilisent de nombreuses données dans la gestion quotidienne des services publics et administratifs (état civil, listes électorales, recensement, gestion des groupes scolaires, police municipale, fiscalité locale, fichiers sociaux, fichiers cadastraux…) mais aussi pour leur gestion interne (gestion du personnel, télésurveillance et sécurité des locaux, site internet, newsletter…). Ainsi, les collectivités territoriales traitent les données de leurs administrés, de leur personnel et des prestataires extérieurs intervenant pour elles. La dématérialisation (services en ligne, e-administration) et l’automatisation des services publics augmentent les risques de violations de données personnelles. Aussi, les collectivités territoriales sont soumises au même régime que les organismes privés.

Quelles obligations ?

Depuis la loi « informatique et libertés » n°78-17 du 6 janvier 1978, tout responsable de traitement est tenue de respecter les droits des personnes dont les données sont traitées (droit à l’information, à l’accès, à la rectification,…). Le responsable de traitement doit être en mesure de justifier le traitement mis en œuvre et doit prendre toutes les mesures de nature à le minimiser et le sécuriser.

Le règlement européen (2016/679/UE) du 27 avril 2016 entré en vigueur le 25 mai 2018 (« RGPD ») impose à tout responsable de traitement de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». [1].

En effet, les déclarations préalables auprès de la CNIL qui étaient auparavant imposées ont laissé place à de nouvelles obligations « dites de responsabilisation ».

Le responsable de traitement doit tenir un registre de traitement contenant, notamment, les catégories de données traitées, la finalité du traitement, la durée de conservation des données et les mesures de sécurité mises en place. [2].

En outre, le responsable de traitement doit notifier toute violation de données personnelles auprès de la CNIL, et en cas de risque élevé, à la personne concernée [3].

En cas risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement doit également établir une analyse d’impact avant de mettre en œuvre le traitement. [4].

Enfin, toute autorité ou organisme public traitant des données personnelles est tenu de désigner un délégué à la protection des données. [5].

L’article 31 de la loi du 20 juin 2018 n°2018-493 permet aux collectivités territoriales de mutualiser leur obligation. En effet, il est précisé que « peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel. »

Quelles sanctions, quelles conséquences ?

Selon les infractions concernées, des amendes d’un montant allant jusqu’à 20 millions d’euros peuvent être prononcées par la CNIL.

En outre, « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » [6]. La personne dont les données ont été traitées peut ainsi exercer un recours juridictionnel si elle considère que ses droits ont été violés du fait du traitement de ses données. [7].

Des actions de groupe sont envisageables [8]. L’article 26 de loi du 20 juin 2018 a modifié l’article 43 ter de la Loi Informatique et Libertés en ce sens : « toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsque est en cause un traitement relevant du chapitre XIII de la présente loi. »

Le non respect des dispositions susvisées peut ainsi avoir de lourdes conséquences pour les collectivités tant sur un plan financier qu’en terme d’image auprès de leurs administrés.

Anne Baudoin
Avocat
baudoin.avocat chez gmail.com

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

49 votes

Notes :

[1Article 24 du RGPD

[2Article 30 du RGPD

[3Article 33 du RGPD

[4Article 35 du RGPD

[5Article 37 du RGPD

[6Article 82 du RGPD

[7Article 79 du RGPD

[8Article 80 du RGPD