Quelles obligations ?
Depuis la loi « informatique et libertés » n°78-17 du 6 janvier 1978, tout responsable de traitement est tenue de respecter les droits des personnes dont les données sont traitées (droit à l’information, à l’accès, à la rectification,…). Le responsable de traitement doit être en mesure de justifier le traitement mis en œuvre et doit prendre toutes les mesures de nature à le minimiser et le sécuriser.
Le règlement européen (2016/679/UE) du 27 avril 2016 entré en vigueur le 25 mai 2018 (« RGPD ») impose à tout responsable de traitement de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». [1].
En effet, les déclarations préalables auprès de la CNIL qui étaient auparavant imposées ont laissé place à de nouvelles obligations « dites de responsabilisation ».
Le responsable de traitement doit tenir un registre de traitement contenant, notamment, les catégories de données traitées, la finalité du traitement, la durée de conservation des données et les mesures de sécurité mises en place. [2].
En outre, le responsable de traitement doit notifier toute violation de données personnelles auprès de la CNIL, et en cas de risque élevé, à la personne concernée [3].
En cas risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement doit également établir une analyse d’impact avant de mettre en œuvre le traitement. [4].
Enfin, toute autorité ou organisme public traitant des données personnelles est tenu de désigner un délégué à la protection des données. [5].
L’article 31 de la loi du 20 juin 2018 n°2018-493 permet aux collectivités territoriales de mutualiser leur obligation. En effet, il est précisé que « peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel. »
Quelles sanctions, quelles conséquences ?
Selon les infractions concernées, des amendes d’un montant allant jusqu’à 20 millions d’euros peuvent être prononcées par la CNIL.
En outre, « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » [6]. La personne dont les données ont été traitées peut ainsi exercer un recours juridictionnel si elle considère que ses droits ont été violés du fait du traitement de ses données. [7].
Des actions de groupe sont envisageables [8]. L’article 26 de loi du 20 juin 2018 a modifié l’article 43 ter de la Loi Informatique et Libertés en ce sens : « toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsque est en cause un traitement relevant du chapitre XIII de la présente loi. »
Le non respect des dispositions susvisées peut ainsi avoir de lourdes conséquences pour les collectivités tant sur un plan financier qu’en terme d’image auprès de leurs administrés.
