En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ?

Quels sont les enjeux des collectivités en matière  de protection des données ?

Le développement de l’e-administration constitue un levier majeur de la modernisation de l’action publique. De ce fait, les collectivités recourent de plus en plus aux technologies et usages numériques : téléservices, open data, systèmes d’information géographique, cloud computing, compteurs intelligents, réseaux sociaux, lecture automatique de plaques d’immatriculation, etc.

Par ailleurs, le nombre de cyberattaques ne cesse d’augmenter, et ce, quel que soit la taille des organisations visées.

De plus, les citoyens sont de plus en plus soucieux de la manière dont leurs données sont utilisées.  A ce titre, la loi pour une République numérique est venue consacrer en octobre 2016 un droit à l’auto-détermination informationnelle que l’on retrouve posé à l’article 1er de la loi Informatique et Libertés : « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Les nouveaux services numériques, pour qu’ils créent de la confiance auprès des administrés, doivent donc répondre aux exigences de protection des données dont la sécurité est une des composantes essentielles.

Enfin, la nécessité pour les collectivités de prendre en compte ces exigences est aujourd’hui d’autant plus importante que le règlement européen sur la protection des données, applicable à compter du 25 mai 2018, renforce encore les obligations en matière de transparence des traitements et de respect des droits des personnes, s’axe sur une logique globale de responsabilisation de l’ensemble des acteurs et crédibilise la régulation des « CNIL » en musclant considérablement leur pouvoir de sanction. Ainsi, outre des avertissements publics, elles pourront prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou, pour une entreprise, 4% du chiffre d’affaires mondial.

En quoi le règlement européen sur la protection des données impacte-t-il les collectivités territoriales ?

Une logique de responsabilisation

Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas, un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs privés et publics.  Ce changement de posture devra se traduire par une mise en conformité permanente et dynamique de la part des collectivités. Elles devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées.

Les organismes publics et privés auxquels les collectivités sous-traitent la mise en œuvre de tout ou partie de leurs traitements (ex. : prestataires de service hébergeant des données) devront obligatoirement participer à la démarche de mise en conformité, en aidant celles-ci à satisfaire leurs diverses obligations, sous peine de sanctions.

La protection des données dès la conception et par défaut

Les collectivités devront intégrer un nouveau principe de protection des données dès la conception (Privacy by design) du traitement et par défaut (Privacy by default).

Elles devront ainsi tenir compte le plus en amont possible, dès la phase de conception du produit, du service ou du traitement, de définition des outils qui seront utilisés et des paramétrages par défaut, des règles d’or de la protection des données. Il s’agira en particulier de minimiser à tout point de vue le traitement effectué.

Par exemple  :

• favoriser par principe les menus déroulants ou les cases à cocher plutôt que les zones de commentaires libres sur les formulaires de collecte et dans les bases de données internes, pour limiter dès le départ le nombre et la nature des données enregistrées ;
• restreindre au maximum les droits d’accès informatiques aux données et les opérations susceptibles d’être réalisées ;
• pseudonymiser les données toutes les fois où leur exploitation sous une forme identifiante n’apparaît pas nécessaire à la satisfaction du besoin ;
• appliquer un mécanisme automatique de purge des données à l’issue de la durée de conservation nécessaire à la réalisation de la finalité.

La gouvernance des données

Avec le règlement, on assiste à un allègement considérable des obligations en matière de formalités préalables, puisque le  régime déclaratif est totalement supprimé, pour rentrer dans l’ère de la gouvernance des données personnelles. Une bonne gouvernance nécessite toutefois une documentation continue des actions menées pour être en capacité de piloter et de démontrer la conformité. Les collectivités seront ainsi appelées à tenir un registre de leurs activités de traitement, à encadrer les opérations sous-traitées dans les contrats de prestation de services, à formaliser des politiques de confidentialité des données, des procédures relatives à la gestion des demandes d’exercice des droits, à adhérer à des codes de conduite ou encore à certifier des traitements.

Dans certains cas, pour les traitements à risques,  elles devront effectuer des analyses d’impact sur la vie privée et notifier à la CNIL, voire aux personnes concernées, les violations de données personnelles.

La désignation d’un Délégué à la Protection des Données (aussi appelé : DPO, DPD ou PILOTE) est-elle obligatoire pour les collectivités ?

A compter du 25 mai 2018, la désignation d’un délégué à la protection des données (Data protection Officer), sera obligatoire pour les organismes et autorités publics, et donc pour les collectivités.

Missions

Le délégué aura pour principales missions :

• d’informer et de conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents ;
• de diffuser une culture Informatique & Libertés au sein de la collectivité ;
• de contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier ;
• de conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
• de coopérer avec la CNIL et d’être le point de contact de celle-ci.

Dans l’exercice de ces missions, le délégué devra être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie et bénéficier d’une liberté certaine dans les actions qu’il décidera d’entreprendre.

Expertise et moyens

De plus, la collectivité devra s’assurer qu’il dispose d’un niveau d’expertise et de moyens suffisants pour exercer son rôle de façon efficace. Ainsi, le délégué devra :

• être désigné  sur la base de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ;
• être associé en temps utile et de manière appropriée à l’ensemble des questions Informatique & Libertés ;
• bénéficier des ressources et formations nécessaires pour mener à bien ses missions.

Dans ce contexte, la mutualisation de la fonction de DPO apparaît un enjeu essentiel pour les collectivités territoriales, notamment pour celles de petite taille.

A quel niveau envisager la mutualisation du délégué à la protection des données ?

Aujourd’hui, si les grandes collectivités ont déjà engagé cette démarche (2/3 des régions, la moitié des départements, 2/3 des métropoles, 1/3 des communautés urbaines, 1/10 des communautés d’agglomération), seulement 2% des communes ont désigné un correspondant. Pour ces collectivités, qui ont des préoccupations identiques, la mutualisation de la fonction semble tout à fait adaptée. Elle permet de limiter les coûts et de bénéficier de professionnels disposant des compétences et de la disponibilité nécessaires à un bon pilotage de la conformité.