Chaque jour, les collectivités territoriales sont amenées à traiter de nombreuses données personnelles, que ce soit dans le cadre de la sécurisation de leurs locaux (vidéosurveillance, contrôle d’accès, etc) ou bien de la gestion administrative de leur personnel et des différents services qu’elles ont à charge (ressources humaines). Les enjeux des collectivités territoriales en matière de protection des données sont considérables, notamment lors du traitement de certains fichiers qui présentent une sensibilité accrue, comme les fichiers de la police municipale ou ceux relatifs à l’aide sociale.
Le RGPD et les collectivités territoriales : en quoi sont-elles concernées ?
L’action publique tendant à se moderniser, l’administration dite électronique prend donc une place de plus en plus importante : téléservices, cloud computing, réseaux sociaux, open data, dispositifs vidéo, etc. Une administration électronique qui par essence récolte constamment de nombreuses données personnelles, au sujet de ses usagers comme de son personnel. Les collectivités territoriales sont donc forcément concernées par le Règlement Général pour la Protection des Données, qui encadre strictement l’utilisation de ces données personnelles. De plus, le nombre de cyberattaques ne cessant d’augmenter, les collectivités territoriales sont plus que jamais tenues de protéger l’accès à leurs informations.
Les citoyens sont également de plus en plus soucieux de l’utilisation qui est faite de leurs données personnelles. Avec l’entrée en vigueur du RGPD, ces derniers voient leurs droits renforcés en matière de traitement et de protection de leurs données. Les nouveaux téléservices proposés aux citoyens par les collectivités territoriales doivent donc tenir compte des exigences de ce règlement en termes de protection et d’accès aux données personnelles.
Pour finir, le Règlement Européen sur la Protection des Données vient renforcer la nécessité pour les collectivités territoriales de prendre en compte plusieurs exigences, notamment en ce qui concerne l’obligation de transparence dans le traitement des données personnelles. En effet, le RGPD ayant pour but de responsabiliser l’ensemble des acteurs, les collectivités territoriales doivent donc s’assurer de bien respecter le RGPD dans son ensemble.
L’enjeu est de taille, notamment en ce qui concerne la confiance des citoyens dans les services offerts par les collectivités territoriales, mais également en terme de sanctions. En effet, outre des avertissements publics, la CNIL est autorisée par le RGPD à prononcer à l’encontre des collectivités territoriales ou toute entreprise ne respectant pas son cadre, des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Les collectivités territoriales poussées à la responsabilisation
Bien que le RGPD n’ait pas apporté de changements drastiques par rapport à la loi Informatique et Libertés, il contraint désormais les collectivités territoriales à une logique de responsabilisation. Ce nouveau règlement a en effet fait passer les acteurs privés comme publics d’une logique de contrôle basée sur le respect de formalités administratives, à une démarche d’auto-contrôle.
Désormais, les collectivités territoriales doivent adopter des mesures organisationnelles mais également techniques, de manière à garantir la protection des données personnelles tout au long de leur cycle de traitement. Elles doivent également démontrer qu’elles mettent tout en oeuvre pour sécuriser ces données, que ce soit dans leurs services, mais également au sein de leurs prestataires de service, à qui les collectivités font appel en tant que sous-traitant dans le traitement de ces données personnelles.
Comment le RGPD améliore la protection des citoyens ?
Le RGPD améliore grandement la protection des citoyens dans le traitement de leurs données personnelles effectué par les collectivités territoriales. En effet, le principe de Privacy by Default – ou Privacy by Design – s’applique, ce qui veut dire que les collectivités doivent intégrer, en amont même de la récolte des données personnelles, des paramétrages respectueux de leur traitement. Elles doivent ainsi tenir compte, dès la phase de conception de leurs services ou produits, de mesures respectant les grands principes définis par le RGPD. Le but de ce principe étant de minimiser au maximum le traitement de données personnelles, pour ne retenir que celles réellement indispensables au service ou produit développé.
Ce principe de protection des données dès la conception d’un service entraîne, pour les collectivités territoriales mais aussi pour tout organisme tenu de respecter le RGPD, plusieurs améliorations d’ordre technique. Par exemple, le fait de devoir pseudonymiser les données dès lors que leur exploitation sous une forme identifiante n’est pas obligatoire, ou encore la mise en place de mécanismes automatiques de purge ou d’archivage des données.
Les collectivités territoriales sont également tenues, depuis l’entrée en vigueur du RGPD, d’informer clairement chaque usager quant à l’utilisation de ses données personnelles. Elles doivent également permettre, dans les délais les plus brefs, l’accès, mais aussi la modification et la suppression de ces informations personnelles.
L’impact du RGPD sur le fonctionnement des collectivités territoriales
Le RGPD a donc eu un fort impact sur le fonctionnement des collectivités territoriales, notamment en ce qui concerne les obligations en terme de formalités préalables. Outre le respect des droits des usagers concernant leurs données personnelles, le Règlement Général pour la Protection des Données a entraîné la suppression totale du régime déclaratif, au profit du déploiement d’une solution de gouvernance des données personnelles.
Ainsi, les collectivités territoriales doivent être en mesure de piloter leur mise en conformité avec le RGPD et de démontrer cette dernière, à tout moment. Les collectivités doivent notamment tenir un registre concernant le traitement des données. Elles sont aussi dans l’obligation d’informer les personnes concernées et la CNIL dès lors que des violations de données personnelles sont observées. Le RGPD les oblige également à plusieurs mesures telles que :
- l’analyse des impacts de certains traitements à risques sur la vie privée et la liberté des utilisateurs ;
- l’encadrement des opérations de sous-traitance dans le cadre de contrats de prestation de services ;
- l’organisation de la détection et de la gestion des accidents survenus lors du traitement des données ;
- la garantie de la confidentialité des données.
Les collectivités territoriales, tout comme les autres organismes concernés par le RGPD, sont également tenus de nommer un DPO, Délégué à la Protection des Données, et de lui fournir les moyens nécessaires à l’exercice de ses missions, à savoir :
- informer et conseiller le responsable et les agents de traitement des données personnelles, mais également leurs sous-traitants ;
- contrôler le respect du RGPD au sein de la structure en réalisant des audits ;
- diffuser une culture relative à l’informatique et aux libertés dans les services concernés ;
- conseiller la collectivité dans le déploiement d’une analyse d’impact concernant la protection des données ;
- coopérer avec la CNIL.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!