Les collectivités territoriales et le RGPD

Le diagnostic et la désignation d’un DPD, les premières démarches de mise en conformité

 

Propos Liminaires :

Un nouveau Règlement Européen sur la Protection des Données Personnelles (RGPD), visant à responsabiliser notamment les personnes morales privées et publiques (collectivités et autres gestionnaires de services publiques), acteurs de très nombreux traitements de données à caractère personnel est entré en application en mai 2018. Ce texte européen a été intégré aux dispositions de la Loi Informatique et Liberté par la loi n°2018-493 du 20 juin 2018.

Le RGPD vise à harmoniser, au sein de l’Union Européenne, les obligations pesant sur les responsables de traitements et leurs sous-traitants au bénéfice de la protection de la vie privée des Européens.

Ainsi, les collectivités territoriales, en tant que responsables de traitement, tout comme les établissements publics sont soumis à cette réglementation. Cette dernière s’applique également aux  titulaires des marchés publics désignés comme « sous-traitants » au sens de l’article 28 du RGPD.

Quelques définitions essentielles :

Pour aborder ce thème plus complexe qu’il apparaît aux premiers abords, il convient de préciser quelques définitions essentielles.

Qu’est ce qu’une «Donnée à caractère personnel »?

«Toute information se rapportant à une personne physique identifiée ou identifiable » (article 4.1 du Règlement)

C’est une définition basée sur le concept d’identification directe ou indirecte des personnes physiques.

Par exemple, un nom, une photo, une empreinte digitale, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc .

Il s’agit de toutes les informations détenues par les Mairies sur les administrés, usagers et agents de la Mairie.

Qu’est ce qu’un «Traitement de données »?

«Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel »(article 4.2 du Règlement )

Par exemple, enregistrer, organiser, conserver, modifier, rapprocher avec d’autres données, transmettre des données personnelles.

Il s’agit notamment de l’élaboration et de la gestion des fichiers d’Etat Civil, du CCAS, de l’Office du Tourisme, des Ressources Humaines, des services de Communication, et Culturel…

Qui est le Responsable de traitement ?

Le responsable de traitement est celui « qui détermine les finalités et les moyens d’un traitement », personne physique ou morale (article 4 du règlement européen). Le responsable de traitement est celui qui a la compétence pour engager juridiquement la collectivité, dont l’Assemblée délibérante et le Maire.

Qui est le Sous traitant ?

Une très grande variété de prestataires de services a la qualité de « sous-traitant » au sens du RGPD. Les activités des sous-traitants peuvent concerner une tâche bien précise (sous-traitance d’envoi de courriers) ou être plus générales et étendues notamment aux titulaires des marchés publics liés aux traitements de données à caractère personnel (hébergeur, régie de service aux usagers, mais aussi société d’entretiens de locaux privatifs…).

La possibilité de mutualiser la fonction de Délégué à la Protection des données

Le délégué à la protection des données, également appelé « DPO » pour data protection officer, est la personne chargée de conseiller le responsable de traitement en matière de protection des données personnelles mais également de contrôler le respect du Règlement, de faire office de point de contact avec l’autorité de contrôle (la CNIL en France).Il doit en outre être associé à toutes les questions relatives à la protection des données.

Les dispositions de l’article 37 du RGPD précisent les cas dans lesquels il est obligatoire ainsi que ses modalités de désignation. Sa fonction et ses missions sont définis respectivement aux  articles 38 et 39 RGPD.

Le RGPD indique ainsi expressément que les autorités et organismes publics ont l’obligation de désigner un Délégué. Or, avant le RGPD, la désignation d’un Correspondant Informatique et Libertés (CIL) était facultative. Seules 667 communes sur plus de 36 000 et 96 EPCI sur 1260 avaient désigné un CIL.

Le Règlement innove d’autant plus en laissant la possibilité aux collectivités de mutualiser leur DPD « compte tenu de leur structure organisationnelle et de leur taille ».

​En réalité, cette possibilité reste une formidable opportunité pour les collectivités de mutualiser leurs savoirs et de comparer leurs pratiques en matière de protection des données personnelles ! Mais attention, la mutualisation de la fonction de Délégué à la protection des données n’implique pas un partage des responsabilités.

Une mutualisation de la fonction et non des responsabilités !

Au-delà du partage de connaissances, la mutualisation d’un DPD permet surtout de rationaliser les coûts, ce que devront prévoir les collectivités dans leur convention de mutualisation. Les maires et Président(e)s des EPCI doivent garder en tête que la mutualisation de la fonction de Délégué à la protection des données n’implique pas un partage des responsabilités !

« Chacune des parties à la mutualisation demeure responsable du traitement. » nous indique le texte. Autrement dit, chaque maire ou président(e) d’un EPCI peut être sanctionné(e) sans pouvoir plaider la mutualisation d’un Délégué.

Il va donc dans l’intérêt du Délégué de désigner un « relai » parmi les agents de chaque entité pour piloter la conformité et avoir un œil omniscient sur ce vaste sujet.

Dans un contexte de mutualisation du délégué à la protection des données, un diagnostic de chaque collectivité paraît donc indispensable afin que le Délégué ait une vision claire de la gestion des données de chaque collectivité et de leurs services respectifs. Le DPD devra saisir cette occasion pour identifier les flux de données : entre les services mais également entre collectivité et tiers (Conseil Départemental, CAF, ministères etc.).

 

Une collectivité, un diagnostic préalable

Dans le cadre de la mise en application du RGPD, les collectivités qui n’ont pas encore réalisé les premières démarches, doivent effectuer un diagnostic.

Ce diagnostic est indispensable : il permet d’identifier les données personnelles stockées par une collectivité mais également les flux internes et externes les concernant.

Réalisé, tantôt sous la forme d’interview, tantôt sous forme de questionnaires, le diagnosticpermet de mettre en évidence la gestion des données personnelles au sein d’une collectivité et de relever les lacunes inhérentes à son mode de fonctionnement (défaut de sécurité dans les échanges de données, absence de procédures etc.).

La désignation facultative du CIL avant le RGPD a inévitablement créé des pratiques éparses en matière de protection des données personnelles ! Réaliser un diagnostic « mutualisé » n’aurait donc pas grand intérêt.

Au contraire, un diagnostic par collectivité permet d’évaluer séparément le niveau de maturitéde celle-ci et permettra au DPD d’organiser une mise en conformité adaptée à chaque collectivité.

Ce diagnostic sera également un bon support à la constitution d’un registre des activités de traitement.

Prévu à l’article 30 du RGPD, ce registre doit recenser les traitements de la Mairie lui donnant une vue exhaustive des activités de traitements sous sa responsabilité et leurs caractéristiques telles que les destinataires des données ou encore les délais d’effacement.

C’est également à partir de ce registre que la collectivité pourra identifier son niveau de conformité au RGDP pour chacun des traitements et être en mesure de répondre aux sollicitations des personnes. L’élaboration d’un registre impliquera d’identifier les administrateurs fonctionnels responsables des traitements mis en oeuvre par leur service. Ces administrateurs, qui pourront être des relais, seront en lien direct avec le DPD et assureront l’interface entre les agents et prestataires de la collectivité.

En somme, le délégué à la protection des données est obligatoire pour chaque collectivité. Même si une mutualisation est possible, les responsables de traitement, Maires et Président d’EPCI, doivent prendre conscience des actions de conformité à effectuer au sein de leur collectivité respective et ne doivent pas perdre de vue que la mutualisation ne les exonère pas de leurs obligations.

Jessy POLLUX ​​​​​​

Consultante RGPD chez ALTER PRIVACY SOLUTIONS

Maitre Dimitri Meunier

Docteur en droit
Déléguée à la protection des données​​​ Pôle numérique ASEA Avocats