Le Règlement Général sur la Protection des Données (RGPD) adopté en 2016 est entré en vigueur le 25 mai 2018. Pour se mettre en conformité avec le RGPD les collectivités territoriales doivent mettre en place plusieurs actions concrètes.

Outre de nouvelles contraintes, le RGPD est aussi pour les collectivités un atout de management non négligeable. Voici en détail ce que vous devez savoir sur le RGPD dans les collectivités locales, comment le mettre en place et le gérer au quotidien.

Contexte européen et national

Le RGPD remplace la directive sur la protection des données personnelles datant de 1995. Ce nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel couvre l’ensemble des résidents de l’Union Européenne.

Concrètement, ce sont de nouvelles obligations dites « de responsabilisation » qui viennent remplacer en France les déclarations préalables obligatoires qu’il fallait auparavant soumettre à la Commission Nationale de l’Informatique et des Libertés (CNIL).

Bien sûr, le non-respect de ces obligations peut engendrer des amendes par la CNIL.  Un particulier dont les données ont été traitées non conformément aux RGPD peut exercer un recours juridictionnel. Des actions de groupe sont également envisageables. L’impact de telles actions en termes d’image peut être important.

RGPD et collectivités locales : Les obligations

Parmi les obligations que les collectivités, comme tout autre organisme, doivent respecter, figurent les éléments suivants :

• La nomination d’un responsable de traitement ;
• La tenue à jour d’un registre de traitement contenant notamment les catégories de données traitées ;
• La finalité du traitement ;
• La durée de conservation des données ;
• Les mesures de sécurité mises en place.

En cas de risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement doit également établir une analyse d’impact avant de mettre en œuvre le traitement.

Les contraintes des collectivités face au RGPD

Expertise interne et accompagnement externe

Au sein des collectivités territoriales, le RGPD nécessite une expertise et une organisation précise de la gestion des données. Or, certaines collectivités n’ont pas la possibilité de mettre en œuvre une telle organisation, notamment en raison de leur taille.

Pour surmonter cette difficulté, les collectivités ont la possibilité de mutualiser les moyens afin de faire face à leurs obligations.

Importance et diversité des données gérées par les collectivités locales

Les collectivités territoriales utilisent de nombreuses données dans la gestion quotidienne des services publics et administratifs (état civil, listes électorales, équipements sportifs et culturels, centres de loisirs, restauration scolaire, aides sociales, développement économique, service public de l’eau et de l’assainissement etc.).

Elles gèrent également des données personnelles dans le cadre de leur gestion interne (gestion du personnel, vidéo-surveillance, site internet, listes de diffusion etc.).

Ainsi, les données personnelles gérées par les collectivités locales concernent à la fois le personnel, les élus, les administrés, et les prestataires extérieurs. Or, le développement du numérique augmente les risques de violations de données personnelles. C’est pourquoi les collectivités territoriales sont soumises au même régime que les organismes privés.

Le RGPD, un outil de management

Travailler sur la protection des données pour un organisme permet de s’interroger sur les procédures internes et de revisiter celles-ci. Le RGPD est donc pour les collectivités territoriales un outil de management.

C’est un projet qui s’inscrit dans la durée : il commence par une phase de diagnostic, puis la définition des actions à mettre en place et enfin leur suivi.

La CNIL définit 6 étapes pour la mise en œuvre du RGPD

• La désignation d’une personne pour piloter la démarche ;
• La cartographie des traitements de données personnelles ;
• La priorisation des actions à mener ;
• La gestion des risques ;
• L’organisation des processus internes ;
• La mise en œuvre d’une documentation de la conformité.

Désignation d’un pilote : le Délégué à la protection des données ou DPD

La désignation d’un Délégué à la protection des données (DPD ou DPO) est obligatoire pour tout organisme public, donc en particulier pour les collectivités locales (Régions, Départements, Communes) et leurs établissements publics (CCAS, intercommunalités, syndicats intercommunaux, syndicats mixtes).

Le DPO est une personne formée qui est en mesure de piloter la démarche et de l’animer, qui comprend les enjeux du règlement, fait respecter ses obligations et a une autorité technique pour cela.

Autant dans les grandes collectivités il est possible de désigner en interne un DPO qui sera formé pour cela, qui se tiendra constamment informé de l’évolution de la réglementation et de la jurisprudence, autant il devient difficile pour les petites communes ou intercommunalités de désigner un DPO en interne.

C’est pour remédier à ce problème que la mutualisation d’un DPO entre collectivités a été mise en place en différents endroits. Une autre piste consiste à faire appel à un DPO consultant externe. Mais il est important dans ce cas que le prestataire connaisse bien le fonctionnement des collectivités.

La cartographie des traitements de données personnelles

Le travail de la cartographie des données et la première phase du projet, après celle de la sensibilisation des élus et des agents.

Pour cela, il faut répertorier toutes les données personnelles gérées. Ce sont les services qui sont en mesure de préciser les données qu’ils gèrent ; mais un appui externe est alors nécessaire pour les accompagner dans ce recensement, pour poser les bonnes questions et pour ne pas oublier tel ou tel traitement.

C’est au pilote du projet qu’il appartient de poser les questions essentielles :

• Quels sont les traitements ?
• Qui est le responsable du traitement ?
• Que contiennent les traitements de données ?
• Pourquoi ce traitement ?
• Pourquoi ces données ?

Ces différents traitements seront alors consignés dans le registre des traitements des données.

La priorisation des actions à mener

Une fois la cartographie des données réalisée, il est nécessaire d’identifier les actions à mener. La mise en conformité avec le RGPD ne pourra, sauf cas exceptionnels, être instantanée. Il faut donc dégager des priorités.

Pour cela, une grille d’analyse des risques sera établie ainsi que les actions à mener en conséquence. En effet, dès cette étape, il est possible de mettre en place des actions immédiates et simples en s’interrogeant par exemple sur la pertinence de certaines données.

La gestion des risques – l’analyse d’impact relative à la protection des données (AIPD)

Lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact relative à la protection des données doit être réalisée.

La Délibération de la CNIL du 11 octobre 2018 adopte les lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).

Organiser les processus internes

Dès la conception d’une application ou d’un traitement, il convient de prendre en compte la protection des données personnelles. Pour cela, il est important dès le départ de :

• Accompagner les personnel par des actions de formation ;
• Traiter les réclamations et les demandes des personnes concernées ;
• Notifier l’autorité de protection des données dans les 72 heures et les personnes concernées dans les meilleurs délais.

La mise en œuvre d’une documentation de la conformité

Un registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément : les parties prenantes, les catégories de données traitées, à quoi servent ces données , qui accède aux données et à qui elles sont communiquées, le temps de conservation, la sécurisation

Exemples d’AIPD pour les collectivités locales

On notera notamment que les collectivités locales sont concernées par :

• Le traitement de données de santé
  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico sociaux pour la prise en charge des personnes.

Exemple : Traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD).

• Le traitement de données biométriques
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (Élèves, personnes âgées, patients, demandeurs d’asile, etc.).

Exemple : Contrôle d’accès à la cantine scolaire par reconnaissance du contour de la main.

Cette liste n’est pas exhaustive, et les AIPD ne peuvent être déterminées qu’après la réalisation des phases précédentes.

RGPD et collectivités locales : une mise en conformité progressive

Si les collectivités importantes ont la structure et les moyens de se mettre en conformité avec le RGPD, il n’en est pas de même pour les petites communes et intercommunalités qui ont à faire face à la complexité du contenu du règlement, et à définir les actions à entreprendre. Elles sont souvent perdues.

Nos équipes chez GMTO ont ainsi mis en place un service de conseil et d’accompagnement pour la mise en place du RGPD dans les collectivités locales. Pour plus d’informations sur notre offre, n’hésitez pas à nous contacter.