Le Règlement Général pour la Protection des données (RGPD) est entré en vigueur en mai 2018. Les communes comme toutes les organisations publiques ou privées y sont soumises. En 2019 plus de la moitié des collectivités territoriales n’étaient pas encore en conformité avec le RGPD, à commencer par la désignation d’un Délégué à la Protection des Données (DPD ou DPO).

Un guide de la CNIL pour les collectivités territoriales pour les sensibiliser au RGPD

Pour accompagner les collectivités locales dans leur mise en conformité, la CNIL a édité un guide de sensibilisation au RGPD pour les collectivités territoriales.

Ce guide détaille les thèmes sur lesquels doivent travailler les collectivités pour leur mise en conformité.

Tout traitement des données personnelles doit avoir un but déterminé et spécifique

Une donnée personnelle est clairement définie

Une donnée personnelle est une information qui se rapporte à une personne physique clairement identifiée ou que l’on peut identifier.

Les coordonnées d’entreprises ne sont en revanche pas des données personnelles.

Un traitement de données personnelles doit être légitime

Un traitement de données personnelles concerne toute action sur ces données (collecte, classement, utilisation, transmission …) par quelque procédé que ce soit. Un fichier de données personnelles peut être manuel ou informatique. Dans les deux cas il doit respecter le RGPD.

La finalité d’un traitement doit être légitime et déterminée. Les données collectées et traitées doivent être conformes à cette finalité.

Certaines données personnelles sont qualifiées comme sensibles

Parmi les données personnelles figure une catégorie particulière : les données sensibles. Il s’agit de données se rapportant à la religion, à l’ethnie, à la religion, aux appartenances politiques ou syndicales.

Le traitement des données personnelles sensibles est de base interdit par le RGPD. Si leur traitement est nécessaire des conditions très strictes sont fixées par le RGPD.

Principe de la minimisation

Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour la finalité du traitement.

Tout traitement de données personnelles doit avoir une base légale

Un traitement de données personnelles doit avoir un fondement juridique. Ce peut-être :

Le consentement

Le RGPD impose que le consentement soit libre, spécifique, éclairé et univoque.

Les personnes concernées doivent pouvoir :

• Comprendre le traitement qui sera fait de leurs données ;
• Choisir sans contrainte d’accepter ou non ce traitement ;
• Changer d’avis librement.

Le contrat

le traitement doit être nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et les personnes concernées. Il ne suffit donc pas que le traitement de données soit mentionné dans des clauses contractuelles ou dans des conditions générales d’utilisation pour qu’il soit légal.

L’obligation légale

L’obligation légale se justifie lorsque la mise en œuvre d’un traitement est imposée à un organisme par des textes européens ou nationaux.

Cette obligation doit être impérative, suffisamment claire et précise. La  finalité du traitement doit être définie par ces textes.

Le traitement de données personnelles doit être nécessaire pour satisfaire cette obligation légale.

La sauvegarde des intérêts vitaux

Pour préserver les intérêts vitaux d’une personne, par exemple en cas d’épidémie, de catastrophe naturelle ou humaine, le traitement des données personnelles peut être mis en œuvre sans recevoir le consentement de la personne concernée.

L’intérêt public

Le traitement de données personnelles se justifié pour le traitement mis en ouvre par les autorités publiques afin d’exercer leurs missions, en particulier à destination de leurs usagers.

Des dispositions légales doivent justifier la mission d’intérêt public pour fonder ces traitements.

L’intérêt légitime

Les intérêts légitimes peuvent être des commerciaux, de sécurité des biens… poursuivis par l’organisme traitant les données Ils ne doivent pas créer déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. Le traitement de données personnelles ne doit pas porter une atteinte importante aux droits et intérêts des personnes concernées.

L’intérêt légitime doit répondre à la condition de nécessité. Le traitement des données personnelles de doit pas heurter les droits et intérêts des personnes.

Données sensibles : les collectivités territoriales en gèrent de très nombreuses

Les différentes collectivités territoriales, notamment les communes et les intercommunalités, ont des compétences très larges qui les obligent à mettre en place un dispositif de gestion des données personnelles rigoureux.

Parmi les compétences qui justifient une gestion de données personnelles, on peut citer par exemple :

Administration générale

Gestion du personnel (fichier de la paye, contrôle des horaires),  accès aux bâtiments …)

État civil, élections

Fiscalité

Recouvrement de certaines taxes ou redevances  (taxe locale sur la publicité extérieure, La redevance incitative d’enlèvement des ordures ménagères (RIEOM))

Social

Personnes suivies par le Centre communal d’action sociale, livraison des repas à domicile, plan canicule …

Enfance / scolaire / périscolaire

Restauration scolaire, centres de loisirs

Urbanisme

Gestion du cadastre

Surveillance

Vidéo-surveillance des établissements publics et du domaine public

Et bien d’autres domaines …

Plan d’action pour se mettre en conformité

Le plan d’action, sous le pilotage du délégué à la protection des données (DPD ou DPO) peut se décliner en  4 étapes

Recenser les traitements

Il convient de tenir un registre afin d’avoir une vision claire et globale des activités de la collectivité requérant la collecte et le traitement de données personnelles.

Pour chaque traitement il conviendra de préciser pour chaque traitement :  le nom et les coordonnées du responsable du traitement , les objectifs poursuivis, les catégories de personnes concernées et de données utilisées ,  qui a accès aux et à qui elles seront communiquées , les durées de conservation de ces données (utilité et conservation en archive), mesures de sécurité mises en œuvre et éventuellement  les transferts de données à caractère personnel en dehors de l’Union européenne ou à une organisation internationale

Faire le tri dans les données

Les données demandées et conservées doivent être pertinentes et nécessaires à l’objectif poursuivi (principes de pertinence et de minimisation).

Des mesures de sécurité doivent être mise en place et adaptées aux risques spécifiques associés aux données. Seuls les agents habilités ne peuvent avoir accès qu’aux données dont ils ont besoin.

Les données ne doivent pas être conservées plus longtemps qu’il ne le faut. Il convient de distinguer le délai d’utilité de celui d’archivage.

Respecter les droits des administrés

Chaque fois que des données personnelles sont recueillies, que ce soit sur un formulaire, par l’intermédiaire d’un téléservice ou par oral, la collectivité doit en informer les personnes concernées le plus clairement possible

La collectivité doit préciser notamment dans quel but elle collecte les données, la durée de conservation, qui a accès aux données …

Elle doit  indiquer la procédure à suivre pour accéder aux données collectées ainsi que les coordonnées du DPO.

Sécuriser les données

Les données doivent être conservées en toute sécurité par des mesures techniques et organisationnelles.

Trois types de risques sont ainsi à considérer : l’accès illégitime à des données, leur modification non désirée et leur disparition.

En conclusion

La mise en place de la RGPD passe avant tout par une organisation rigoureuse de toute la chaine de traitement des données et plus largement une organisation des processus internes et par une forte sensibilisation des élus et des agents.

---

---