Marie GUILLAUME – Consultante
7 mai 2018
  • Veille
  • Chronique

Le RGPD pour les collectivités territoriales : les points essentiels

Le Règlement général pour la protection des données personnelles (RGPD), adopté par l’Union européenne, entrera en application le 25 mai 2018.. Tour d’horizon des principales dispositions et changements en vue pour les collectivités.

Un changement radical pour les collectivités

Les collectivités traitent un nombre conséquent de données personnelles dans les domaines de la gestion des ressources humaines, de la sécurité ou encore de la gestion des services publics dont elles ont la charge. Même si les collectivités sont à ce jour obligées de respecter les principes fixés par la loi informatique et libertés, la mise en place du RGPD entrainera pour elles un changement de culture et des contraintes plus importantes.

Vers une plus grande responsabilisation des acteurs

Alors que l’ancien système imposait aux collectivités un régime déclaratif au préalable, le règlement a considérablement allégé les obligations. Il laisse place à un principe de protection des données qui consistera à :

  • Limiter le nombre et la nature des données enregistrées
  • Restreindre les droits d’accès informatiques
  • Anonymiser les données à chaque fois que cela est possible
  • Définir une date limite de conservation des données et rendre automatique leur suppression à la date de fin d’exploitation.

Les structures devront être en capacité de démontrer leur mise en conformité à tout moment. Pour cela, elles devront tenir un registre de leurs activités de traitement, mettre en place des procédures, encadrer les opérations sous-traitées dans le cadre des contrats de prestation, ou instaurer une politique de confidentialité.

Désignation d’un délégué à la protection des données (DPO)

A partir du 25 mai 2018, la désignation d’un délégué à la protection des données personnelles sera obligatoire dans toutes les structures publiques. Il succédera au correspondant informatique et libertés, dont la désignation était facultative.

Ce délégué aura pour principale mission de veiller à l’application du règlement européen et de la loi en matière de protection des données. Il devra conseiller la collectivité, informer les agents et correspondre avec la CNIL. La collectivité devra s’assurer que ce délégué dispose d’un niveau d’expertise et des moyens suffisants à la réalisation de ses missions.

Les points de désaccord entre députés et sénateurs

Malgré l’urgence du calendrier pour décider du sort à réserver aux collectivités sur l’application du règlement européen, sénateurs et députés n’ont pas trouvé d’accord lors de la commission paritaire qui les réunissait le 6 avril 2018. Le texte a été discuté une dernière fois au Sénat le 19 avril 2018, et devra être adopté en dernière lecture par l’Assemblée nationale le 15 mai 2018.

Création d’une dotation spécifique

A l’origine du désaccord, l’allocation de ressources financières aux collectivités. Les sénateurs réclament des assouplissements du règlement, à l’identique de ceux autorisés pour les entreprises privées. Ils proposent donc de créer une dotation communale et intercommunale « au titre des charges qu’ils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, pour se mettre en conformité avec la nouvelle réglementation ».
Cette proposition n’a pas été retenue. De même que le fait d’exonérer les collectivités d’amendes qui pourraient être prononcées par la CNIL. Paula Forteza, rapporteuse du texte à l’Assemblée nationale, souligne que cette exonération entrainerait une déresponsabilisation des acteurs.

Mutualisation de la fonction de DPO

Au menu des désaccords, la mutualisation de la fonction de DPO. Les sénateurs souhaitent introduire dans le texte la possibilité de conclure des conventions de prestations entre communes et syndicat. Pour les députés, cette solution entrainerait une présence des syndicats dans le paysage administratif, alors que les dernières lois de décentralisation visent à les supprimer.

Suite à l’échec de la CMP, cette solution a finalement été acceptée par les députés lors de leur lecture du texte le jeudi 12 avril 2018, ouvrant la possibilité pour les collectivités et leurs groupements de « se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel ». En revanche, la disposition qui imposait à la CNIL d’édicter une charte de déontologie de la fonction de DPO dans les administrations a été rejetée par les députés.

Accompagnement spécifique pour les collectivités

Conscients des difficultés que les collectivités pourraient rencontrer lors de la mise en œuvre de la nouvelle réglementation, notamment dans les petites structures, les députés ont conservé les dispositions émises par les sénateurs sur un accompagnement spécifique de la CNIL aux collectivités. Cet accompagnement prévoit deux dimensions :

  • La possibilité pour les collectivités d’obtenir un renseignement direct et personnalisé auprès de la CNIL
  • La prise en compte des particularités des collectivités lorsque la CNIL exerce des contrôles sur les outils mis en place.

A ce jour, seules 2% des communes ont entamé une démarche de mise en conformité avec le RGPD. Au-delà du risque d'amendes par la CNIL, elles risquent des sanctions pénales en cas de recours effectués par les usagers du service public ou des agents de la collectivité.

 

https://www.cnil.fr/fr/RGPD-quel-impact-pour-les-collectivites-territoriale  

https://blog.landot-avocats.net/2018/03/15/entree-en-vigueur-du-rpgd-le-senat-au-secours-des-collectivites-locales/

http://www.lagazettedescommunes.com/560591/rgpd-les-collectivites-doivent-etre-accompagnees-mais-sans-aller-trop-loin/