Collectivités territoriales et RGPD : c’est maintenant !
Publié le 25/01/2019

a mise en œuvre efficace de la réglementation RGPD est un chantier impératif et urgent, avertit Clémence Altwegg (avocate - Pôle IP/IT – RGPD - Cabinet Claisse & Associés). A défaut de mise aux normes RGPD, les conséquences financières peuvent être particulièrement importantes pour les collectivités. Outre le pouvoir de sanction de la CNIL, le risque est aussi de voir naître des recours individuels, voire d’une action de groupe. L’image de la collectivité auprès de ses administrés est également à prendre en compte...


Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD ») est, on le sait, entré en vigueur depuis le 25 mai 2018.

Pour celles qui ne l’auraient pas déjà fait, les collectivités doivent désormais veiller, très concrètement, à la bonne application de ce règlement dans l’exécution de leurs missions.

A cet égard, l’administration en général et les collectivités en particulier ont de plus en plus recours à la dématérialisation de leurs services, « l’administration numérique » constituant, il est vrai, un levier majeur de modernisation et de développement de leurs activités. Dans ce cadre, les collectivités territoriales sont amenées à collecter de nombreuses données personnelles, pour la gestion interne de leurs services ou celles des missions dont elles ont la charge (par exemple : fichiers de personnels ou d’administrés, listes électorales, fichiers d’action sociales ou des associations, télé-services etc.).

En outre, dans certains cas, ces données ont un caractère dit sensible (origine ethnique, opinions politiques, données de santé…), ce qui implique des obligations et une vigilance accrues de la part des responsables de traitement.

D’une manière générale, le RGPD renforce les obligations en matière de transparence des traitements et de respect des droits des personnes. Il met en place une logique de « responsabilisation » de l’ensemble des acteurs dont le responsable de traitement (= la collectivité) est le chef d’orchestre.

Pour le dit autrement, le RGPD doit conduire à un très lourd travail de remise à plat de tous les traitements de données qu’utilise la collectivité. C’est, il est vrai, une véritable charge, mais le but du RGPD est bien de bousculer et modifier les habitudes !

Notamment, de manière très concrète, les collectivités doivent désigner un délégué à la protection des données (art.37 du RGPD). Heureusement, elles ont la possibilité de mutualiser cette obligation (art 31 de la loi du 20 juin 2018 n°2018-493) ce qui leur permettra d’assumer en commun cette sujétion.

Par ailleurs, le responsable de traitement doit tenir un registre dans lequel il répertorie les catégories de données traitées, la finalité du traitement, la durée de conservation des données, les mesure de sécurité mises en place… Et le responsable de traitement devra également notifier toute violation de données personnelles auprès de la CNIL.

Outre ces nécessaires investissements, la mise en conformité avec le RGPD ne peut se passer, en amont, de l’identification des types de traitements de données personnelles existants et de l’analyse, pour chaque situation précise, des risques potentiels pesant sur les droits et libertés des personnes concernées.

Au total, on le constate, pour une mise en œuvre rapide et efficace de la règlementation RGPD, il est nécessaire d’éclairer et former les acteurs des collectivités en charge de ce chantier.

La CNIL indique, début 2019, avoir déjà été saisie de plus de 1200 notifications de violations de données personnelles au titre du RGPD

C’est un impératif, car à défaut de mise aux normes RGPD, les conséquences financières peuvent être particulièrement importantes pour les collectivités, le pouvoir de sanction de la CNIL pouvant atteindre 20 millions d’euros. Ceci sans préjudice des possibilités de recours individuel des personnes concernées (art.82 RGPD), voire d’une action de groupe (art 80 RGPD).

L’image de la collectivité auprès de ses administrés est également à prendre en compte : nul administré ne pourrait concevoir que la puissance publique protège moins ses droits que telle ou telle entreprise privée. Le risque est bien réel : la CNIL indique, début 2019, avoir déjà été saisie de plus de 1200 notifications de violations de données personnelles au titre du RGPD.

On l’aura compris : le respect du RGPD n’est plus seulement une obligation pour les collectivités, c’est aussi une urgence.

Source : La Gazette des Communes