Quelles conséquences pour les collectivités territoriales à l’entrée en vigueur du RGPD ?

Quelles conséquences pour les collectivités territoriales à l’entrée en vigueur du RGPD ?

Posted by Cabinet Gil-Fourrier & Cros in Publications internes 24 Mai 2018

Quelles conséquences pour les collectivités territoriales à l’entrée en vigueur du RGPD ?

 

Le 25 mai 2018 entre en vigueur le règlement n° 2016/679 du Parlement Européen et du Conseil, du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « Règlement Général de Protection des Données » (RGPD).

Le gouvernement français a entrepris d’adapter le droit national de la protection des données en modifiant à nouveau la loi[i] n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « Loi Informatique et Libertés », afin de le rendre conforme au RGPD.

Ce dispositif vise à protéger les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractère personnel.

Les collectivités territoriales sont particulièrement concernées par ces mesures puisqu’elles font du traitement de données à tout instant :

  • La gestion des ressources humaines de leurs services ;
  • La gestion comptable et financière de leurs services ;
  • La mise en œuvre de leur mission de service public ;
  • La sécurisation des lieux etc.

Ainsi, les collectivités sont les actrices majeures de la protection des données et doivent veiller :

  • D’une part au respect des grands principes de traitement des données que sont les principes de licéité, de loyauté, de transparence, de finalité, de pertinence, de durée limitée de conservation, et de sécurité.

 

  • D’autre part, au respect des droits des personnes physiques dont les données sont traitées, que sont le droit à l’accessibilité, à l’effacement, à la modification, à l’information et à l’opposition.

 

  • Ces droits des personnes physiques peuvent être limités en cas de traitement résultant d’une obligation légale, de l’exécution d’une mission de service public ou encore d’un contrat ou lorsque la demande est abusive ;

 

A ce titre, plusieurs obligations incombent aux collectivités territoriales.

 

 

1° La nomination d’un Responsable de Traitement.

 

Les collectivités territoriales doivent désigner une personne qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens de traitement des données personnelles.

Le Responsable de Traitement doit donc cartographier les différents traitements de données à caractère personnel.

  • Qui: le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;

 

  • Quoi : Identifier les catégories de données traitées et identifier les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions) ;

 

  • : déterminer le lieu où les données sont hébergées et indiquer vers quels pays les données sont éventuellement transférées.

 

  • Pourquoi : Indiquer la ou les finalités pour lesquelles le traitement est mis en place (exemple : gestion de la relation commerciale, gestion RH…) ;

 

  • Jusqu’à quand : Indiquer, pour chaque catégorie de données, la durée de conservation.

 

  • Comment: Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

Pour ce faire, le Responsable de traitement doit identifier les actions prioritaires et respecter différents principes tels que :

  • La minimisation des données traitées ;
  • La détermination de la base juridique du traitement (consentement, base légale ou réglementaire, contrat, sauvegarde des intérêts vitaux de la personne, intérêt publics ou légitimes etc,),
  • L’obligation d’information ;
  • Les obligations contractuelles relatives aux sous-traitants ;
  • Les droits des personnes ;
  • Les mesures de sécurité.

Le Responsable de Traitement doit prévoir dès la conception du traitement de données et tout au long de celui-ci des mesures techniques et organisationnelles appropriées afin de concrétiser le plus efficacement possible le respect des principes relatifs à la protection de données.

 

2° La nomination d’un Délégué à la Protection des Données.

L’un des principaux apports du RGPD est l’obligation pour « toute autorité et tout organisme public » de nommer un Délégué à la Protection des Données (DPD) [ii].

Cette obligation peut être contrebalancée par la possibilité de mutualiser le DPD et donc d’en nommer un seul pour plusieurs collectivités territoriales, par exemple à l’échelon intercommunal.

La mission du DPD est d’identifier les collectes des données à caractère personnel et leurs finalités afin d’analyser leur conformité avec le RGPD, faisant de cet acteur le correspondant privilégié avec les administrés et l’autorité de contrôle.

De ce fait, il assume d’importantes responsabilités :

  • Informer et conseiller le Responsable de Traitement ou le sous-traitant et les employés ;
  • Assurer le respect du RGPD et le droit national ;
  • Conseiller la collectivité dans la réalisation d’études d’impact sur la protection des données lorsque le traitement est susceptible d’attenter à la vie privée des personnes et d’en vérifier l’exécution ;
  • Se tenir informer des nouvelles obligations ;
  • Concevoir des actions de sensibilisation ;
  • Piloter la conformité continue des procédures au RPGD ;

 

Afin d’assurer une meilleure gestion du traitement de données, il doit donc justifier de :

  • Sa capacité à sensibiliser les agents à la protection des données ;
  • Son expertise juridique et de sa maitrise du RGPD ;
  • Son expertise dans le traitement des données personnelles ;
  • Sa compréhension technique et technologique du traitement des données ;
  • Sa connaissance de la collectivité territoriale.

Le Délégué à la Protection des Données peut être nommé par voie, soit du recrutement en interne, soit du recrutement en externe, soit du choix d’un prestataire extérieur et de la passation d’un contrat de service.

De telles responsabilités impliquent pour lui de faire preuve d’une grande déontologie et de confiance et respecter le secret professionnel, ainsi que la confidentialité.

 

3° La mise en place d’un registre de traitement.

Les collectivités territoriales doivent mettre en place un registre général de traitement accessible aux personnes concernées, les informant sur les caractères et l’étendue du traitement.

Il doit donc comporter un certain nombre d’informations :

  • L’identité et les coordonnées du Responsable de Traitement et du Délégué à la Protection des Données ;
  • La finalité du traitement à savoir son but qui doit être légitime et déterminé ;
  • Les catégories de personnes concernées par cette collecte ;
  • La liste des catégories de données à caractère personnel collectées ;
  • La liste des catégories de destinataires de ces données ;
  • Les délais de conservation des données ;
  • Description générale des mesures de sécurités organisationnelles, logistiques et techniques prises pour la protection de ces données ;
  • Informer des droits dont disposent les personnes à la maitrise des données les concernant, à savoir le droit d’accéder à leurs données et d’en obtenir une copie, le droit de les modifier, et le droit de s’opposer à leur utilisation ;
  • L’existence d’une prise de décision automatisée.

En principe, le traitement des données à caractère personnel dites « sensibles » qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est interdit.

Seuls des motifs d’intérêt public peuvent justifier d’un traitement de telles données.

 

4° Le recours à un sous-traitant.

 Le Responsable de Traitement doit faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre et au respect des mesures techniques et organisationnelles relatives à la protection des données personnelles.

Le contrat de sous-traitance définit la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées et les obligations et droits du Responsable de Traitement.

***

Il convient de rappeler que le recueil du consentement de la personne pour le traitement de ses données à caractère personnel n’est pas indispensable lorsque celui-ci répond notamment de l’exécution d’une mission de service public.

 


[i] La loi n° 78-17 du 6 janvier 1978 ayant été modifiée un première fois par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

[ii] Article 37 du règlement n° 2016/679.