Le règlement européen sur la protection des données et les collectivités territoriales : La gouvernance des données

Avec le règlement, on assiste à un allègement considérable des obligations en matière de formalités préalables, puisque le régime déclaratif est totalement supprimé, pour rentrer dans l’ère de la gouvernance des données personnelles. Une bonne gouvernance nécessite toutefois une documentation continue des actions menées pour être en capacité de piloter et de démontrer la conformité. Les collectivités seront ainsi appelées à tenir un registre de leurs activités de traitement, à encadrer les opérations sous-traitées dans les contrats de prestation de services, à formaliser des politiques de confidentialité des données, des procédures relatives à la gestion des demandes d’exercice des droits, à adhérer à des codes de conduite ou encore à certifier des traitements.

Dans certains cas, pour les traitements à risques, elles devront effectuer des analyses d’impact sur la vie privée et notifier à la CNIL, voire aux personnes concernées, les violations de données personnelles.

Le règlement européen sur la protection des données et les collectivités territoriales : La protection des données dès la conception et par défaut

Les collectivités devront intégrer un nouveau principe de protection des données dès la conception (Privacy by design) du traitement et par défaut (Privacy by default).

Elles devront ainsi tenir compte le plus en amont possible, dès la phase de conception du produit, du service ou du traitement, de définition des outils qui seront utilisés et des paramétrages par défaut, des règles d’or de la protection des données. Il s’agira en particulier de minimiser à tout point de vue le traitement effectué.

Par exemple : favoriser par principe les menus déroulants ou les cases à cocher plutôt que les zones de commentaires libres sur les formulaires de collecte et dans les bases de données internes, pour limiter dès le départ le nombre et la nature des données enregistrées ; restreindre au maximum les droits d’accès informatiques aux données et les opérations susceptibles d’être réalisées ; pseudonymiser les données toutes les fois où leur exploitation sous une forme identifiante n’apparaît pas nécessaire à la satisfaction du besoin ; appliquer un mécanisme automatique de purge des données à l’issue de la durée de conservation nécessaire à la réalisation de la finalité.

Le règlement européen sur la protection des données et les collectivités territoriales : Une logique de responsabilisation

Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas, un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs privés et publics. Ce changement de posture devra se traduire par une mise en conformité permanente et dynamique de la part des collectivités. Elles devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées.

Les organismes publics et privés auxquels les collectivités sous-traitent la mise en œuvre de tout ou partie de leurs traitements (ex. : prestataires de service hébergeant des données) devront obligatoirement participer à la démarche de mise en conformité, en aidant celles-ci à satisfaire leurs diverses obligations, sous peine de sanctions.

Enjeux des collectivités en matière de protection des données

Le développement de l’e-administration constitue un levier majeur de la modernisation de l’action publique. De ce fait, les collectivités recourent de plus en plus aux technologies et usages numériques : téléservices, open data, systèmes d’information géographique, cloud computing, compteurs intelligents, réseaux sociaux, lecture automatique de plaques d’immatriculation, etc.

Par ailleurs, le nombre de cyberattaques ne cesse d’augmenter, et ce, quel que soit la taille des organisations visées.

De plus, les citoyens sont de plus en plus soucieux de la manière dont leurs données sont utilisées. A ce titre, la loi pour une République numérique est venue consacrer en octobre 2016 un droit à l’auto-détermination informationnelle que l’on retrouve posé à l’article 1er de la loi Informatique et Libertés : « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Les nouveaux services numériques, pour qu’ils créent de la confiance auprès des administrés, doivent donc répondre aux exigences de protection des données dont la sécurité est une des composantes essentielles.

Enfin, la nécessité pour les collectivités de prendre en compte ces exigences est aujourd’hui d’autant plus importante que le règlement européen sur la protection des données, applicable à compter du 25 mai 2018, renforce encore les obligations en matière de transparence des traitements et de respect des droits des personnes, s’axe sur une logique globale de responsabilisation de l’ensemble des acteurs et crédibilise la régulation des « CNIL » en musclant considérablement leur pouvoir de sanction. Ainsi, outre des avertissements publics, elles pourront prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou, pour une entreprise, 4% du chiffre d’affaires mondial.

Impacts du règlement européen sur la protection des données (source : CNIL)

Les collectivités territoriales traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou la gestion des différents services publics et activités dont elles ont la charge.

Certains de ces traitements présentent une sensibilité particulière, comme les fichiers d’aide sociale et ceux de la police municipale.