Impacts du RGPD sur les collectivités territoriales

Impacts du RGPD sur les collectivités territoriales

L’application immédiate du RGPD sans période transitoire 
Beaucoup de fausses idées circulent sur le RGPD, pensant qu’une période de transition sera accordée, que cette loi ne concerne pas les collectivités territoriales ou même que les petites communes ne sont pas concernées. 
C’est pourquoi il est important de préciser qu’aucune période transitoire ne sera accordée, puisque qu’une période de deux ans s’est déjà écoulée entre l’amendement du texte de loi et son entrée en application le 25 mai prochain. 
Certes, il est envisageable que les contrôles effectués par la CNIL ne concerneront pas d’emblée, les collectivités, qui seront toutefois concernées par les sanctions financières encourues. De plus, il est important de notifier que le Senat a adopté un amendement en faveur des collectivités afin de les accompagner dans leur conformité au RGPD. Celui-ci a pour but de créer un fond de dotation communication et intercommunal en leur faveur.

Quant au secteur public, tous les acteurs sont concernés par le RGPD. Aucun seuil n’a été établi et même les petites communes sont concernées par ce changement et devront désigner un délégué à la protection des données personnelles (DPD), ou « data protection officer » (DPO). 

Le transfert de responsabilité du contrôle de conformité 
Le RGPD ne révolutionne pas les principes de la protection des données personnelles prévus dans la loi « informatique et libertés ». Cette dernière présente d’ores et déjà un niveau d’exigences conséquent en la matière, d’ailleurs appliquées par certaines collectivités qui ont, par exemple, déjà nommé des Correspondants Informatiques et Libertés. Le grand changement apporté par le RGPD s’articule autour de la responsabilité des acteurs traitant des données. Il consiste à mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Les collectivités sont particulièrement concernées dans la mesure où elles traitent au quotidien de nombreuses données personnelles, et qu’elles gèrent également un parc applicatif souvent très important (télé-procédures, vidéosurveillance, stationnement, etc.). Ces traitements peuvent concerner des données sensibles au sens du RGPD (police municipale, aide sociale…), dont la sécurisation est un enjeu capital. 

Focus sur certains points d’attention propres aux collectivités territoriales
Dans un premier temps, les collectivités doivent qualifier leur rôle au regard du traitement des données. Si elles sont a priori responsables des traitements qu’elles mettent en œuvre, elles sont susceptibles d’être coresponsables du traitement lorsqu’elle confie la gestion de ses traitements à un tiers. De ce fait, chaque collectivité doit disposer d’un registre listant les traitements qui ont lieu sous sa responsabilité.

Ensuite, elles devront anticiper et organiser la nomination d’un DPO, qui peut être, au besoin, mutualisé entre plusieurs collectivités mettant en œuvre des traitements similaires. Par exemple, entre plusieurs petites communes – et, le cas échéant, externalisé, notamment si la taille de la collectivité n’est pas suffisamment importante. Le DPO pourra être responsable de la tenue du registre des activités de traitement. La nomination du DPO pose des questions pratiques telles que les modalités de recours à une structure intercommunale dans l’hypothèse d’une mutualisation, ou encore la passation d’un contrat de prestation de service en cas d’externalisation.

De plus, il est important pour chaque collectivité de renforcer les clauses contractuelles avec les sous-traitants. Il faudra, pour elles, de s’assurer que les prestations en cours sont effectuées en conformité avec les dispositions réglementaires. Les collectivités devront vérifier et obtenir auprès de leurs fournisseurs, les garanties nécessaires sur leur niveau de sécurité. Quant aux commandes futures, elles devront inclure dans leur appel d’offres, des clauses relatives au respect des données personnelles. 

De plus, lorsque le traitement des données s’effectue au moyen d’une nouvelle technologie et dans la mesure où la nature, l’importance, le contexte et les finalités du traitement pourraient conduire à un risque élevé pour les droits et libertés des personnes concernées, l’entreprise devra évaluer l’impact du traitement sur ces droits et libertés (AIPD). C’est le cas des collectivités qui utilisent la vidéosurveillance, les systèmes de lecture automatique des plaques d’immatriculation pour le stationnement, ou encore les télé services permettant la communication et l’envoi de documents entre administrations et administrés.

Pour finir, il est nécessaire pour toutes les collectivités de revoir l’ensemble des notices ou mentions d’information à destination de leurs administrés. En effet, avec le RGPD, des informations supplémentaires doivent y figurer, comme par exemple, le fondement juridique du traitement des données ou de la durée de conservation des données.

Le travail de mise en conformité au RGPD est donc considérable. Chaque collectivité doit définir les priorités des chantiers, et accompagner les différents services impactés dans ce projet de mise en conformité. Conscient des contraintes qui pèsent sur les collectivités, OpenField peut vous accompagner dans cette mise en conformité et vous fournir toutes les recommandations à mettre en place pour être prêt pour le RGPD. Envie de plus de renseignements ou de prévoir une analyse complète de votre établissement, contacter nos experts dès à présent.