La Cnil poursuit son accompagnement à la mise en conformité en publiant le 18 septembre 2019 un guide à destination des collectivités territoriales
L’entrée en vigueur du Règlement général sur la Protection des Données (RGPD) en mai 2018 et de la nouvelle version de la loi dite Informatique et Libertés en 2019 créent de nouvelles obligations pour l’ensemble des entités amenées à collecter des données personnelles, et les collectivités ne font pas exception.
Comme rappelé par la Cnil, l’un des principaux changements issu du RGPD est le passage du contrôle a priori par la Cnil à la responsabilisation des acteurs. La protection des données doit en effet être pensée par défaut et dès la conception du traitement.
En conséquence, les acteurs collectant des données doivent s’assurer de la conformité de leurs pratiques au moment de la collecte et tout au long de la vie des traitements de données.
Pour rappel, le RGPD prévoit des obligations spécifiques pour les collectivités territoriales. Notamment, là où la nomination d’un délégué à la protection des données personnelles est facultative pour certains acteurs collectant et traitant des données personnelles, cette nomination est obligatoire pour les collectivités (article 37, pt.1, a du RGPD).
Le guide insiste à ce titre longuement sur les modes de nomination et les compétences attendues d’un délégué aux données personnelles. Cette nomination, bien qu’obligatoire, ne semble pas avoir encore été réalisée par une majorité de collectivités. A titre d’exemple, en mai 2019, l’Association des Maires de France évaluait à un tiers le nombre de communes ayant désigné un délégué à la protection des données (DPO).
Les collectivités sont également plus susceptibles de devoir conduire des études d’impact (PIA) au vu de la quantité de données traitées et de leur éventuelle sensibilité (on pensera notamment aux données relatives aux groupes scolaires, aux établissements pour personnes âgées, à la télésurveillance, etc.).
La réalisation d’une étude d’impact est obligatoire lorsque le traitement mis en œuvre est susceptible de créer de risques pour les droits et libertés des personnes concernées. La Cnil rappelle également au sein du Guide que, en cas de doute, la réalisation d’une étude d’impact est fortement conseillée.
En parallèle, des exigences particulières en matière de communication des documents administratifs aux tiers s’appliquent aux collectivités. Celles-ci peuvent en effet être sollicitées par d’autres collectivités, des administrations, les comptables publics, les juridictions, etc.
A ces acteurs officiels s’ajoutent les usagers des services publics qui peuvent demander à accéder à certains documents les concernant. La Cnil et la Cada (Commission d’Accès aux Documents Administratifs) ont récemment publié un guide permettant d’articuler protection des données personnelles et obligations réglementaires, mais la tâche s’avère délicate.
La mise en conformité des collectivités constitue donc un travail important, essentiel et dense, qui s’inscrit dans la durée et doit être entamé au plus tôt. Un bon accompagnement, par un délégué à la protection des données qualifié, permet un gain de temps non négligeable et de réduire le risque éventuel de sanctions.
A notre connaissance, la Cnil n’a pas encore prononcé de sanction ni de mise en demeure de se mettre en conformité à destination de collectivités territoriales.
Néanmoins, la publication de ce guide doit encourager les collectivités à s’assurer qu’elles respectent les principes de la protection du droit des données personnelles. Il sera en effet plus difficile de justifier l’absence de prise de décision à mesure que la Cnil fournira des supports de plus en plus nombreux à la destination spécifique des collectivités.
La désignation d’un délégué à la protection des données devrait donc être en tête des priorités des collectivités pour la fin d’année 2019.
Source: Collectivités territoriales : la CNIL publie un guide de sensibilisation au RGPD