Cela fait plus d’un an (25 mai 2018) que le règlement général européen sur la protection des données (RGPD) s’impose aux collectivités. En effet, celles-ci traitent des données personnelles à l’occasion de nombreuses activités : gestion des services publics (état civil, inscriptions scolaires, listes électorales…), gestion des ressources humaines, sécurisation des locaux (contrôle d’accès par badge, vidéosurveillance), site web. En outre, leur volume augmente avec la transformation numérique de l’action publique. Le RGPD n’exige plus que les fichiers soient déclarés mais la collectivité doit se mettre en conformité avec le règlement. Une tâche complexe, à mener « de façon active et en continu », précise la Cnil dans un guide de sensibilisation destiné principalement aux petites et moyennes communes et à leurs groupements. La mise en conformité concerne également les sous-traitants de la collectivité et doit être inscrite dans les conventions qui les lient.
La démarche de conformité au RGPD ne doit pas être perçue uniquement comme une contrainte. Pour la Cnil, il s’agit « avant tout d’une occasion de faire le point sur l’utilisation des services numériques dans la collectivité et de s’assurer que la protection des données personnelles a bien été prise en compte ». Le guide décrit le plan d’action à suivre pour se conformer au RGPD. Il passe par plusieurs étapes successives ; certaines actions doivent perdurer dans le temps pour être efficaces (formation, évolution des procédures…). La collectivité doit tenir à jour un registre des traitements de données, avec une fiche par activité recensée : tenue du registre d’état civil ou du cadastre, gestion des inscriptions en crèche, à l’école ou en périscolaire, gestion de la liste électorale, des ordures ménagères, des adhérents de la médiathèque… Le registre permet non seulement d’avoir une vision claire des données détenues, mais aussi de sensibiliser les services aux enjeux de protection.
Il convient ensuite faire le tri dans les données. Il faut notamment vérifier la pertinence des données par rapport à l’objectif poursuivi, ainsi que leur nature, afin d’adopter des mesures de sécurité adaptées aux risques spécifiques qui leur sont associés. La collectivité doit aussi s’assurer que seuls les agents habilités ont accès aux informations dont ils ont besoin, et fixer précisément la durée de conservation et d’archivage des données pour respecter le principe de durée limitée de conservation. Enfin, il convient de respecter les droits des administrés, en les informant lorsque leurs données sont recueillies par l’intermédiaire d’un téléservice, d’un formulaire ou par oral.
Des fiches techniques destinées aux collectivités sont disponibles sur le site de la Cnil.
Attention : la Cnil rappelle également qu’elle ne mandate aucun organisme habilité à contacter les entreprises et les collectivités en son nom.
Marie Gasnier
|
La Cnil propose un cours en ligne gratuit qui délivre une attestation de suivi. |
|
Les obligations liées au RGPD – Désigner un délégué à la protection des données. |
