Données personnelles : des obligations renforcées en mai 2018

Administration

En mai 2018, la protection des données personnelles sera renforcée par un règlement européen. Une obligation lourde, assortie de sanctions, à laquelle toutes les communes devront satisfaire. Les plus petites pourront mutualiser leur politique de sécurité informatique.

Le 25 mai 2018, un nouveau règlement européen sur la protection des données personnelles (RGPP) entrera en vigueur. Les collectivités, qui collectent une multitude d’informations dans tous les domaines (état civil, cadastre, services sociaux, transports scolaires, transports publics…), devront s’y soumettre. En effet, le croisement de certaines données, parfois très sensibles, pourrait conduire à établir le profil d’une personne.

Les petites communes, qui n’ont pas les moyens de se doter d’un responsable de la sécurité des systèmes d’information (RSSI) seront les plus impactées par le texte. Or, les risques sont importants. « Ainsi, en janvier 2015, après les attentats à Paris, les sites de 19 000 communes ont été modifiés avec la propagande de Daech », a rappelé le général Marc Watin Augouard sur le plateau de 01netTV du Forum international de la cybersécurité, qui s’est tenu à Lille fin janvier. Elles peuvent aussi se faire rançonner (ransomware) par des cyberpirates qui chiffrent les données et menacent de les détruire à distance si une somme d’argent n’est pas payée.

Responsable des données de sa collectivité, le maire a le devoir de les préserver et de les sécuriser. Toutes les communes, y compris les plus petites, devraient donc avoir une politique de sécurité informatique, de stockage et d’accès aux données, mais aussi sensibiliser leurs agents aux risques.

Avec le RGPP, protéger les données personnelles deviendra obligatoire, et les sanctions seront renforcées. Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et l’organisation nécessaires, dès la conception du produit ou du service et par défaut, en limitant la quantité de données traitées dès le départ.

Les personnes devront disposer d’une information claire, intelligible et aisément accessible, être informées de l’usage de leurs données et en principe donner leur accord ou pouvoir s’opposer à leur traitement — au responsable de traitement de faire la preuve du consentement. Des dispositions spécifiques seront applicables aux mineurs de moins de 16 ans.

Le RGPP imposera notamment de tenir un registre des traitements mis en œuvre et de notifier les failles de sécurité aux autorités et aux personnes concernées. Pour toutes les données sensibles, une étude d’impact devra être menée : caractéristiques du traitement, risques et mesures adoptées.

Les responsables de traitement du secteur public – donc les collectivités – devront également désigner un délégué à la protection des données (DPO). Ce DPO pourra toutefois être mutualisé ou externalisé.

En l’absence de responsable de la sécurité informatique, le maire peut aussi s’adresser directement à la gendarmerie pour obtenir des conseils, a précisé Laurent Vidal du Centre de recherche de l’école des officiers de la Gendarmerie nationale. Des référents sûreté, spécialistes des nouvelles technologies, peuvent vérifier notamment la fiabilité des installations envisagées, sans pouvoir, bien entendu, donner un avis sur les matériaux ou sur les matériels qui seront installés.

Marie Gasnier

Posté le par Marie Gasnier

Recommander cet article

Réagissez à cet article sur le forum