Les collectivités doivent désigner un correspondant à la protection des données avant le 25 mai

Administration

Le texte adaptant pour la France la réglementation européenne sur la protection des données personnelles entre en vigueur le 25 mai. Il entraîne une série d’obligations pour les collectivités, responsables des traitements de données.

L’Assemblée nationale a adopté le 14 mai en lecture définitive le projet de loi qui traduit en droit français la réglementation européenne : le règlement général sur la protection des données personnelles (RGPD). Un texte examiné en procédure accélérée depuis décembre 2017, qui a cependant fait l’objet de débats musclés et de nombreux allers-retours entre les députés et les sénateurs. Le désaccord portait notamment sur le cas des collectivités territoriales, pour lesquelles le Sénat aurait souhaité un régime dérogatoire temporaire. Désormais, ce n’est donc plus la loi Informatique et libertés qui régit les données privées. Les collectivités sont a priori considérées comme « responsables de traitement » des données qu’elles détiennent. Elles doivent désigner, avant le 25 mai, date d’entrée en vigueur du RGPD, un délégué à la protection des données (DPD) compétent et indépendant, qui les conseillera et contrôlera la bonne application de la réglementation. Les petites communes peuvent se grouper pour nommer un DPD mutualisé.

Des procédures internes garantissant la prise en compte de la protection des données à tout moment doivent être adoptées. Elles intègrent l’ensemble des événements qui peuvent affecter un fichier : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire.

Les formulaires qui recueillent les données des citoyens doivent être modifiés afin de préciser notamment l’auteur de la collecte, la durée de conservation, la finalité de traitement et les informations relatives aux droits des personnes. La collectivité doit mettre un formulaire de contact à disposition du public afin que les citoyens puissent accéder aux données qui les concernent. Une demande de consentement doit également être formulée auprès des personnes concernées. Pour les fichiers les plus sensibles, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, il convient de faire une analyse d’impact sur la protection des données (PIA) ; la Cnil fournit un outil gratuit pour la réaliser.

Les sous-traitants des collectivités doivent aussi présenter des garanties suffisantes, montrant qu’ils ont mis en œuvre des mesures techniques et d’organisation aptes à protéger les données. La collectivité doit donc analyser les clauses contractuelles avec eux, et mettre à jour sa documentation d’appels d’offres de marchés publics, afin d’obtenir de leur part de réelles garanties.

Après avoir analysé et recensé au préalable les fichiers et les systèmes d’information dont elle dispose, la collectivité est tenue de créer un registre des traitements. Il conviendra également d’informer les agents du changement de législation et de son impact, et de prévoir des formations adaptées.

Il n’est pas exclu que le Sénat, qui n’a pas réussi à se faire entendre en commission mixte paritaire, saisisse le Conseil constitutionnel sur ce texte.

Marie Gasnier

 

Se préparer en six étapes

La Cnil explicite de façon très détaillée les six points qu’il convient de respecter pour se mettre en conformité avec le RGPD : désigner un pilote, cartographier, prioriser, gérer les risques, organiser, documenter.

Pour aller plus loin :

Livre blanc

Le règlement général sur la protection des données - Décryptage

Téléchargez

Le règlement européen va venir renforcer les droits des personnes et les responsabilités des responsables de traitements et des sous-traitants. Le droit des personnes sur leurs données est renforcé avec notamment la création d’un droit à l’oubli, et de nouvelles exigences en termes de consentement.

Les collectivités territoriales, au même titre que les organismes privés, se doivent de respecter ce nouveau règlement qui demande, dans sa mise en œuvre et son application, une certaine méthodologie et une grande rigueur.

Avec le nouveau règlement européen sur la protection des données, on passe d’une logique de contrôle a priori (déclarations à la CNIL, etc.) à une logique de responsabilisation de tous les acteurs, privés ou publics. L’objectif poursuivi est de responsabiliser les organisations qui gèrent des données personnelles.

Il apparaît donc essentiel de se documenter, de se former et d’être accompagné dans la mise en place des procédures propres au RGPD : désignation d’un Délégué à la Protection des Données (DPD), formation des acteurs aux nouvelles règles pour la protection des données personnelles, mise en place de nouveaux outils.

Pour en savoir plus, vous pouvez télécharger gratuitement le Focus « Le règlement général sur la protection des données – Décryptage » qui vous est offert par les Éditions WEKA.

Sommaire :

  • Le RGPD : genèse et étapes de l’élaboration d’une réglementation au niveau européen pour la protection des données
  • Le RGPD : rappels législatifs
  • L’analyse des spécialistes – règlement européen sur la protection des données : ce qui change pour les collectivités
  • Focus : la mise en œuvre du RGPD
  • Focus : le délégué à la protection des données (DPD)
  • L’analyse des spécialistes – collectivités publiques et protection des données à caractère personnel : l’impact du RGPD

Posté le par Marie Gasnier

Recommander cet article

Réagissez à cet article sur le forum