L'analyse des spécialistes

Collectivités publiques et protection des données à caractère personnel : l’impact du RGPD

Administration

La réglementation relative à la protection des données personnelles va vivre une petite révolution le 25 mai 2018. À compter de cette date, le règlement général sur la protection des données, dit RGPD (UE 2016/679 du 27 avril 2016), entrera en vigueur dans tous les pays de l’Union européenne. Ombeline Soulier Dugénie et Emmanuelle Behr, Avocates Associées du Cabinet Redlink, reviennent sur les grandes lignes directrices de ce nouveau cadre normatif.

Ombeline Soulier Dugénie, Avocate associée, Cabinet Redlink
Ombeline Soulier Dugénie
Emmanuelle Behr, Avocate Associée, Cabinet Redlink
Emmanuelle Behr

 

La loi du 6 janvier 1978 dite « Loi Informatique et Libertés » ne sera pas abrogée et sera mise en conformité avec le règlement général sur la protection des données (RGPD) qui introduit notamment de nouvelles obligations applicables aux collectivités publiques.

Les collectivités publiques, qui déterminent les finalités et moyens de traitements des données personnelles, seront considérées comme responsables du traitement des données au sens du RGPD. À ce titre, elles seront soumises à de nouvelles contraintes. Au-delà de l’obligation générale de mise en œuvre des mesures techniques et organisationnelles pour assurer la conformité au RGPD, le responsable du traitement devra notamment respecter de nouvelles obligations. À savoir :

La tenue du registre des activités de traitement

Le RGPD oblige certains responsables de traitement et sous-traitants à tenir un registre des activités de leurs traitements. Cette obligation ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si :

  • le traitement qu’elle effectue est susceptible de comporter un risque pour les droits et les libertés des personnes concernées ;
  • le traitement n’est pas occasionnel (ce qui sera le plus souvent le cas pour les collectivités) ;
  • le traitement porte notamment sur des données dites sensibles ou des condamnations pénales ou infractions1.

Désignation d’un délégué à la protection des données

Le délégué à la protection des données ou DPO data protection officer est chargé de piloter la conformité au règlement général sur la protection des données au sein de l’organisme qui l’a désigné. Il a pour missions principales d’informer et conseiller le responsable de traitement, de contrôler le respect du règlement, recevoir et répondre aux réclamations et de coopérer avec l’autorité de contrôle2. Cette désignation est obligatoire lorsque le traitement est effectué par une autorité publique ou un organisme public (article 37 du RGPD).

Le DPO est désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions »3. Le délégué à la protection des données pourra être un membre du personnel de la collectivité, ou exercer ses missions sur la base d’un contrat de service. Un seul DPO peut être désigné pour plusieurs autorités ou organismes publics compte tenu de leur structure organisationnelle et de leur taille.

Les collectivités territoriales ont la possibilité de mutualiser leurs DPO. Une liste des collectivités publiques ayant désigné un correspondant Informatique et Libertés (CIL) est disponible sur data.gouv.fr permettant d’identifier les entités susceptibles de mutualiser cette fonction.

Mise en place d’une analyse d’impact ou DPIA Data Protection Impact Assessment

Tout organisme, qu’il soit privé ou public doit réaliser une analyse d’impact relative à la protection des données (AIPD) lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

La Cnil devra établir une liste des types d’opérations de traitement pour lesquelles une telle analyse est requise. Pour le moment, le Groupe de travail « Article 29 » a publié des lignes directrices selon lesquelles les neuf critères suivants sont à prendre en compte :

  • Évaluation et notation, y compris les activités de profilage et de prédiction portant notamment sur sa santé, sa fiabilité, son comportement, sa localisation ou ses déplacements.
  • Prise de décision automatisée avec effet juridique ou effet similaire significatif qui pourrait par exemple entraîner une exclusion ou une discrimination.
  • Surveillance systématique y compris d’une zone accessible au public.
  • Données sensibles ou à caractère hautement personnel, telles que les origines raciales ou ethniques, les opinions politiques, l’appartenance syndicale, les condamnations pénales, les infractions.
  • Données traitées à grande échelle prenant en compte le nombre de personnes concernées, le volume de données, la durée ou permanence de l’activité de traitement, l’étendue géographique de l’activité de traitement.
  • Croisement ou combinaison d’ensemble de données effectués à des fins différentes ou par différents responsables de traitement d’une manière qui outrepasserait les attentes raisonnables de la personne concernée.
  • Données concernant des personnes vulnérables.
  • Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.
  • Traitements qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un contrat.

Selon le Groupe de Travail « Article 29 » si deux des critères sont remplis, le responsable du traitement doit considérer qu’une analyse d’impact est nécessaire.

L’analyse d’impact doit contenir :

  • Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • Une évaluation des risques pour les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel, et à apporter la preuve du respect du RGPD.

Si l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer ce risque, une consultation préalable de la Cnil est alors obligatoire. L’autorité de contrôle a alors 8 semaines minimum pour fournir un avis écrit lorsqu’elle estime que le traitement envisagé peut constituer une violation du RGPD.

L’objectif poursuivi par le RGPD est donc de responsabiliser les organismes pour la protection des données personnelles. Cette responsabilisation passe principalement par la suppression de l’obligation générale de formalités auprès de la Cnil et par une analyse des organismes utilisant des données sensibles afin de mettre en place les mesures de contrôle internes appropriées à la nature du risque encouru, notamment par la mise en place d’une analyse d’impact.

On passe donc d’une logique de contrôle a priori vers une logique de responsabilisation de tous les acteurs concernés privés et publics.

Ombeline Soulier Dugénie, Avocate associée, et Emmanuelle Behr, Avocate Associée, Cabinet Redlink

 


Notes :

1. Article 30 du RGPD

2. Article 39 du RGPD

3. Article 37.5 du RGPD

Posté le par

Recommander cet article

Réagissez à cet article sur le forum