de liens

    Thèmes

    de liens
    1. Accueil
    2. Base doc
    3. Informatique
    4. Securite informatique
    5. Protection des données personnelles et collectivi...

    Protection des données personnelles et collectivités territoriales : la loi du 20 juin 2018

    Article

    1.  Missions de la CNIL
    2. Mesures et sanctions
    3. La mise en œuvre des traitements
    4. Application facilitée pour les collectivités territoriales

     

    La protection des données à caractère personnel fait partie intégrante des droits au respect de la vie privée. Dès 1978, la France, avec la loi « informatique et liberté » et la création de la Commission Nationale Informatique et Libertés (CNIL), a obligé les organismes à se responsabiliser dans le traitement des données collectées.

     Le règlement européen 2016-679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) a uniformisé des règles directement applicables au niveau de l’Union Européenne.

     La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a pour objet d’assurer une première mise en conformité du droit national français avec les exigences européennes. Dans une deuxième étape, l’article 32 de la loi ouvre la possibilité pour le gouvernement de prendre par voie d’ordonnance toutes les corrections formelles et adaptations nécessaires pour assurer la cohérence et la stabilité entre les textes nationaux et européens.

     La loi pose l’interdiction de traiter des données à caractère personnel qui révèlent la prétendue origine sociale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

     Le gouvernement et le législateur n’ont pas abrogé la loi « fondatrice » du 6 janvier 1978, qui reste applicable. La loi de juin 2018 vient remanier, parfois de manière conséquente, quelques articles du texte de 1978.

    Certaines dispositions de la loi du 20 juin 2018 et du décret n° 2018-687 du 1er août 2018 d’application trouvent à s’appliquer aux collectivités territoriales.

     Missions de la CNIL

    Autorité de contrôle national au sens et pour l’application du RGPD, la CNIL informe tous les responsables de traitement de leurs droits et obligations. Dans cette perspective, elle peut désormais apporter une information « adaptée » aux collectivités territoriales et à leurs groupements.

     De manière générale, la CNIL, pour assurer le respect du RGPD, rédige et publie des lignes directrices, recommandations ou référentiels. Des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel sont proposés par la CNIL, après concertation avec les organismes publics représentatifs. Dans le même temps, l’élaboration de codes de conduite définissant les obligations incombant aux responsables de traitement est recommandé par la CNIL au regard du risque inhérent aux traitements de données à caractère personnel et des besoins spécifiques des collectivités territoriales.

     Outre ces missions de conseil et d’assistance, la CNIL assure le contrôle de la mise en œuvre des traitements. La loi du 20 juin 2018 conforte cette mission de contrôle. Ainsi, la Commission peut demander communication et copie de tous les documents nécessaires (informatiques, papiers…). Les représentants de la CNIL (délibération n° 2018-290 du 12 juillet 2018 habilitant des agents de la CNIL à procéder à des missions de vérification) peuvent aussi recueillir, sur place ou sur convocation, tout renseignement ou toute justification qu’ils jugent nécessaire pour leur contrôle. Le secret ne peut leur être opposé (à l’exception notamment du secret médical), y compris pour les programmes informatiques et les données. Ils peuvent même agir sous une identité d’emprunt pour contrôler des sites internet en effectuant une opération en ligne (article 65-1 du décret du 20 octobre 2005 intégré par l’article 17 du décret du 1er août 2018).

    Mesures et sanctions

    La loi du 20 juin 2018 vient compléter et préciser les principales mesures et sanctions qui peuvent être prononcées par la CNIL. Elles trouvent à s’appliquer aux collectivités territoriales, comme aux autres responsables de traitement.

     1er niveau : atteintes mesurées au RGPD et à la loi du 20 juin 2018.

    • · Avertissement : les opérations de traitement envisagées par le responsable de traitement ou son sous-traitant sont susceptibles de violer le RGPD
    • · Mise en demeure : en cas d’un manquement par le responsable de traitement ou son sous-traitant aux obligations posées par le RGPD et la loi du 20 juin 2018 constaté et susceptible de faire l’objet d’une mise en conformité

     2ème niveau : atteintes certaines au RGPD et à la loi du 20 juin 2018, après un avertissement et/ou une mise en demeure et le respect d’une procédure contradictoire.

    • · Rappel à l’ordre
    • · Injonction de mise en conformité du traitement avec le RGPD et la loi du 20 juin 2018 ou de satisfaire aux demandes présentées par une personne en vue d’exercer ses droits (injonctions pouvant être assorties d’une astreinte inférieure à 100.000 € par jour de retard)
    • · Limitation temporaire, définitive ou interdiction du traitement ou retrait d’une autorisation donnée
    • · Amende administrative ne pouvant excéder 10 millions d’euros

    3ème niveau : violation des droits et libertés (identité humaine, droits de l’homme, vie privée, libertés individuelles ou publiques) par le non-respect du RGPD et de la loi du 20 juin 2018, après procédure d’urgence contradictoire.

    • · Interruption provisoire (de 3 mois maximum) de la mise en œuvre du traitement
    • · Limitation (de 3 mois maximum) du traitement de certaines des données à caractère personnel
    • · Injonction de mise en conformité du traitement avec le RGPD et la loi du 20 juin 2018 ou de satisfaire aux demandes présentées par une personne en vue d’exercer ses droits (injonctions pouvant être assorties d’une astreinte inférieure à 100.000 € par jour de retard)
    • Rappel à l’ordre

    La mise en œuvre des traitements

    Le RGPD a posé comme principe que tout responsable de traitements doit être en capacité de prouver à tout moment qu’il est en conformité. Les principales formalités ou déclarations préalables à un traitement prévues par la loi « informatique et liberté » de 1978 ne sont plus exigées.

    La loi du 20 juin 2018 prévoit qu’un prochain décret devrait définir les catégories de responsables de traitement et les finalités de ces traitements qui utilisent le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques.

    Toute personne née en France est inscrite au répertoire national d’identification des personnes physiques (RNIPP). L’inscription à ce répertoire permet l’attribution d’un numéro d’inscription au répertoire (NIR). Ce numéro d’identification unique est le numéro de sécurité sociale à 13 chiffres.

    Ne devraient pas être concernés par le décret à intervenir les téléservices de l’administration électronique ou les démarches administratives en ligne mis en œuvre par les collectivités territoriales. Toutefois, ces traitements comportant le NIR doivent, en tout état de cause, respecter le RGPD (comme une inscription au registre des traitements, une étude d’impact).

    Application facilitée pour les collectivités territoriales

    De nombreux amendements présentés au Sénat avaient tenté de faciliter l’application du RGPD par les collectivités locales. Ils n’ont pas résisté à la navette parlementaire. Seules les possibilités de conclure des conventions entre collectivités et de créer un service unifié ont surnagé.

    En effet, les collectivités territoriales et leurs groupements peuvent signer entre elles des conventions dont l’objet peut être la réalisation de prestations de service liées au traitement de données à caractère personnel. Cette possibilité de convention spécifique est sans incidence sur l’application éventuelle du dernier alinéa de l’article L.5111-1 du code général des collectivités territoriales, qui prévoit l’hypothèse de conventions portant sur la réalisation de prestations de services, sans respect du droit de la commande publique, entre EPCI ou entre communes membres d’un même EPCI à fiscalité propre et à condition que le rapport relatif aux mutualisations de services le prévoit (voir ATD Actualité n° 282 de juin 2018).

    De même, les collectivités territoriales et leurs groupements, par délibérations concordantes, peuvent décider, en application de l’article 31 de la loi du 20 juin 2018, de se doter d’un service unifié afin d’assumer en commun les charges et obligations relatives au traitement de données à caractère personnel.



    Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.

    Paru dans :

    ATD Actualité n°284

    Date :

    1 septembre 2018

    Mots-clés

    En savoir

    Mentions légales - Politique de protection des données - Nous contacter - Outils informatiques

    Logo HGI - Logo CD31

    Haute-Garonne Ingénierie
    Agence Technique Départementale de la Haute-Garonne
    54, boulevard de l'Embouchure, 31200 Toulouse
    Tél : 05.34.45.56.56