Haute-Garonne Ingénierie
Agence Technique Départementale

Tant dans leur fonctionnement interne que dans la gestion des services et activités au bénéfice de leurs usagers, les collectivités territoriales traitent une masse importante de données numériques, publiques et personnelles. Elles vont devoir respecter les dispositions du Règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

Ce règlement entrera en application le 25 mai 2018. Ce règlement est directement applicable, sans nécessiter un texte juridique français de transposition, même si un projet de loi relatif à la protection des données personnelles est actuellement en discussion.

Le règlement unique pour tous les Etats de l’Union européenne se structure autour de deux éléments principaux : une logique de responsabilisation des acteurs et une nouvelle organisation interne de la protection des données à mettre en place.

1. Une logique de responsabilisation des acteurs
   1. Qu’est-ce qu’une donnée à caractère personnel ?
   2. Qu’est-ce qu’un traitement ?
   3. Qui est responsable du traitement ?
   4. Les grands principes du RGPD
   5.  Les obligations posées par le RGPD
2. Une nouvelle organisation interne de la protection des données
   1.  Le recensement des traitements de données personnelles utilisés
   2.  L’analyse d’impact relative à la protection des données
   3. La désignation d’un Délégué à la Protection des Données (Data Protection Officer – DPO)

Une logique de responsabilisation des acteurs

 Le RGPD se caractérise par une approche fondée sur les risques. Un des objectifs principaux du RGPD est de responsabiliser les collectivités locales dans la protection des données personnelles qu’elles utilisent dans le cadre de leur traitement informatique. Cette responsabilisation se couple d’un contrôle des traitements informatiques « a posteriori » (et non plus « a priori », comme à présent, en déclarant de manière préalable tout traitement à la Commission Nationale Informatique et Libertés - CNIL).

Il convient tout d’abord de préciser certains éléments :

Qu’est-ce qu’une donnée à caractère personnel ?

L’article 4 du RGPD donne une définition élargie et plus précise par rapport à la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978 modifiée. Ainsi, constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence :

• à un identifiant, tel que un nom, un numéro d'identification, des données de localisation, un identifiant en ligne,
• à un ou plusieurs éléments spécifiques propres à son identité : physique, physiologique, génétique, psychique et/ou économique, culturelle, sociale.

Qu’est-ce qu’un traitement ?

La définition donnée par le RGPD (dans son article 4) diffère peu par rapport à la Loi « Informatique et Libertés ». Un traitement de données à caractère personnel correspond à toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que :

• la collecte,
• l’enregistrement,
• l’organisation, la structuration,
• la conservation,
• l’adaptation ou la modification,
• l’extraction, la consultation, l’utilisation,
• la communication par transmission, la diffusion ou toute autre forme de mise à disposition,
• le rapprochement ou l'interconnexion,
• la limitation ou le « verrouillage »,
• l'effacement ou la destruction.

Qui est responsable du traitement ?

Toujours selon l’article 4 du RGPD, dans la continuité dans la définition et la conception de la Loi « Informatique et Libertés », le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Les collectivités territoriales représentées par leurs exécutifs sont donc des responsables de traitement.

Les prestataires informatiques pourront être assimilés à des sous-traitants au sens de l’article 28 du RGPD. Comme sous-traitants, les prestataires assumeront désormais une responsabilité directe, ce qui aura un impact significatif sur de très nombreuses sociétés informatiques agissant en qualité de sous-traitants. Le RGPD détaille les obligations de chacun, à prévoir dans un contrat ou un marché public. Lorsqu’un sous-traitant fait lui-même appel à un prestataire qui ne respecte pas les engagements du contrat initial, le sous-traitant initial sera pleinement responsable devant le responsable de traitement. 

Les grands principes du RGPD

Au regard de ces éléments et de l’objectif affiché d’auto-responsabilisation, le RGPD se fonde principalement sur trois grands principes énoncés par l’article 5 :

• le principe de finalité (à quoi le traitement ou le fichier va servir) : les données ne peuvent être recueillies que pour une finalité déterminée, explicite et légitime, correspondant aux missions de la collectivité. Ce principe limite la manière dont le responsable du traitement pourra utiliser ou réutiliser ces données dans le futur ;
• le principe de pertinence (principe de proportionnalité ou de minimisation de la collecte) : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées ;
• le principe de temporalité (ou le principe de conservation) : une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées.

 Les obligations posées par le RGPD

Sur la base de ces principes, le RGPD pose un certain nombre d’obligations. La collectivité devra conduire une réflexion sur la protection des données dès la création ou la conception d’un service, d’un traitement informatique (« privacy by design ») et sur la protection des données par défaut (« security by default »). Cette réflexion devra aboutir à la mise en œuvre de mesures techniques et /ou organisationnelles, tout en veillant à limiter la quantité de données traitées. Ainsi l’état de la sécurité du système d’information devra être accessible et tracé à tout moment, par rapport aux spécifications du constructeur ou de l’éditeur de logiciel, aux aspects vulnérables du système et à leurs mises à jour.

 Si l’obligation de déclarations préalables pour les traitements sans risque pour la vie privée est supprimée dans la logique de responsabilisation des élus. Il n’en reste pas moins qu’ils devront mettre en place des mesures de protection, puis les documenter et démontrer la conformité à tout moment. Il faut comprendre cet impératif au sens d’une mise en conformité dynamique et permanente des traitements informatiques par les collectivités territoriales.

Une des obligations posées par le RGPD sera pour les collectivités de notifier les failles de sécurité concernant les données personnelles à l’autorité de contrôle compétente (CNIL) dans un délai de 72 h. après leur découverte et aux personnes concernées lorsqu’il existe un risque élevé pour leurs droits et libertés. Ces dernières auront droit à réparation du préjudice, auprès du responsable du traitement ou de son sous-traitant.

Une nouvelle organisation interne de la protection des données

Les collectivités doivent prendre des mesures techniques et organisationnelles de nature à garantir le respect des dispositions du RGPD.

 Le recensement des traitements de données personnelles utilisés

En application du RGPD, les collectivités doivent cartographier de manière exhaustive les traitements informatiques de données personnelles. Une fois ce recensement effectué, elles devront s’assurer que ces traitements respectent les obligations européennes et nationales.

 L’article 30 du règlement impose, en effet, de tenir un registre des activités de traitement effectuées sous la responsabilité des organismes. Cette disposition détaille les informations devant être contenues dans ce registre, notamment les types de données traitées (catégories de personnes concernées et catégories de données à caractère personnel).

 L’obligation de tenue d’un registre ne s’applique pas « à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et libertés des personnes concernées ». Dès lors, les collectivités vont être obligés de créer et de suivre ce registre, même si elles ont moins de 250 agents, compte tenu des traitements informatiques qu’elles utilisent (logiciel ressources humaines, finances-comptabilité, facturation, état-civil, élections…).A titre d’exemple, sont concernés les traitements portant sur les numéros de sécurité sociale.

Le registre est tenu à la disposition de la CNIL.

 L’analyse d’impact relative à la protection des données

Pour les traitements dit « à risques », c’est-à-dire traitant des données sensibles (information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle) et de santé (données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne) ou reposant sur du profilage, une analyse des risques et une étude d’impact sur la vie privée (EIVP) devront obligatoirement être réalisées.

Ces études devront faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées par la collectivité pour protéger les données, notamment avant la mise en œuvre de certains traitements.

Cette obligation s’impose à tous les responsables de traitements et aux sous-traitants. Ils doivent donc effectuer une analyse d’impact relative à la protection des données personnelles pour tous les traitements présentant des risques particuliers d’atteinte aux droits et libertés individuelles (principalement vis-à-vis de la vie privée).

La conduite de cette analyse d’impact doit permettre l’examen des dispositions légales, des garanties et mécanismes envisagés pour assurer la protection des données à caractère personnel et apporter la preuve que le RGPD est bien respecté. Enfin, les mesures de sécurité mises en œuvre devront obligatoirement être reconsidérées au regard d’une évaluation régulière des risques.

La désignation d’un Délégué à la Protection des Données (Data Protection Officer – DPO)

L’article 37 du Règlement européen impose aux autorités publiques ou organismes publics de désigner un DPO. Ce délégué est chargé de la mise en conformité permanente des traitements aux règles de protection des données. Il ne dispose pas d’un pouvoir décisionnel. Son rôle est de conseiller et d’informer.

Le règlement ouvre la possibilité qu’un seul DPO puisse être désigné pour plusieurs autorités ou organismes publics, « compte tenu de leur structure organisationnelle et de leur taille ». Ainsi et sous réserve de veiller à tout éventuel conflit d’intérêt, le DPO peut être :

• soit un agent de la collectivité,
• soit une personne extérieure qui exercera sa mission sur la base d’un contrat de service[1] (avocat, prestataire...),
• soit mutualisé : par exemple à l’échelle d’un EPCI, d’un département.

La seule réserve posée par le Règlement est que le DPO dispose de qualités professionnelles (notamment de connaissances spécialisées du droit et des pratiques en matière de protection des données) et de capacité pour exercer les missions listées à l’article 39 du RGPD, à savoir de :

• conseiller et informer le responsable public du traitement et ses agents procédant au traitement sur leurs obligations en matière de protection des données ;
• contrôler le respect du Règlement et du droit français (CNIL) ;
• conseiller sur la réalisation d’une étude d’impact sur la protection des données et vérifier son exécution (l’organisme public doit pouvoir démontrer l’efficacité des mesures qu’elle a prises) ;
• coopérer avec la CNIL et être le point de contact de la Commission.

Le DPO doit pouvoir exercer ses missions en toute indépendance, sans recevoir d’instructions sur la manière de les accomplir.

Concrètement, l’ensemble des collectivités territoriales sont soumis au Règlement européen du 27 avril 2016. Dans ce cadre, elles devront désigner, avant le 25 mai 2018, un DPO. Ce dernier viendra remplacer sur des missions plus importantes le « correspondant informatique et libertés » (CIL) qui œuvre déjà dans certaines collectivités.

La nomination du DPO n’exonère pas le responsable du traitement ou le sous-traitant de sa responsabilité en cas de non-respect des règles du RGPD relatives à la protection des données personnelles.

 -----------------------------

[1] Le contrat de service est un contrat autre qu’un contrat de vente en vertu duquel le professionnel fournit ou s’engage à fournir un service au consommateur et le consommateur paie ou s’engage à payer le prix de celui-ci (Directive 2011/83/UE du Parlement Européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive 93/13/CEE du Conseil et la directive 1999/44/CE du Parlement européen et du Conseil et abrogeant la directive 85/577/CEE du Conseil et la directive 97/7/CE du Parlement européen et du Conseil).

Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.