Le Règlement Général sur la Protection des Données : les collectivités territoriales aussi concernées

Le Règlement européen sur la protection des données à caractère personnel (RGPD) est entré en application le vendredi 25 mai 2018 et il a vocation à s’imposer également aux collectivités territoriales.

Les grands principes du RGPD

• Ne collecter que les données nécessaires à la finalité prévue pour ces données, et ne les conserver que pour la durée nécessaire au traitement ;
• Collecter les données de manière loyale, licite et transparente, et en particulier informer la personne concernée des caractéristiques précises du traitement de données ;
• Tenir les données à jour et assurer leur sécurité, en mettant en place des mesures techniques et organisationnelles appropriées ;
• Ne pas transférer des données personnelles vers un pays hors Union Européenne sans mettre en place les garanties appropriées ;
• Respecter les droits des personnes (droit d’accès, de rectification et d’opposition en particulier) ;
• Encadrer et sécuriser les relations entre responsables de traitement et sous-traitants.

Les obligations et les sanctions

Le RGPD met fin à l’obligation de déclarer à la CNIL les traitements de données mis en œuvre. En revanche, il responsabilise les acteurs en leur imposant de documenter, et d’être capables de démontrer, leur conformité au RGPD.

Des sanctions plus sévères sont dorénavant applicables en cas de non-respect du RGPD, notamment des amendes administratives pouvant atteindre 20 millions d’euros. La responsabilité de l’organisation peut également être engagée par une personne qui estime qu’un traitement de données non conforme lui a porté préjudice.

En quoi les collectivités locales et les organismes publics sont-ils concernés ?

Le RGPD ne s’applique pas aux traitements réalisés par les autorités à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuite ou d’exécution de sanctions pénales, y compris la protection et la prévention contre les menaces pour la sécurité publique, qui seront régis par la nouvelle loi Informatique et Libertés qui transpose la directive (UE) 2016/680 dite [Police-Justice].

En dehors de quelques autres exceptions et limitations (concernant notamment les domaines de la sécurité et de la défense nationale) le RGPD s’applique à toutes les collectivités territoriales et les établissements publics, quelle que soit leur taille.

Les traitements de données (sous forme numérique ou papier) d’agents, d’électeurs ou d’usagers doivent donc être réalisés en conformité avec le RGPD. Les traitements impliquant l’usage de nouvelles technologies (téléservices, compteurs communicants, lecture automatique de plaques d’immatriculation, systèmes d’information géographique…) ou relatifs à des données dites « sensibles » révélant l’état de santé, les croyances religieuses ou les opinions politiques des personnes sont particulièrement concernés compte tenu de leur impact sur la vie privée.

Le RGPD impose aux collectivités et établissements publics :

• La tenue d’un registre des traitements de données décrivant leurs caractéristiques (cette exigence s’impose même aux collectivités ou établissements de moins de 250 agents et employés, pour les traitements non occasionnels) ;
• La nomination d’un Délégué à la protection des données (DPD ou DPO). Ce DPO peut être mutualisé, par exemple au niveau communautaire ;
• La réalisation d’une analyse d’impact relative à la protection des données dans le cas où le traitement mis en œuvre est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (vidéo protection par exemple) ;
• La notification sans délai à la CNIL de toute violation (perte ou divulgation illicite) de données personnelles.

Les personnes privées chargées de l’exécution d’une mission de service public sont soumises aux mêmes obligations, exception faite de la nomination d’un DPO qui ne sera obligatoire que dans certains cas, notamment le traitement à grande échelle de données sensibles.

 En lien avec notre partenaire :