Les obligations
1) En termes d’objectifs :
Les collectivités seront soumises au principe de responsabilité et devront être capables de rendre compte du respect du Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) (art 5.2).
Des mesures techniques et organisationnelles appropriées (art 32) devront être mises en œuvre pour garantir un niveau de sécurité adapté aux risques. Les collectivités devront adapter les mesures selon la nature du traitement, la sensibilité des DCP concernées, comme lors des traitements portant sur les difficultés sociales des administrés, leur sécurité, ou pour leurs agents, l’identification biométrique d’accès aux locaux.
Des procédures particulières devront être implémentées pour satisfaire aux obligations du responsable de traitement de notification des violations de sécurité dans les délais prescrits à l’autorité de contrôle (72 heures – art 33) et aux personnes concernées (meilleurs délais en cas d’atteinte grave – art 34) et de documentation des mesures prises pour y remédier (art 33.5).
Les contrats avec les sous-traitants auront l’obligation d’intégrer les clauses imposées par le RGPD (art 28). Les collectivités auront la contrainte de privilégier les offres proposant la protection des DCP dès la conception du produit ou par défaut (art 25) qui pourront faire l’objet de certifications.
2) En termes de moyens :
Les collectivités devront obligatoirement (art 37.1a) désigner un délégué à la protection des données (DPO). Il pourra être commun pour les petites structures (art 37.3). La fonction confiée sur la base des qualités professionnelles et connaissances du DPO (art 37.5) pourra être internalisée ou externalisée.
Le DPO veillera au respect du RGPD, conseillera la collectivité sur ses obligations et sensibilisera le personnel. Il sera le point de contact de l’autorité de contrôle et des personnes concernées. Il devra disposer des ressources nécessaires (art 38).
Les formalités déclaratives auprès de la CNIL sont remplacées par la tenue d’un registre obligatoire (art 30) même dans les collectivités de moins de 250 salariés lorsque le traitement porte sur des DCP sensibles ou des condamnations pénales ou infractions. Le registre intègre les mesures de sécurité.
Les mesures à prendre
1) La mise en œuvre et les coûts engendrés
Sur le plan humain, les collectivités peuvent avoir recours à leur propre personnel ou faire appel à un prestataire extérieur, sur la base d’un contrat de service. La solution interne nécessitera un renforcement et/ou une réorganisation des équipes, afin de prendre en compte cette nouvelle mission mais aussi la rémunération y afférente. En cas d’externalisation du rôle de DPO à un prestataire extérieur, il conviendra de passer un appel d’offres assorti d’obligations de publicité et de mise en concurrence. En effet, le marché en cause sera un marché public qui aura pour objet de répondre aux besoins des collectivités territoriales, en matière de services.
Sur le plan technique, les collectivités devront, également, se doter d’équipements informatiques permettant le traitement en toute sécurité de leurs données. Toutefois, pour limiter les coûts, les collectivités les plus modestes pourront mutualiser leurs dépenses (notamment par le biais d’achats groupés d’équipements informatiques).
2) Le financement envisagé
Ces nouvelles obligations ne constituent pas des compétences décentralisées, pouvant s’accompagner des dotations correspondantes, mais des nouvelles obligations à la charge de chaque collectivité. Ces obligations s’imposent donc aux collectivités, sans possibilité de financement de l’État visant à compenser les dépenses engagées.
Par ailleurs, même si le RGPD impose certaines prescriptions tendant à permettre un traitement en toute sécurité des données (privacy by design), celles-ci visent uniquement à permettre une meilleure protection des données. Toutefois, au stade de l’achat des équipements nécessaires, les collectivités devront s’assurer de ne pas favoriser « certaines entreprises ou certaines productions » (art 107 TFUE), par le biais de subventions irrégulières par exemple, sous peine de constituer une aide d’État prohibée par le droit européen.
L’ensemble de ces mesures grèvera le budget des collectivités cependant, les sanctions encourues sont élevées (jusqu’à 20 millions d’euros – art 83).
Raphaël CRESPELLE, Caroline BELOTTI et Fabrice LORVO, du cabinet FTPA