L’Assemblée nationale a adopté le 14 mai en lecture définitive le projet de loi qui traduit en droit français la réglementation européenne : le règlement général sur la protection des données personnelles (RGPD). Un texte examiné en procédure accélérée depuis décembre 2017, qui a cependant fait l’objet de débats musclés et de nombreux allers-retours entre les députés et les sénateurs. Le désaccord portait notamment sur le cas des collectivités territoriales, pour lesquelles le Sénat aurait souhaité un régime dérogatoire temporaire. Désormais, ce n’est donc plus la loi Informatique et libertés qui régit les données privées. Les collectivités sont a priori considérées comme « responsables de traitement » des données qu’elles détiennent. Elles doivent désigner, avant le 25 mai, date d’entrée en vigueur du RGPD, un délégué à la protection des données (DPD) compétent et indépendant, qui les conseillera et contrôlera la bonne application de la réglementation. Les petites communes peuvent se grouper pour nommer un DPD mutualisé.
Des procédures internes garantissant la prise en compte de la protection des données à tout moment doivent être adoptées. Elles intègrent l’ensemble des événements qui peuvent affecter un fichier : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire.
Les formulaires qui recueillent les données des citoyens doivent être modifiés afin de préciser notamment l’auteur de la collecte, la durée de conservation, la finalité de traitement et les informations relatives aux droits des personnes. La collectivité doit mettre un formulaire de contact à disposition du public afin que les citoyens puissent accéder aux données qui les concernent. Une demande de consentement doit également être formulée auprès des personnes concernées. Pour les fichiers les plus sensibles, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, il convient de faire une analyse d’impact sur la protection des données (PIA) ; la Cnil fournit un outil gratuit pour la réaliser.
Les sous-traitants des collectivités doivent aussi présenter des garanties suffisantes, montrant qu’ils ont mis en œuvre des mesures techniques et d’organisation aptes à protéger les données. La collectivité doit donc analyser les clauses contractuelles avec eux, et mettre à jour sa documentation d’appels d’offres de marchés publics, afin d’obtenir de leur part de réelles garanties.
Après avoir analysé et recensé au préalable les fichiers et les systèmes d’information dont elle dispose, la collectivité est tenue de créer un registre des traitements. Il conviendra également d’informer les agents du changement de législation et de son impact, et de prévoir des formations adaptées.
Il n’est pas exclu que le Sénat, qui n’a pas réussi à se faire entendre en commission mixte paritaire, saisisse le Conseil constitutionnel sur ce texte.
Marie Gasnier
Se préparer en six étapes La Cnil explicite de façon très détaillée les six points qu’il convient de respecter pour se mettre en conformité avec le RGPD : désigner un pilote, cartographier, prioriser, gérer les risques, organiser, documenter. |
Pour aller plus loin :
Livre blanc
Le règlement général sur la protection des données - Décryptage
Le Règlement Général pour la Protection des Données (RGPD) entre en application le 25 mai 2018. L’objectif poursuivi par la Commission européenne est de moderniser le cadre européen de la protection des données personnelles afin ...