En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ?

11 juillet 2017

Les collectivités territoriales traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou  la gestion des différents services publics et activités dont elles ont la charge.

Certains de ces traitements présentent une sensibilité particulière, comme les fichiers d’aide sociale et ceux de la police municipale. 

Quels sont les enjeux des collectivités en matière  de protection des données ? 

Le développement de l’e-administration constitue un levier majeur de la modernisation de l’action publique. De ce fait, les collectivités recourent de plus en plus aux technologies et usages numériques : téléservices, open data, systèmes d’information géographique, cloud computing, compteurs intelligentsréseaux sociaux, lecture automatique de plaques d’immatriculation, etc.

Par ailleurs, le nombre de cyberattaques ne cesse d’augmenter, et ce, quel que soit la taille des organisations visées.

De plus, les citoyens sont de plus en plus soucieux de la manière dont leurs données sont utilisées.  A ce titre, la loi pour une République numérique est venue consacrer en octobre 2016 un droit à l’auto-détermination informationnelle que l’on retrouve posé à l’article 1er de la loi Informatique et Libertés : « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Les nouveaux services numériques, pour qu’ils créent de la confiance auprès des administrés, doivent donc répondre aux exigences de protection des données dont la sécurité est une des composantes essentielles.

Enfin, la nécessité pour les collectivités de prendre en compte ces exigences est aujourd’hui d’autant plus importante que le règlement européen sur la protection des données, applicable à compter du 25 mai 2018, renforce encore les obligations en matière de transparence des traitements et de respect des droits des personnes, s’axe sur une logique globale de responsabilisation de l’ensemble des acteurs et crédibilise la régulation des « CNIL » en musclant considérablement leur pouvoir de sanction. Ainsi, outre des avertissements publics, elles pourront prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou, pour une entreprise, 4% du chiffre d’affaires mondial.

En quoi le règlement européen sur la protection des données impacte-t-il les collectivités territoriales ?

Une logique de responsabilisation

Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas, un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs privés et publics.  Ce changement de posture devra se traduire par une mise en conformité permanente et dynamique de la part des collectivités. Elles devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées.

Les organismes publics et privés auxquels les collectivités sous-traitent la mise en œuvre de tout ou partie de leurs traitements (ex. : prestataires de service hébergeant des données) devront obligatoirement participer à la démarche de mise en conformité, en aidant celles-ci à satisfaire leurs diverses obligations, sous peine de sanctions.

La protection des données dès la conception et par défaut

Les collectivités devront intégrer un nouveau principe de protection des données dès la conception (Privacy by design) du traitement et par défaut (Privacy by default).

Elles devront ainsi tenir compte le plus en amont possible, dès la phase de conception du produit, du service ou du traitement, de définition des outils qui seront utilisés et des paramétrages par défaut, des règles d’or de la protection des données. Il s’agira en particulier de minimiser à tout point de vue le traitement effectué.

Par exemple  :

  • favoriser par principe les menus déroulants ou les cases à cocher plutôt que les zones de commentaires libres sur les formulaires de collecte et dans les bases de données internes, pour limiter dès le départ le nombre et la nature des données enregistrées ;
  • restreindre au maximum les droits d’accès informatiques aux données et les opérations susceptibles d’être réalisées ;
  • pseudonymiser les données toutes les fois où leur exploitation sous une forme identifiante n’apparaît pas nécessaire à la satisfaction du besoin ;
  • appliquer un mécanisme automatique de purge des données à l’issue de la durée de conservation nécessaire à la réalisation de la finalité.

La gouvernance des données

Avec le règlement, on assiste à un allègement considérable des obligations en matière de formalités préalables, puisque le  régime déclaratif est totalement supprimé, pour rentrer dans l’ère de la gouvernance des données personnelles. Une bonne gouvernance nécessite toutefois une documentation continue des actions menées pour être en capacité de piloter et de démontrer la conformité. Les collectivités seront ainsi appelées à tenir un registre de leurs activités de traitement, à encadrer les opérations sous-traitées dans les contrats de prestation de services, à formaliser des politiques de confidentialité des données, des procédures relatives à la gestion des demandes d’exercice des droits, à adhérer à des codes de conduite ou encore à certifier des traitements.

Dans certains cas, pour les traitements à risques,  elles devront effectuer des analyses d’impact sur la vie privée et notifier à la CNIL, voire aux personnes concernées, les violations de données personnelles.

La désignation d’un délégué à la protection des données est-elle obligatoire pour les collectivités ?

A compter du 25 mai 2018, la désignation d’un délégué à la protection des données (Data protection Officer), successeur du correspondant informatique et libertés (CIL) dont la désignation est aujourd’hui facultative, sera obligatoire pour les organismes et autorités publics, et donc pour les collectivités.

Missions

Le délégué aura pour principales missions :

  • d’informer et de conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents ;
  • de diffuser une culture Informatique & Libertés au sein de la collectivité ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier ;
  • de conseiller la collectivité sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec la CNIL et d’être le point de contact de celle-ci.

Dans l’exercice de ces missions, le délégué devra être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie et bénéficier d’une liberté certaine dans les actions qu’il décidera d’entreprendre.

Expertise et moyens

De plus, la collectivité devra s’assurer qu’il dispose d’un niveau d’expertise et de moyens suffisants pour exercer son rôle de façon efficace. Ainsi, le délégué devra :

  • être désigné  sur la base de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ;
  • être associé en temps utile et de manière appropriée à l’ensemble des questions Informatique & Libertés ;
  • bénéficier des ressources et formations nécessaires pour mener à bien ses missions.

Dans ce contexte, la mutualisation de la fonction de DPO apparaît un enjeu essentiel pour les collectivités territoriales, notamment pour celles de petite taille.

A quel niveau envisager la mutualisation du délégué à la protection des données ?

Aujourd’hui, si les grandes collectivités ont déjà engagé cette démarche (2/3 des régions, la moitié des départements, 2/3 des métropoles, 1/3 des communautés urbaines, 1/10 des communautés d’agglomération), seulement 2% des communes ont désigné un correspondant. Pour ces collectivités, qui ont des préoccupations identiques, la mutualisation de la fonction semble tout à fait adaptée. Elle permet de limiter les coûts et de bénéficier de professionnels disposant des compétences et de la disponibilité nécessaires à un bon pilotage de la conformité.  

Les structures de mutualisation informatique (SMI) et les centres de gestion

Les structures de mutualisation informatique, spécialisées dans le développement de l’e-administration sur leur territoire, constituent une bonne solution de mutualisation de la fonction de délégué pour les collectivités. Ces structures portent très souvent le développement numérique des territoires, que ce soit à travers le réseau des infrastructures ou des services proposés (ex. : plateformes de téléservices), et proposent aux collectivités un accompagnement dans leur transition numérique.

Elles regroupent maîtrise d’ouvrage et maîtrise d’œuvre et c’est à leur niveau que les besoins des collectivités sont identifiés, que des progiciels sont développés, que les mesures de sécurité et paramétrages par défaut sont définis, et qu’éventuellement les données sont hébergées. Ayant vocation à se multiplier, elles couvrent déjà 50% des départements et permettent aux collectivités adhérentes de rationaliser les dépenses tout en optimisant les conditions juridiques, organisationnelles et fonctionnelles du déploiement d’outils numériques de gestion de leurs missions de service public.

Certaines de ces structures, telles que l’ALPI (Agence landaise pour l’informatique) propose déjà un service de CIL mutualisé aux communes, établissements publics et groupements de collectivités de leur ressort territorial. D’autres, telles que l’ADICO dans l’Oise (association pour le développement et l'innovation numérique des collectivités) ont commencé à travailler sur une offre de délégué mutualisé.

A noter aussi que des collectivités bénéficient dès à présent de CIL mutualisés au niveau de centres de gestion de la fonction publique territoriale (CDG11, CDG54, CDG60 et le CDG59).

Les établissements publics de coopération intercommunale (EPCI)

Les communautés de communes, d’agglomération, les communautés urbaines et les métropoles, peuvent également proposer aux collectivités qui en sont membres les services d’un délégué mutualisé.

Enfin, sans aller jusqu’à mutualiser la fonction de délégué, les collectivités ayant les mêmes préoccupations peuvent opportunément travailler ensemble pour se préparer au mieux aux nouvelles obligations posées par le règlement européen. Les 12 départements de la région Nouvelle Aquitaine se sont ainsi engagés dans une telle démarche : identification des besoins des uns et des autres, définition d’un plan d’action comprenant différentes étapes, développement d’un outil commun d’information et de partage de connaissances, etc.

Comment les collectivités peuvent-elles se préparer dès maintenant ?

Sans attendre 2018, les collectivités peuvent d’ores et déjà désigner un correspondant informatique libertés ayant vocation à occuper ensuite la fonction de délégué à la protection des données. Le correspondant désigné pourra ainsi profité des nombreux ateliers d’information généralistes et  thématiques proposés gratuitement aux CIL par la CNIL, ainsi que de son service dédié à l’accompagnement de ces professionnels dans leurs démarches de mise en conformité.

La liste des organismes ayant désigné un CIL est disponible sur data.gouv.fr  elle référence notamment les collectivités territoriales ayant d’ores et déjà désigné un CIL, et permet d'identifier qui pourrait éventuellement mutualiser cette fonction.

La CNIL propose une méthodologie en 6 étapes pour se préparer et anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018. La démarche permet d’accompagner les professionnels et de leur apporter une sécurité juridique maximale.

Quelles sont les différentes obligations qui incombent aujourd’hui aux collectivités territoriales en matière de sécurité et de protection des données ?

De nombreuses informations sont disponibles dans la rubrique « collectivités » du site, qui comprend notamment :

  • Les principes clés de la loi informatique et libertés  avec des exemples dédiés aux collectivités ;
  • Des informations sur l’encadrement des principaux traitements (gestion de l’état civil, de la liste électorale, exploitation de systèmes d’information géographique, développement de téléservices, etc.)
  • une méthodologie pour réaliser des analyses d’impact sur la vie privée et un catalogue de mesures à adopter pour les contrer ou limiter leurs effets est également disponible

Le respect de ces règles  par les décideurs publics constitue un gage de sécurité juridique, en les protégeant notamment contre un risque pénal particulièrement important, un gage de sécurité informatique profitable à l’ensemble du patrimoine informationnel de la collectivité, ainsi qu’un vecteur de confiance et de valorisation de l’image de cette dernière auprès de toutes les personnes concernées par ses traitements (employés et administrés en particulier). Ainsi, si la conformité a un coût, elle doit surtout être perçue comme un investissement.

Les mots clés associés à cet article