En quoi les collectivités territoriales sont-elles impactées par le nouveau règlement communautaire sur la protection des données ?

Le règlement communautaire sur la protection des données en date du 27 avril 2016 rentre en vigueur le 25 mai prochain. Ce règlement renforce les obligations pesant sur les collectivités territoriales en matière de transparence dans le stockage et la gestion de leurs données et de respect du droit des usagers.

La CNIL s’est prononcé sur ce règlement (https://www.cnil.fr/fr/RGPD-quel-impact-pour-les-collectivites-territoriales), indiquant que les collectivités seront amenées à tenir un registre de leurs activités de traitement, à encadrer les opérations de sous-traitance, à formaliser des politiques de confidentialité des données et des procédures relatives à la gestion des demandes d’exercice des droits par les particuliers, à adhérer à des codes de conduite ou encore à certifier des traitements…

En vue de piloter la nouvelles gouvernance induite par ces prescriptions, les collectivités territoriales auront donc l’obligation, à compter du 25 mai 2018, de désigner en leur sein un délégué à la protection des données.

1. Désigner un pilote pour gérer les données de la collectivité, informer, conseiller, contrôler… (le délégué général à la protection des données)
2. Cartographier vos traitements de données, en recensant tous les flux de données personnelles et leurs traitements par votre collectivité
3. Prioriser les actions à mener au regard des obligations en matière de sécurité des donnes et de droits et libertés des personnes concernées
4. Gérer les risques si vous traitez des données sensibles pour les droits et libertés des personnes en menant pour chaque traitement une analyse d’impact sur la protection des données
5. Organiser les processus internes en prenant en compte tous les événements possibles (faille de sécurité, demandes de modifications, ou d’accès, changement de prestataire…)
6. Documenter la conformité en établissant et en mettant à jour en continu les éléments permettant d’assurer la pérennité de vos actions et donc votre conformité au RGPD.

Les collectivités disposant de nombreux outils de traitement et de gestion des données, étant amenées à stocker des données personnelles nombreuses et importantes sur les citoyens et usagers des services publiques qu’elles assurent, sont donc particulièrement impactées.

La sécurisation et la protection des données, dès la conception, comme dans l’exploitation, sont au premier plan des enjeux, avec un changement de logique : il s’agit d’évoluer vers une plus grande responsabilisation de tous les acteurs impliqués, internes comme prestataires et de basculer vers une mise en conformité continue et permanente.

Le rôle du délégué à la protection des données, dont la nomination est obligatoire en collectivité est donc essentiel : il doit disposer des moyens, des informations et de l’expertise nécessaire pour exercer sa mission et organiser ce véritable changement de culture au sein de la collectivité.

Pour en savoir plus :

• RGPD et collectivités locales sur le site de la CNIL
• 6 étapes pour se préparer au RGPD