Projet de règlement européen sur la protection des données à transposer par les autorités nationales avant le 6 mai 2018.  

(en anglais GDPR General Data Protection Regulation)

Les collectivités locales on encore un an pour étudier les obligations et proposer à l’Etat français des modes d’application qui leur conviennent : mieux vaut prévenir en participant, plutôt que dénigrer un projet national plaqué sur les territoires.Le Règlement européen sur la protection des données (GDPR) impose aux entités publiques des obligations liées aux données. Au moment où l’ouverture des données s’impose en France pour les collectivités de plus de 3500 habitants l’exercice de tenter d’appliquer le règlement dès maintenant est,une contribution à l’expérimentation tout à fait utile pour la mise en conformité nationale à venir.

Cet article n’est en aucun cas un conseil juridique, avant tout traitement de données personnelles pensez à consulter la CNIL et son guide pour les collectivités locales 

Les règles de base pour utiliser une donnée :

• le consentement de la personne concernée,
• la nécessité contractuelle,
• le respect d’une obligation légale,
• la sauvegarde d’intérêts vitaux,
• l’exécution d’une mission d’intérêt public

Le seul intérêt légitime possible, comme argument juridique du traitement de données personnelles est illégal, est celui inscrit dans la loi :  les autorités publiques ne peuvent invoquer un simple intérêt légitime pour justifier de ne pas appliquer la loi de protection des données personnelles. 

Extrait : « Dès lors que le traitement poursuivi dans le secteur public aura pour base juridique la nécessité de respecter une obligation légale (art. 6, § 1er, c) ou la nécessité d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (art. 6, § 1er, e), ces causes de légitimation devront trouver une base spécifique dans le droit de l’Union ou dans le droit de l’État membre (art. 6,§3). Les finalités du traitement devront alors être définies par la loi s’il s’agit pour le traitement de respecter une base légale et, à tout le moins, être nécessaires à l’exécution de la mission en cause. »

Cette nouvelle exigence du GDPR implique pour les pouvoirs publics un travail de recensement afin de vérifier que tous leurs traitements disposent bien d’une base juridique en droit interne ou européen.

Obligation de désigner un délégué à la protection des données

Avec l’entrée en vigueur du GDPR, la désignation d’un délégué à la protection des données est obligatoire dans trois hypothèses :

·         lorsque les activités de traitement exigent un suivi régulier et systématique des personnes concernées,

·         lorsque des données sensibles sont traitées à grande échelle

·         et enfin … lorsque le traitement est effectué par une autorité ou un organisme public -à titre de responsable ou de sous-traitant- à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle (Art. 37).

Partant tout traitement poursuivi par les autorités publiques donnera lieu à la désignation d’un préposé à la protection des données qui devra disposer de connaissances spécialisées de la législation et des pratiques en matière de protection des données afin d’accomplir les tâches qui lui sont confiées : informer et conseiller les personnes qui effectuent le traitement, contrôler de la conformité du traitement aux règles de la protection des données, coopérer avec l’autorité de contrôle, etc. Un seul délégué à la protection des données peut être désigné pour plusieurs organismes publics, compte tenu de leur structure organisationnelle et de leur taille (Art. 37, §3). Rappelons enfin que le délégué peut être un membre du personnel du responsable -statutaire ou contractuel- mais aussi exercer ses missions sur la base d’un contrat de service (avocat, consultant, etc.) (Art. 37, §6).

Le GDPR énumère une liste non exhaustive de cas où l’analyse préalable est obligatoire :

·         en cas de profilage des personnes concernées afin de prendre des décisions produisant des effets juridiques les concernant ou les affectant gravement (y compris pour dépister des fraudes fiscales).

·         en cas traitement à large échelle de données sensibles ou de données se rapportant condamnations ou des infractions pénales. Par exemple dans les  échanges de données à caractère personnel relatives à la santé via une plateforme dédiée, comme Ameli en France.

·        pour la surveillance systématique à grande échelle de zones accessibles au public 

Ces traitements sont encadrés par la directive 2016/680 du 27 avril 2016 dite « justice et police » qui harmonise les règles de protection des données personnelles en cas de traitement par les autorités à des fins de prévention et de détection des infractions pénales. Les États membres disposent d’un délai de transposition jusqu’au 6 mai 2018 au plus tard.

Le risque à venir : des amendes administratives  (art. 83)

Les autorités de contrôle nationales devront prononcer des amendes administratives en cas de violation des règles de protection des données, selon un système graduel de sanction en fonction de la gravité de l’infraction.

Source : le site http://www.gdpr-expert.eu/ produit par des juristes experts et mis en ligne gratuitement.