États généraux RGPD,  N+1

À l’initiative de l’Association Villes Internet, les collectivités locales dressent un  bilan de la mise en place du règlement dans leurs administrations

Le 25 mai 2018 entre en application le règlement européen sur la protection des données. À cette date précise se tiennent les premiers états généraux de la protection des données personnelles dans les collectivités. L’Association Villes Internet, initiatrice de cet événement avec la Ville de Dijon, lance alors une veille sur l’application de la transposition française du règlement européen dans les administrations locales et au-delà dans toute relation aux citoyens et entre citoyens.

Pour cette seconde édition à un jour de la date anniversaire,  des représentants des villes françaises, élus, agents, associations, sont réunis au siège de la Mutuelle Nationale Territoriale pour dresser le bilan d’une année de mise en pratique.

Ibrahim Dufriche-Soilihi, adjoint au maire de Montreuil (93) et référent numérique de l’Association des Maires d’Ile de France, partenaire de l’événement, ouvre les débats. Il précise que le RGPD est l’opportunité de promouvoir l’égalité, en imposant un nouveau critère de qualité de service, quels que soient les statuts des usagers. Il invite  les participants à cette journée à « explorer les bonnes pratiques afin que dans les deux ans qui viennent toutes les communes puissent être en conformité avec cette réglementation dont nous pouvons être fiers ».

Fidèle à ses méthodes, l’Association Villes Internet a invité un universitaire à offrir son analyse et son point de vue.  Vincent Thomas, doyen de la faculté de droit à l’Université de Bourgogne, vient d’ouvrir une chaire sur la « smart city », une légitimité de plus pour plancher devant les élus durant 30 minutes puis de leur proposer un « rapport d’étonnement » après la dernière table ronde. Pour le professeur de droit, si le RGPD est un rapport particulièrement opulent — 88 pages de texte, 99 articles qui sont précédés par 173 considérants — et « parfaitement révolutionnaire », il détient une faille. En effet, le texte ne dit rien de la nature juridique de la donnée personnelle. La donnée personnelle est-elle un bien ? Comme une voiture, un vélo, un brevet. Est-ce une œuvre de l’esprit ? « Les rédacteurs du RGPD n’ont pas voulu répondre à cette question, laissant ce travail aux législateurs nationaux ». La députée Forteza, rapporteure de la loi informatique et liberté — transposition du RGPD dans le droit français — était pour sa part convaincue que la donnée personnelle ne pouvait faire l’objet d’un droit de propriété. Elle préférait à ce droit le concept de maîtrise des données personnelles. Finalement, les oppositions étaient telles que le législateur n’a pas tranché le débat. Au politique de prendre position. Par exemple, le président de Dijon métropole a signé un contrat avec son prestataire dans lequel il précise que la propriété des données personnelles est à Dijon métropole. Il a souhaité prémunir les citoyens d’une utilisation contraire par l’entreprise et réserver les données à un usage encadré. Une décision qui ne fait pas l’unanimité. Le droit de propriété est ainsi exercé dans sa caractéristique première : l’exclusivité. Ce choix qui porte sur le droit de propriété est-il celui qui permet réellement de protéger les personnes ?

Pour Vincent Thomas, « choisir entre propriété et maîtrise est un choix philosophique » donc politique, comme le soulignera plus tard Florence Durand Tornare, fondatrice de l’association Villes Internet.

C’est avec cette question qui les concernent en premier lieu que les élus et directeurs présents écoutent le doyen dans le silence studieux d’une assemblée captivée et concernée.

La première table ronde, animée par Joël Mekhantar, conseiller de Dijon Métropole, adjoint au maire de Dijon (21) et professeur de droit public, donne la parole aux associations d’élus pour des bilans successifs dans leur strate de collectivités : Virginie Langlet, référente RGPD pour l’Assemblée des départements de France (ADF) ; Atte Oksanen, chargé de mission pour l’Association des petites villes de France (APVF) ; Laurent Vincent, chargé de mission numérique pour l’Association des maires ruraux de France (AMRF) ; Jean-Luc Sallaberry, chef du département numérique de la fédération nationale des collectivités concédantes et régies (FNCCR). Le retour d’expérience est dense et riche de questionnements devant les choix à faire. Les bilans contrastés montrent que les grands territoires comme les départements ont pris une avance organisationnelle qui en fait pour la plupart des référents utiles pour leurs collectivités locales. Les autres territoires ont des approches variées, souvent, trop souvent selon certains, basées sur l’externalisation de la nouvelle compétence, prévue par le texte, de “délégué à la protection des données personnelles” (DPD) ou data protection officer (DPO) en anglais. Les collectivités concédantes servent pour certaines villes ou intercommunalité d’appui local sur ce sujet comme sur ceux des télécoms, de l’eau ou de l’énergie.

Citée à de nombreuses reprises, la CNIL était très attendue. Tiphaine Havel — conseillère questions institutionnelles et parlementaires — est donc longuement intervenue et a répondu à de multiples questions. Pour la commission nationale, la mise en œuvre du RGPD dans les collectivités a fait l’objet d’un lent démarrage, démarrage contrasté en fonction des territoires. À titre d’exemple, 12 sur 13 régions ont désigné un DPD, 88 départements sur 101, 22 métropoles sur 22, 51 communautés d’agglomération sur 222, 216 communautés de communes sur 1000 et 10 562 communes l’ont fait. Pour Madame Havel, la finalité de la rencontre est donc de trouver ensemble les synergies et les moyens de poursuivre le travail. Florence Durand-Tornare l’interroge sur le biais éventuel créé par des collectivités qui n’auraient pas déclaré leur DPD à la CNIL. « Tout est possible ! » lui répond Madame Havel, mais la CNIL met à disposition de tous ceux qui en ont besoin unformulaire de désignation de DPD. Elle prépare par ailleurs un guide dédié aux collectivités qui paraîtra à la rentrée. Il comportera des éléments de définition et d’autres précisions juridiques permettant de se conformer au RGPD. Il sera agrémenté de fiches techniques thématiques, en interaction avec l’onglet « collectivités » du site de la CNIL. Enfin, questionnée sur la volonté de la commission de sanctionner les collectivités qui n’appliquent pas encore strictement la loi, Thiphaine Havel est revenue sur la stratégie de son organisation : pas de sanction couperet, mais la mise en place d’aller-retour avec les services de la CNIL pour identifier les problèmes et aider le responsable de traitement qui aura, malgré ses difficultés, mis en œuvre une chaîne vertueuse, à trouver des solutions.

Sujet incontournable, la protection des données et les enjeux de sécurité sont ensuite abordés dans une table ronde animée par Florence Durand-Tornare, dans laquelle interviennent Olivier Taboureux, adjoint de Caroline Cayeux, Maire Beauvais (60) et également présidente de l’Association villes de France – John Billard – Maire du Favril (28), vice-président de l’association des maires ruraux de France (AMRF)  et ; Jean-Michel Morer – Maire du Trilport (77), vice-président de l’association des petites villes de France (APVF) et Daniel Wozniak – directeur adjoint en charge du RGPD de la Mutuelle Nationale Territoriale (MNT). Tous les acteurs en conviennent, on ne peut pas dissocier le RGPD de la sécurité. Ces élus très impliqués ont parfois participé de près à la préparation de la transposition et montrent qu’une vigilance accrue sur les risques d’abus et de détournement de la données est indispensables, impliquant les acteurs de la cyber-sécurité, comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Arrive le temps de la conclusion, par l’exercice original et pertinent du rapport d’étonnement. Vincent Thomas se prête au jeu avec plaisir. Il admet avoir appris beaucoup pendant les débats, dont de nombreux éléments pratiques qui permettent d’alimenter la réflexion. Si le texte n’est appliqué que depuis un an, « le RGPD n’est plus effrayant, il charme presque ». Le professeur de droit relève le travail considérable accompli par les collectivités sur ce sujet, accompagnées remarquablement par la CNIL qui a fait œuvre de pédagogie en s’appuyant sur les réseaux existants — notamment les têtes de réseaux — et en laissant la casquette de gendarme de côté. Le RGPD impose des changements et est un support de la revalorisation de la politique locale, « les droits et libertés sont au centre de la préoccupation politique des élus locaux », il s’agit donc de « maîtriser la chaîne des données et de faire du RGPD un vecteur d’égalité. ». À ce stade, le sujet de la dématérialisation ne peut être ignoré. Dès lors, la problématique est posée : « la dématérialisation peut-elle, au nom de l’intérêt général, écarter une partie de la population des services publics ? »

C’est sur une note optimiste que le doyen achève son propos, considérant que les valeurs défendues par le RGPD ont été comprises par tous les intervenants et ajoutant — un brin provocateur — qu’il n’y a finalement peut-être même plus besoin de réfléchir à la question de la propriété des données !

Ainsi se termine la première partie de la journée, première partie qui sera suivie d’une séquence pratique réservée aux élus. Le rendez-vous est pris pour l’année prochaine, 25 mai 2020 toujours dans la très agréable salle plénière de la Mutuelle Nationale Territoriale. Ces états généraux de la protection des données personnelles devenant un événement incontournable des acteurs et actrices du numérique territorial.