RGPD et administration publiques

LE RGPD (le Règlement Général sur la Protection des Données) ET LES ADMINISTRATIONS PUBLIQUES

RGPD et administration

1-Comment les collectivités territoriales sont-elles impactées ?

Par essence même, elles traitent des données personnelles que ce soit celles de leur propre gestion interne ou celles de leurs usagers avec une sensibilité particulière pour les fichiers de la police municipale ou des CCAS par exemple.

Une administration publique est soumise aux règles du RGPD lorsqu'elle traite des données à caractère personnel concernant une personne.

En général, les données à caractère personnel détenues par les administrations publiques sont traitées sur la base d’une obligation légale ou dans la mesure où elles sont nécessaires à l’exécution des missions d’intérêt public ou à l’exercice de l’autorité publique dont les administrations sont investies.

L’entrée en vigueur en France le 25 mai 2018 du RGPD modifie en profondeur les usages.

2-Quels sont les enjeux des collectivités territoriales en matière de protection des données dans le cadre du RGPD ?

Le développement de l’administration électronique constitue un levier majeur de la modernisation de l’action publique. De ce fait, les collectivités recourent de plus en plus aux technologies et usages numériques : téléservices, open data, systèmes d’information géographique, cloud computing, compteurs intelligents, réseaux sociaux, dispositifs vidéo, lecture automatique de plaques d’immatriculation, etc.

De plus, les citoyens sont de plus en plus soucieux de la manière dont leurs données sont utilisées.

Les nouveaux services numériques, pour créer un climat de confiance auprès des administrés, doivent donc répondre aux exigences de protection des données dont la sécurité est une des composantes essentielles.

Enfin, la nécessité pour les collectivités de prendre en compte ces exigences est obligatoire depuis l’entrée en application, le 25 mai 2018, du règlement européen sur la protection des données (RGPD).

2.1 Une logique de responsabilisation

Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas, un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs privés et publics. Ce changement de posture se traduit par une mise en conformité permanente et dynamique de la part des collectivités.

2.2 La protection des données dès la conception et par défaut

Les collectivités devront intégrer les principes de protection des données dès la conception (Privacy by design) et par défaut (Privacy by default).

3-Quand les collectivités territoriales peuvent-elles envisager un(e) délégué(e) à la protection des données ?

La mutualisation permet de limiter les coûts et de bénéficier de professionnels disposant des compétences et de la disponibilité nécessaires. Elle peut prendre l’une des formes suivantes :

- Désignation d'un délégué situé au niveau d’un établissement public de coopération intercommunale et agissant pour le compte des collectivités qui en sont membres

- Désignation d'un délégué proposé aux collectivités de son ressort territorial par un centre de gestion de la fonction publique territoriale, une association départementale d’élus locaux, une agence départementale ou un syndicat mixte ou offrant à ses adhérents des services d’accompagnement et de mutualisation informatique.

Dans ce contexte, la mutualisation de la fonction de DPD (interne ou externe) qui dispose d’un niveau d’expertise et de moyens suffisants pour exercer son rôle de façon efficace apparaît constituer un enjeu essentiel pour les collectivités territoriales, notamment pour celles de petite taille qui combinent préoccupations identiques et moyens limités (externaliser ou pas son DPO).

Ainsi, si la conformité a un coût, elle doit surtout être perçue comme un investissement.

4-Quelques organismes sur lesquels s’appuyer

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) met à disposition de « kits cybersécurité » et de nombreux outils destinés à mettre en place une politique de cybersécurité et des formations.

La Commission Nationale de l’Informatique et des Libertés (CNIL) est un acteur central de la protection des données depuis la loi « informatique et libertés » (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) et le reste avec la mise en place du RGPD. Elle est chargée de veiller à la bonne application du RGPD en France. Elle est donc l’organisme de contrôle auquel se référer et vers lequel se tourner pour les demandes d’informations et pour les signalements.

.