Partagez cet article
Sommaire de l’article
    Législation

    RGPD, quelles conséquences pour les collectivités ?

    protection data

    Interview de Sophie Nerbonne, Directrice de la conformité à la CNIL

    Quelles sont les principales missions de la CNIL ?

    La CNIL, c’est l’autorité de régulation des données personnelles. Plus précisément, c’est un régulateur très complet alliant pédagogie, sensibilisation et même des dispositifs de sanction.

    En mai 2018, entreprises et collectivités territoriales devront se mettre en conformité avec le nouveau « Règlement européen Général pour la Protection des Données », le RGPD. Quels changements apporte ce nouveau règlement ?

    Le changement pour les collectivités sera effectivement assez important, en terme notamment de processus de conformité. La loi informatique et libertés existe depuis maintenant 40 ans. Sur le fond, les principes restent les mêmes : avoir déterminé une finalité pour ce traitement et collecter des informations qui sont en relation avec cette finalité pour une durée déterminée, sécuriser le traitement; etc., tout ceci continue à exister. Ce qui change, c’est le fait qu’il y aura beaucoup moins de déclarations et de formalités à effectuer auprès de la CNIL. En revanche, il y a un principe de responsabilité qui va s’appliquer, c’est-à-dire que dorénavant c’est au sein de la collectivité locale qu’il faudra s’organiser avec, par exemple la nomination obligatoire pour chacune d’entre elle un délégué à la protection des données (DPO).
    Cette personne aura pour mission de conseiller le responsable du fichier de la collectivité, contrôler la bonne application du règlement européen ou encore faire de la sensibilisation auprès des employés. Son rôle sera donc particulièrement important et nouveau pour les collectivités locales.
    Le règlement européen prévoit un renforcement des droits des personnes en ce qui concerne l’accès à l’information sur les traitements mis en oeuvre.

    Quand doit-on s’adresser à la CNIL ?

    Le premier réflexe est de s’adresser aux personnes à qui ont transmet les données. On peut s’inscrire à une newsletter de la collectivité, souscrire à de nombreux services sans mesurer ce que cela signifie en termes d’échanges d’informations, de remontées éventuelles vers des sous-traitants ou d’autres acteurs territoriaux. Les mentions, dites “informatiques et libertés” doivent être présentes. Elles vous donnent les informations que vous recherchez. A quoi vont-elles servir ? A qui sont-elles destinées ? Qui va pouvoir y accéder ? Ou encore, comment peut-on exercer votre droit d’accès, de rectification ou d’opposition ?

    Le délégué à la protection des données” (DPO) sera-t-il obligatoire ?

    Pour l’ensemble du secteur public, la désignation du DPO est obligatoire. C’est la nouvelle appellation par rapport du CIL correspondant à la loi de 1978. Pour les plus petites communes de France, il est possible de mutualiser une telle ressource au niveau d’une structure intercommunale.

    Le DPO endosse-t-il pour le compte de la collectivité une responsabilité ?

    C’est la crainte que peuvent avoir un certain nombre de délégués d’être un fusible. Sur ce point, le réglement est très clair. La responsabilité reste celle du responsable de traitement ou du sous-traitant. En tant que tel ces derniers voient leurs responsabilités renforcées. Le DPO sera l’interlocuteur privilégié de la CNIL et devra collaborer en cas de contrôle ou si des plaintes sont reçus à l’encontre d’une collectivité. Non seulement il n’est pas responsable mais il doit avoir des ressources suffisantes pour mener à bien sa fonction, ce qui signifie d’être suffisamment bien identifié dans la structure à un niveau suffisamment élevé pour avoir autorité sur l’ensemble des services et pour accéder à l’information. Son rôle est fondamental puisqu’il consiste à pouvoir faire le lien entre les différents services, informatique, juridique, la direction métier qui a besoin de déployer telle ou telle application. Il doit faciliter le dialogue.

    D’ici mai 2018, et la mise en place de ce nouveau règlement, comment la CNIL accompagne-t-elle les collectivités ?

    D’ici le 25 mai 2018, il faut que soit établi un plan d’action en identifiant les traitements les plus sensibles qui sont ceux par exemple, qui concernent des mineurs, qui touchent à des informations relatives à la santé ou aux appartenances politiques ou syndicales des personnes. C’est ce plan d’action qui est prioritaire parce que l’on sait bien que toutes les collectivités ne vont pas avoir le temps de tout finaliser, de procéder aux analyses d’impacts pour les traitements sensibles, de modifier les clauses des contrats avec les sous traitants. Tout cela doit être anticipé

    Côté sanctions, que peut faire la CNIL ?

    Le montant des sanctions a été drastiquement augmenté, passant du seuil de 150 000€ ou 300 000€ en cas de récidive, à 3 000 000 € l’an dernier avec la Loi pour une République numérique. Avec le règlement européen, nous sommes aujourd’hui à 20 millions d’euros.