Les enjeux de la protection des données à caractère personnel dans les collectivités territoriales
Selon un sondage de l’Observatoire Data Publica publié en octobre 2022, 59% des Français interrogés estimaient être mal informés sur l’utilisation de leurs données personnelles par les acteurs publics (dont les collectivités territoriales) et 85% sont inquiets face aux risques de cyberattaque et du piratage de celles-ci.
Les citoyens sont en effet de plus en plus sensibles à la protection de leurs données à caractère personnel par les administrations publiques alors que celles-ci participent activement à la modernisation de l’action publique et se numérisent de plus en plus (téléservices, vidéosurveillance, villes-intelligentes, open-data…).
Le Règlement Général sur la Protection des Données (RGPD) a été adopté en 2016 et est entré en vigueur le 25 mai 2018. Il permet de compléter les principes énoncés au sein de la Loi Informatique et Libertés, et de renforcer et d’harmoniser la protection des données personnelles des personnes physiques au sein de l’Union Européenne. Il prévoit notamment que ses dispositions s’appliquent à toute entreprise ou organisme traitant ces données, y compris l’autorité publique.
Ainsi, les obligations qui en découlent doivent être respectées par l’État et tous ses représentants, y compris les collectivités territoriales.
Les traitements de données personnelles par les collectivités territoriales
1. De quoi parlons-nous ?
Avant tout, il semble nécessaire de rappeler deux définitions.
Qu’est-ce qu’une donnée personnelle ? Il s’agit de « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement”. Ainsi, un nom, une date de naissance, une photo, un numéro de sécurité sociale, mais aussi le genre, les coordonnées bancaires, le nombre d’enfant à charge ou une adresse (postale ou mail) sont autant d’informations entrant dans le champ de cette définition, et certaines peuvent être rassemblées dans différents documents (comme un extrait d’état civil ou une fiche sanitaire).
Et un traitement de données personnelles alors ? Un traitement de données personnelles est quant à lui “une opération, ou ensemble d’opérations, portant sur des données personnelles”. Cela va de la collecte à la suppression, en passant par la manipulation, la conservation, la communication, l’interconnexion, la suppression, etc. Pour faire simple, il s’agit de l’utilisation de données personnelles. Point d’attention : peu importe le support (logiciel ou papier), s’il y a des données personnelles impliquées, il s’agit d’un traitement de données ! Ces traitements doivent également être fondés sur une des six bases légales identifiées par la règlementation. Les traitements des collectivités terrioriales reposent essentiellement sur l’obligation légale, l’exécution d’une mission d’intérêt public, l’intérêt légitime, le contrat, le consentement et la sauvegarde des intérêts vitaux de la personne concernée. De plus, chaque traitement doit avoir un objectif précis et déterminé (une finalité).
2. Les collectivités soumises aux règles du RGPD
Au regard de ces définitions, les collectivités territoriales sont particulièrement concernées par le RGPD. Qu’il s’agisse de leurs activités internes (comme la gestion des agents du service public par les ressources humaines, des badges d’accès aux locaux administratifs, les accès aux logiciels utilisées pour assurer leurs missions, etc.) ; de la mise en œuvre des prérogatives de puissance publique qui leur sont confiées (telles que l’aide sociale via les centres communaux/intercommunaux d’action sociale (CCAS/CIAS), le Guichet Unique, la gestion des listes électorales, le recensement de la population…) ; ou des services mis à disposition des usagers (comme le prêts de livres dans les médiathèques et l’inscription dans une piscine municipale), une grande partie implique des traitements de données personnelles.
Certains traitements de données personnelles peuvent de surcroit être susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ainsi que sur leur vie privée, et nécessitent une attention particulière.
Afin de les identifier, la règlementation prévoit 9 critères. Si un traitement correspond à au moins 2 d’entre eux, il faut réaliser une analyse d’impact relative à la protection des données (“AIPD”). Cette analyse permet identifier ces risques, les réduire, et les maîtriser. Par exemple, lors de la gestion de l’inscription des enfants à l’école, il est demandé aux responsables légaux de remplir une fiche sanitaire qui inclut entre autres les allergies et l’état des vaccinations. Or, le traitement de données sensibles (comme les données de santé) sur des personnes qualifiées de vulnérables (les enfants) font partie des neufs critères, et pour lequel une AIPD doit être envisagée afin d’évaluer le risque en fonction de plusieurs éléments (qui peut y avoir accès, comment ces accès sont sécurisés, combien de temps on doit les conserver, etc.).
Quelles sont les actions pour se mettre en conformité ?
1. Nomination d’un DPO
La première étape, obligatoire qui plus est, est de nommer un Délégué à la Protection des Données (ou Data Privacy Officer (DPO)). Ce Délégué est chargé d’accompagner les collectivités dans leur processus de mise en conformité. Ces connaissances doivent lui permettre « d’informer et conseiller la collectivité”, de “contrôler le respect du règlement et du droit national en matière de protection des données”, et d’ “être le point de contact pour les personnes dont les données sont traitées par la collectivité et l’interlocuteur privilégié de la CNIL”. C’est d’ailleurs sur ce point que 22 communes ont été mises en demeure, le DPO étant essentiel pour initier la mise en conformité.
2. Réalisation d’un plan d’action
La seconde étape est de réaliser un plan d’action, afin d’identifier les axes d’amélioration en fonction de la maturité de la collectivité et au regard de ses obligations. Un exemple concret est le décalage créé entre les obligations initiales de la Loi informatique et liberté et le RGPD. Par exemple, la suppression des démarches administratives auprès de la CNIL, ou l’auto-responsabilisation des collectivités, impliquant la formalisation de documents répondant à la règlementation en vigueur. Pour n’en citer que quelques-uns : le registre des traitements (qui est LE document principal devant recenser l’ensemble des traitements réalisés ainsi qu’un certain nombre d’informations obligatoires), la prévention et la gestion des violations de données, les AIPD susmentionnées, ou encore le respect des droits des personnes qui implique, entre-autre, une transparence quant à l’information des usagers sur l’utilisation de leurs données personnelles.
3. D’autres actions
A cette liste non exhaustive, on peut également ajouter l’encadrement des sous-traitants, le respect du principe de minimisation des données (ne collecter, utiliser et conserver uniquement les données strictement nécessaires à l’accomplissement de la finalité d’un traitement). Et enfin, un point à ne pas négliger, d’autant qu’il s’agit là encore d’une obligation réglementaire, est la mise en place d’une sécurité adéquate sur les données personnelles traitées. A titre informatif, selon une étude de 2020 du Club de la sécurité de l’information français (CLUSIF), “30% des collectivités territoriales ont déjà été victimes d’un rançongiciel” comme cela a été le cas pour la commune d’Aulnoye-Aymeries. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) avait en 2019 “recensé 92 incidents de cybersécurité affectant les communes et intercommunalités, soit le quart de l’ensemble des incidents cyber au niveau national”.
Pourquoi se mettre en conformité ?
Une autorité indépendante qui veille au grain
En cas de non-respect du RGPD, des sanctions financières peuvent être appliquées, rendues publiques, et permettent de mettre en lumière un encadrement et une protection insuffisante de l’utilisation des données personnelles des usagers/administrés par l’administration.
En effet, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite “Loi Informatique et Liberté”) qui a notamment créé la Commission Nationale de l’Informatique et des Libertés (CNIL) est en partie issue du tollé provoqué par le projet “Système automatisé pour les fichiers administratifs et le répertoire des individus” de 1971 (appelé aussi “projet SAFARI”). Ce projet visait à interconnecter les fichiers nominatifs de l’administration française par le biais du numéro INSEE, et contre lequel ses détracteurs voyaient une atteinte aux libertés individuelles.
Or, il est difficilement concevable pour les administrés que l’Etat protège moins leurs droits que des entreprises privées, alors que ces dernières sont régulièrement sanctionnées et/ou mises en demeure par la CNIL”), d’autant plus lorsque ces mises en demeure concernent les manquements de certaines communes.
Comment se mettre en conformité ?
Se mettre en conformité, c’est par conséquent :
- S’assurer de la bonne compréhension des enjeux règlementaires auprès des agents territoriaux ;
- Garantir à terme la nécessaire mise en conformité à la réglementation européenne sur la protection des données et réduire les éventuelles sanctions ;
- Et surtout renforcer la confiance des administrés en protégeant leurs données personnelles traitées dans le cadre des activités des collectivités territoriales.
Pour savoir plus, la CNIL a publié plusieurs guides à destination des collectivités territoriales, dont un “Guide de sensibilisation au RGPD pour les collectivités territoriales”.
HeadMind Partners peut également vous accompagner dans la mise en conformité au RGPD, de l’évaluation de la maturité actuelle à la mise en place et la levée d’un plan d’action.
Success story
Conscient de la nécessité d’assurer la protection des données personnelles et de se conformer au RGPD, Headmind Partners a été sollicité par les administrateurs d’une mairie. L’objectif était de réaliser un diagnostic du niveau de maturité en protection des données, créer une première version de registre des traitements et initier la mise en conformité au RGPD en s’appuyant sur les mesures déjà en place et en identifiant celles à déployer.
Ecrit par Nicolas Charvin, avec l’aide de Thibault Paper.