Collectivités Territoriales et RGPD : La CNIL donne le programme

Collectivités Territoriales et RGPD : La CNIL donne le programme
⏱ Lecture 4 min

Par Stéphane ASTIER et Gérard HAAS

La CNIL vient de publier un nouveau guide de sensibilisation au Règlement Général Européen sur la Protection des Données (RGPD) à destination des Collectivités Territoriales. Il est accessible ICI.

Avec l’émergence des villes intelligentes ou « Smart cities », la multiplication des téléservices proposés aux administrés, l’explosion des cyberattaques ce guide arrive à point nommé pour accompagner une démarche de mise en conformité parfois difficile à appréhender par le secteur public.

L’occasion de revenir sur les points clés de cette démarche.

1- En quoi ma collectivité territoriale est-elle concernée ?

Chaque collectivité territoriale est amenée à traiter un grand nombre de données à caractère personnel.

Précisons ici qu’une donnée à caractère personnelle renvoie à une définition particulièrement large. Il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable », cette identification pouvant être réalisée à partir d’une simple donnée ou d’un croisement d’un ensemble de données.

La collecte, l’enregistrement, la conservation, l’extraction, la diffusion, la suppression ou même la simple visualisation de données permettra de qualifier le traitement qui selon la loi se définira par son objet appelé également finalité.

Les collectivités territoriales réalisent ainsi des traitements de données à caractère personnel aussi bien pour exercer leurs missions de service public que pour la gestion de leurs ressources humaines ou encore pour la sécurité de leur locaux, l’édition de leur site Web etc.

A titre d’illustration, voici une liste indicative des traitements que l’on retrouve habituellement au sein des collectivités territoriales :

  • Alertes de la population en cas de risque naturel ou industriel, plans communaux de sauvegarde
  • Cadastre
  • Communication politique
  • Comptabilité générale
  • Conservation d’archives
  • Consommations de gaz, d’électricité, d’eau, et redevances d’assainissement facturables
  • Contrôles d’accès aux locaux, des horaires et de la restauration administrative
  • Dispositifs biométriques de contrôle de l’accès aux locaux sur les lieux de travail (empreintes digitales)
  • Dispositifs biométriques pour le contrôle d’accès, la gestion des horaires et de la restauration sur les lieux de travail (contour de la main)
  • Enquêtes à des fins statistiques
  • Études et actions d’amélioration de l’habitat
  • Facturation des consommations d’énergie et d’eau et des redevances d’assainissement, mise en recouvrement de taxes et redevances
  • Facturation des services offerts aux parents (gestion des transports et restaurants scolaires, centres aérés et garderies, écoles de musique, crèches municipales)
  • Fichier des demandeurs d’emploi
  • Géolocalisation des véhicules utilisés par les employés
  • Gestion courante des ressources humaines (gestion administrative, mise à disposition d’outils informatiques, organisation du travail, gestion des carrières et de la formation)
  • Gestion de l’aide sociale légale et facultative
  • Gestion de l’état civil
  • Gestion dématérialisée des marchés publics
  • Gestion des activités sociales et culturelles par les comités des œuvres sociales ou les délégués du personnel
  • Gestion des aires d’accueil des gens du voyage
  • Gestion des cimetières
  • Gestion des demandes de pièces d’identité et autres documents administratifs
  • Gestion des élèves des écoles maternelles, élémentaires, collèges et lycées
  • Gestion des fichiers de fournisseurs
  • Gestion des listes électorales
  • Gestion des ordures ménagères
  • Gestion des rémunérations (paie, déclarations fiscales et sociales, tenue des registres obligatoires)
  • Gestion foncière, aménagement du territoire
  • Information et communication externes
  • Logement social
  • Lutte contre la vacance des logements
  • Observatoire fiscal et aide au recensement des bases d’imposition
  • Prêts de livres, disques, documents d’archives publiques
  • Recensement de la population (métropole et collectivités d’outre-mer)
  • Recouvrement de certaines taxes et redevances (droits de voirie, droits immobiliers, taxes sur le chauffage et éclairage par électricité, taxes et redevances de cimetières, facturation des ordures ménagères…)
  • Registres des personnes âgées ou handicapées mis en œuvre dans le cadre du plan d’alerte et d’urgence départemental en cas de risques exceptionnels (« fichiers canicule », grands froids…)
  • Rôles des impôts locaux
  • Système de vidéosurveillance implanté dans les locaux d’une collectivité non accessibles au public… • Système de vidéosurveillance installé dans un lieu public ou ouvert au public lorsque les enregistrements sont contenus dans des fichiers
  • Systèmes d’information géographique (SIG) ou autres traitements associant données cadastrales, d’urbanisme et/ou des - SPANC (services publics de l’assainissement non collectif)
  • Téléservices
  • Télétransmission des actes soumis au contrôle de légalité
  • Utilisation des services téléphoniques sur les lieux de travail
  • Validation des attestations d’accueil

2- Un programme d’action à mener en 7 point clés

 

  • Désigner un délégué à la protection des données: Le DPO peut être interne ou externalisé. Il peut être également mutualisé entre plusieurs collectivités afin de conseiller la collectivité territoriale et de contrôler le respect de la réglementation. Le DPO, qui doit justifier de compétences particulières et d’indépendance, sera également le point de contact pour les personnes concernées et l’interlocuteur privilégié de la CNIL.
  • Recenser les traitements de données et tenir à jour un registre de ceux-ci : cartographier les traitements est une étape essentielle de la mise en conformité. Le registre permettra d’assurer la bonne gouvernance des données collectées et traitées par la collectivité territoriale. Il recensera toutes les informations utiles sur chaque traitement (personnes concernées, types de données, destinataires ou catégories de destinataires, mesures de sécurité, durées de conservation etc.)
  • Encadrer la sous-traitance des traitements: cela passe par un recensement des différents prestataires accédant aux données de la collectivité ainsi que par une consolidation des garanties contractuelles proposées par lesdits prestataires. Il est en effet important que la collectivité territoriale s’assurer du respect par ses sous-traitants des obligations nées du RGPD.
  • Garantir la sécurité des données: Il s’agit d’une obligation centrale de la réglementation qui impose à la collectivité territoriale de mettre en œuvre et de documenter des mesures organisationnelles et techniques dédiées à la protection des données. Cela passe notamment par la formalisation et le déploiement d’un référentiel sécurité
  • Organiser la réponse aux demandes d’exercice des droits venant des administrés: sous l’égide du DPO, il conviendra de définir les procédures internes permettant à la collectivité territoriale de gérer les demandes de droits provenant des administrés. Il s’agit notamment des demandes d’accès, de rectification, etc.
  • Notifier à la CNIL, voire aux personnes concernées, les violations éventuelles de données personnelles (par exemple les failles de sécurité) : la recrudescence des faille de sécurité implique une vigilance particulière sur le plan technique comme sur le plan humain. La collectivité territoriale doit également veiller au respect de ces obligations légales en cas de risques pour les droits des personnes concernées. Des procédures de notification avec des délais strict seront ici à respecter.
  • Effectuer dans certains cas des analyses d’impact sur la vie privée et les libertés pour certains traitements à risques : il s’agit d’une démarche spécifique encadrée par la CNIL (procédure EBIOS – ANSSI) permettant à la collectivité territoriale d’évaluer les risques juridiques et techniques associés à la mise en œuvre de traitements sur lesquels elle est susceptibles d’être exposée (traitements de masse, traitement de données sensibles etc.).

Rappelons enfin que la conformité au RGPD ne s’apprécie pas à un instant « t ». Il s’agit avant tout d’une démarche continue à laquelle doit être associé l’ensemble du personnel de la collectivité territoriale.

Cette démarche doit ainsi se voir associer des actions fortes de sensibilisation qui participeront à la réussite des actions à mener mais également à la pérennisation des dispositifs mis en place.

*         *        *

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Justifiant du label audit de traitement délivré par la CNIL, notre Cabinet accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de leur démarche de conformité à la protection des données.

Vous êtes une infrastructure de santé et vous souhaitez plus de renseignements sur les mesures d’anticipation ou celles à prendre en cas de cyber-attaque, nous vous invitons à contacter le cabinet HAAS Avocats ici.

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin