Maire-info
Le quotidien d’information des élus locaux

Édition du vendredi 23 mars 2018
Numérique

Le Sénat souhaite instaurer une « dotation données personnelles » pour aider les collectivités à se mettre en conformité avec le RGPD

Le Sénat a adopté dans la nuit de mercredi à jeudi le projet de loi sur la protection des données personnelles. Examiné en procédure d’urgence (une seule lecture par chambre), ce texte retranscrit en droit français le règlement européen sur la protection des données personnelles (RGPD) qui entrera en application le 25 mai prochain. Or, comme l’a rappelé la rapporteure du texte, Sophie Joissains, citant un chiffre donné par l’Assemblée des départements de France, « à peine 10 % des collectivités territoriales seront prêtes à cette échéance, 85 % n’étant pas même informées du règlement ! » 
Le RGPD a d’importantes conséquences pour toutes les organisations traitant des données privées. Si les collectivités, comme les entreprises, voient les formalités déclaratives réduites drastiquement - à l’exception des dispositifs biométriques - elles ont désormais le devoir de prouver qu’elles ont pris des mesures de protection effectives. Parmi celles-ci, l’obligation de nommer un délégué à la protection des données personnelles (DPD). Celui-ci pourra cependant être mutualisé à une échelle supra communale, un décret allant dans ce sens étant en préparation, a annoncé Nicole Belloubet, ministre de la Justice.
Les collectivités seront contraintes de déclarer à la CNIL les pertes et/ou les violations des données personnelles qu'elles détiennent. Et elles pourront être éventuellement lourdement sanctionnées, le texte européen ayant relevé à 20 millions d’euros le plafond des amendes pour les manquements les plus graves. Estimant que les collectivités « pourraient se trouver exposées à des risques juridiques et financiers très importants », la commission des lois du Sénat avait introduit une série d’amendements pour tenir compte des spécificités des communes et les aider à se mettre aux normes.
Les collectivités et administrations ne respectant pas la législation se verront adresser des « avertissements », puis des « injonctions »  mais seront exemptées des amendes. Les sénateurs ont par ailleurs chargé la CNIL d’accompagner les collectivités territoriales, comme les PME et les TPE, par la production de « méthodologies de référence », de « recommandations ou de référentiels ». De même la Commission se voit confier un rôle de certification « des personnes, des produits, des systèmes de données ou des procédures »  à même d’assurer la conformité au RGPD. La CNIL élaborera enfin « une charte »  énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de DPD.
Le texte institue surtout, contre l’avis du gouvernement, une « dotation communale et intercommunale pour la protection des données personnelles »  calculée au prorata du nombre d’habitants, financée par le produit des amendes infligées par la CNIL aux entreprises violant la réglementation.
Le Sénat a aussi décidé de fixer à 16 ans, et non 15 ans comme l’avaient proposé les députés, « la majorité numérique »  à partir de laquelle un mineur n'aura plus besoin d'obtenir l'autorisation de ses parents pour s'inscrire sur un service qui collecte ses données personnelles, tel que les réseaux sociaux. Un autre amendement adopté crée un dispositif de labellisation pour les objets connectés, afin de s’assurer qu’ils répondent à des « exigences élevées en matière de sécurité et de confidentialité des données »  qu’ils traitent.
Le projet de loi doit désormais passer en commission mixte paritaire qui tentera d’élaborer une version commune avec les députés. Ces derniers avaient adopté le texte le 13 février dernier (lire Maire info du 16 février).
O.D.
Télécharger le texte adopté.

Suivez Maire info sur Twitter : @Maireinfo2