Quels sont les principaux constats de la CNIL concernant les collectivités ?

Depuis l’entrée en application du règlement général sur la protection des données (RGPD) en 2018, les collectivités ont fait des efforts. En 2023, sur plus de 16 000 plaintes reçues par la CNIL, seules 900 concernaient les collectivités – modalités d’accès et/ou protection insuffisante de leurs données, conservation excessive de leurs données. Nous prononçons peu de sanctions à leur encontre, mais nous recherchons la mise en conformité de l’ensemble des acteurs (collectivités, entreprises, associations…).

Les collectivités respectent-elles le RGPD ?

Toutes les collectivités devraient avoir nommé un délégué à la protection des données (DPO). Aujourd’hui, près de 60 % l’ont fait. Les petites communes peuvent mutualiser un DPO. En 2022, la CNIL avait dû mettre en demeure publiquement 22 collectivités qui n’avaient pas désigné le leur. Cela a eu un effet vertueux : depuis, 2 000 d’entre elles l’ont fait !

Les élus peuvent-ils solliciter la CNIL pour se faire aider ?

Certainement. Nous ne voulons pas être un régulateur « hors-sol »  ! La CNIL dispose d’un service DPO et d’un service des affaires régaliennes et des collectivités territoriales qui répondent à leurs questions. Nous publions des guides et nous proposons un cours en ligne (MOOC) avec un module dédié aux collectivités en traitant de nombreuses thématiques : vidéoprotection, téléservices, communication de données à des tiers...

Nous organisons aussi des formations en partenariat avec les associations nationales d’élus, parmi lesquelles l’AMF, et le réseau Déclic qui regroupe plus de 18 000 collectivités.

Quelles préconisations faites-vous à l’occasion du scrutin européen du 9 juin ?

Nous avons publié des contenus sur cnil.fr rappelant aux candidats les règles essentielles pour une campagne respectueuse des données personnelles et du RGPD. Les collectivités ne peuvent pas transmettre n’importe quel fichier à n’importe qui à des fins de prospection politique et de démarchage. La CNIL a aussi réactivé son «observatoire des élections »  qui permet d’organiser une veille sur les pratiques de communication politique et de nous faire des signalements via un service en ligne dédié.

Que peuvent faire les collectivités face aux cyberattaques ?

Un quart environ des cyberattaques les concernent. Avant tout, je suggère aux élus d’effectuer des actions de sensibilisation auprès de leurs personnels. Puis de consacrer des moyens à la sécurité informatique de leur collectivité et de s’entraîner à la gestion de crise. Cela coûte moins cher que les dégâts causés par une attaque.

Si la collectivité constate une violation importante de données personnelles, elle doit la notifier à la CNIL dans un délai de 72 heures et, elle peut être amenée à en informer les personnes concernées si le risque est élevé. Environ 450 l’ont fait en 2023. Nous avons corédigé un guide sur les obligations et responsabilités des collectivités en la matière avec Cybermalveillance.gouv.fr

Quels sont les constats de la CNIL s’agissant de la vidéosurveillance ?

La CNIL recherche un équilibre entre l’ordre public et la protection de la vie privée. Depuis 2018, 10 % de nos contrôles portent sur les dispositifs vidéo. J’attire l’attention des élus sur les dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour contrôler le paiement du stationnement. Il est interdit aux collectivités de recourir à ces dispositifs de verbalisation automatisée pour la recherche et la constatation d’infractions au Code de la route.    

Quelle approche la CNIL a-t-elle de ­l’intelligence artificielle (IA) ?

La CNIL a créé il y a un an un service dédié, car les données, notamment personnelles, constituent le principal «carburant »  de l’IA. Là encore, nous devons trouver le bon équilibre entre la protection des données personnelles et le développement d’innovations et de services, notamment par les collectivités.

Nous avons défini des bonnes pratiques pour développer des systèmes d’IA générative et publié un guide d’auto-évaluation afin que les acteurs puissent évaluer la maturité de leurs systèmes d’IA au regard du RGPD.

Enfin, la CNIL accompagne des projets dans lesquels l’IA est utilisée pour améliorer la qualité du service public, par exemple Nantes Métropole et son initiative «Ekonom IA », visant à fournir aux usagers des préconisations sur leur consommation d’eau.

Suivez Maire info sur Twitter : @Maireinfo2