Maire-info
Le quotidien d’information des élus locaux
Édition du vendredi 25 mai 2018
Technologie de l'information

Le RGPD entre en vigueur aujourd'hui, les collectivités locales directement concernées

La date est marquée d’une pierre blanche dans l'agenda de nombreux maires. C’est aujourd’hui, vendredi 25 mai, qu’entre en vigueur le nouveau règlement européen sur la protection des données (RGPD). Ce texte du Parlement européen et du Conseil du 27 avril 2016, voté après quatre ans de négocations, a été complété par une loi française, adoptée par l'Assemblée nationale le 14 mai et actuellement devant le Conseil constitutionnel. Cette loi complète la loi informatique et liberté de 1978 et la loi pour une République numérique (LRP) de 2016.
L'ambition du RGPD est de renforcer les droits des personnes et de mieux protéger les données des administrés (nom, prénom, adresse mail, numéro de sécurité sociale, géolocalisation…).
Cet ensemble de textes confère de nouvelles responsabilités à toute entité traitant des données de citoyens européens, comme les entreprises, les associations et bien sûr les collectivités locales.
Pour venir au secours d’élus locaux parfois désemparés, la Commission nationale informatique et libertés (CNIL), qui a un rôle d’accompagnement sur la question, a publié un guide en six étapes à retrouver sur son site internet.
La mesure la plus urgente, si jamais elle n’était pas encore engagée, consiste à désigner un délégué à la protection des données (en remplacement du correspondant informatique et liberté), avec la possibilité de mutualiser ce poste à une échelle supra communale. Le DPD, qui a accès à toutes les données en possession de la commune, est principalement chargé d’intervenir dans les choix de logiciels, de mener des audits ou encore de contrôler le respect du règlement et du droit national en matière de protection des données.
Il supervise aussi un état des lieux des traitements de données personnelles afin de déceler les éventuelles failles et prioriser les actions à mener. Par exemple, l’identification d’un risque (fuite de données personnelles, détournement d’utilisation du fichier…) doit toujours s’accompagner d’un plan d’actions (suppression de données inutiles, études…), précise le texte européen. Le RGPD suppose d’anticiper les enjeux de protection des données personnelles en amont des projets informatiques via une étude d’impact, dès lors que le traitement concerne des données sensibles (personnes vulnérables, risque de croisements de fichiers, usages de technologies potentiellement intrusives…).
Bien comprendre cette nouvelle approche est d’autant plus indispensable qu’à partir d’aujourd’hui, les collectivités devront prouver qu’elles respectent la loi. Jusque-là, c’était la CNIL qui devait démontrer la non-conformité des pratiques des collectivités.
Si elles savent pouvoir compter dans un premier temps sur la clémence de la CNIL, les collectivités locales sont donc pressées de se mettre en conformité, sous peine d’amende pouvant atteindre jusqu’à 20 millions d’euros (contre 3 millions d’euros avec la loi LRP). L’AMF, avec l’ADF et Régions de France, avait appuyé le Sénat pour aligner le traitement des collectivités sur l’État en la matière, qui ne peut faire l’objet de sanctions financières.
En juillet 2017, selon un sondage réalisé par La Gazette des communes, seules 10% des collectivités se disaient prêtes à appliquer le nouveau règlement le jour J. Une situation qui, selon Le Monde daté du 23 mai, n’aurait quasiment pas évolué.
L’AMF organise, mercredi 30 mai de 14 h à 17 h, une rencontre sur le thème des obligations et opportunités des communes et des EPCI liées au RGPD (inscription gratuite mais obligatoire par mail : akila.harissene@amf.asso.fr).

Ludovic Galtier

Retrouver les conseils de la CNIL pour réussir sa mise en conformité

Suivez Maire info sur Twitter : @Maireinfo2