RGPD et collectivités locales : un chantier à part entière mais encore mal appréhendé

Nous le martelons régulièrement sur ce site, le Règlement général sur la protection des données (ou RGPD) entrera en vigueur le 25 mai 2018 et pourtant les entreprises et les collectivités publiques n'ont pas encore pris la pleine mesure de leur obligation de se trouver en conformité avec l'ensemble du nouveau règlement européen dès ce 25 mai.

La Cnil a mis un coup de projecteur sur la situation des collectivités locales dans une actualité du 18 juillet dernier, à propos de ce chantier essentiel mais encore mal appréhendé à presque 10 mois de l'entrée en vigueur du Règlement.

Les collectivités locales premières concernées par la protection des données personnelles

Les collectivités territoriales traitent chaque jour de nombreuses données personnelles, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou  la gestion des différents services publics et activités dont elles ont la charge (fichiers d'administrés).

Qui dit e-administration dit accroissement des traitements de données personnelles

Le développement de l’e-administration constitue un levier majeur de la modernisation de l’action publique.

De ce fait, les collectivités recourent de plus en plus aux technologies et usages numériques :

  • Téléservices ;
  • Open data ;
  • Systèmes d’information géographique ;
  • Cloud computing ;
  • Compteurs intelligents ;
  • Réseaux sociaux ;
  • Lecture automatique de plaques d’immatriculation, etc.

Par ailleurs, le nombre de cyber-attaques ne cesse d’augmenter, et ce, quelle que soit la taille des organisations visées.

Un retard déjà prévisible

Selon une enquête réalisée par la Gazette des communes, seulement 10 % des collectivités pensent qu’elles seront prêtes pour mai 2018. La Cnil les incite à se préparer en désignant dès maintenant un correspondant à la protection des données qui deviendra délégué.

Le grands axes de la réforme

La Cnil met également l'accent sur quelques points saillants de la réforme :

  • "Ce qui change avec le Règlement" : synthèse en peu de mots des enjeux de gestion essentiels ;
  • "La désignation obligatoire d’un délégué à la protection des données" qui rappelle que toutes les collectivités locales ont l'obligation de désigner un DPD, comme toutes les collectivités publiques et la plupart des entreprises, là où le Cil n'était que facultatif sous l'empire de l'actuelle législation.

Responsabilité et gouvernance

Dans son actualité du 11 juillet, auquel celle-ci renvoie, la Cnil tente de faire passer les messages essentiels, que nous avons déjà signalés sur ce site, mais adaptés collectivités locales, s'efforçant de faire passer les lignes de force du nouveau dispositif en des termes qu'il nous paraît utile de souligner :

  • Une logique de responsabilisation ;
  • La gouvernance des données.

Source : Cnil

En savoir plus

Voir l'actualité de la Cnil du 18 juillet dernier : "Règlement européen sur la protection des données : comment les collectivités peuvent-elles se préparer ?" :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-comment-les-collectivites-peuvent-elles-se-preparer
renvoyant à celle du 11 juillet : "En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ?" :
https://www.cnil.fr/en-quoi-les-collectivites-territoriales-sont-elles-impactees-par-le-reglement-europeen-sur-la
 

Didier FROCHOT