Entrée en vigueur du RGPD : le Sénat au secours des collectivités locales ?

L’application du règlement général relatif à la protection des données personnelles (RGPD), à partir du 25 mai 2018, ne cesse d’inquiéter nombre de collectivités territoriales (voir également nos précédents billets ici et ici ainsi qu’une vidéo témoignage).

En effet, l’ampleur des nouvelles obligations qui vont peser sur ces dernières, et en tout premier lieu la tenue d’un registre des traitements des données personnelles (Article 30 du RGPD), nécessite de mobilier des moyens techniques conséquents et présente un coût financier incertain.

Le projet de loi relative à la protection des données personnelles (Projet de loi relatif à la protection des données personnelles (n° 296, 201-2018)), venant compléter des dispositions du RGPD, va-t-il permettre de remédier à une telle situation ?

L’Assemblée nationale est restée silencieuse sur le sort réservé aux collectivités locales. Toutefois, le Sénat, à travers sa commission des affaires européennes, critique effectivement le RGPD et ses « obligations très exigeantes de mise en conformité qui pèsent sur les collectivités territoriales » (Rapport d’information de la commission des affaires européennes sur le projet de loi relatif à la protection des données personnelles.).

Plus précisément, le rapport de la commission relève, à juste titre, la différence de traitement entre les collectivités locales et les entreprises privées dans l’application du RGPD.

Il s’avère que :

  • les PME employant moins de 250 salariés peuvent être dispensées de la tenue d’un registre des données qu’elles traitent (Paragraphe 5 de l’article 30 du RGPD);
  • l’obligation de nomination d’un délégué à la protection des données personnelles (« DPO ») ne concerne les entreprises que lorsqu’elles effectuent des traitements à grande échelle ou de données sensibles (Art. 37 du RGPD);
  • l’obligation d’effectuer une analyse d’impact (appelée « DPIA») s’applique uniquement pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques (Art. 35 du RGPD).

Or, de leur côté, les collectivités territoriales, sans considération de leur taille, n’échappent à aucune de ces obligations.

Dans ces conditions, Mme Sophie Joissains, membre de la commission des affaires européennes, a exprimé le souhait de prévoir spécifiquement pour les collectivités locales des modalités d’assouplissement (dans les limites du possible puisqu’il n’appartient pas à la loi de revenir sur un règlement européen, norme supérieure) :

  • que la CNIL n’infligera pas d’amendes pour violation du RGPD pendant un délai deux ans ;
  • un accompagnement de sa part, en déployant par exemple des points relais dans les territoires ;
  • une mutualisation de leurs ressources en la matière, laquelle pourrait être gérée par les départements.

Toutefois, il convient d’émettre quelques réserves sur ces propositions.

La CNIL est une autorité administrative indépendante et, ainsi, n’est pas soumise à l’autorité hiérarchique du gouvernement et la mesure ne doit pas s’inscrire en non conformité non plus avec le RGPD. Pour autant, on ne peut aller que dans le sens de cette préconisation sénatoriale.

En tout état de cause, la CNIL, à l’instar des collectivités territoriales, ne dispose peut-être pas, avec 195 agents, de ressources humaines suffisantes pour exercer sa mission de contrôle de l’application du RGPD a un aussi « petit niveau » et probablement d’elle même n’irait sanctionner que les cas manifestes de manquements au RGPD.

Mais, alors, elle ne sera peut-être pas en mesure de répondre favorablement à la deuxième proposition, à savoir le développement de points relais dans les territoires. Ainsi si

Quoi qu’il en soit si des assouplissements sont toujours les bienvenus mais posent donc aussi la question des moyens qui seraient donnés à la CNIL pour exercer ses missions à la fois de contrôle et d’accompagnement.

Enfin pour les collectivités : si la loi peut moduler certains effets, rappelons qu’elle ne peut pas revenir sur le RGPD qui s’appliquera. Il demeure donc important de commencer a mettre en place le RGPD (mais ne confondons pas importance et précipitation et se priver du temps de la réflexion). Rappelons que  la mutualisation apparaît comme une solution à exploiter dans bien des cas (voir en ce sens notre article sur la mutualisation du délégué à la protection des données).

La discussion du projet de loi en séance publique au Sénat est prévue pour les mardi 20 et mercredi 21 mars prochain.

A propos Benjamin Carrey

Avocat au barreau de Paris

3 réponses

Les commentaires sont fermés.