Le Sénat vote l’absence de sanctions financières des collectivités locales et de leurs groupements en cas de violation du RGPD

Le Sénat vient d’adopter, en première séance, le projet de loi relatif à la protection des données personnelles.

Ce projet de loi doit compléter et préciser les dispositions contenues dans le règlement général sur la protection des données personnelles (RGPD), lequel entrera en vigueur 25 mai prochain (voir également nos précédents billets — ici sur le DPO — et une de nos vidéos).

Lors de la discussion générale du projet, le gouvernement, représenté par Mme la Ministre de la Justice et Garde des Sceaux, Nicole Belloubet, a entendu répondre aux inquiétudes du Sénat s’agissant du sort réservé aux collectivités locales.

Et le Sénat lui-même, parfois contre l’avis du gouvernement, s’est assuré que les collectivités locales puissent, sereinement et efficacement, se mettre en conformité au RGPD.

Voici les points essentiels à retenir :

I- Accompagnement de l’Etat et de la CNIL et mutualisation

Dès l’introduction de la discussion générale, Mme Nicole Belloubet a mis l’accent sur la mise en place d’un dispositif spécifique pour les collectivités locales, en précisant :

  • qu’elle a rappelé aux préfets « la nécessité d’accompagner dans cet exercice toutes les communes, notamment les plus petites d’entre elles»,
  • qu’elle s’est assurée auprès de la CNIL « que cette préoccupation serait effectivement prise en compte»,
  • que, « s’agissant de l’obligation nouvelle pour les collectivité territoriales de désigner un délégué à la protection des données», une mutualisation de cette nouvelle fonction est possible, possibilité qui sera « expressément rappelée dans le décret d’application » en cours d’élaboration,
  • qu’une convention de partenariat entre la CNIL et l’AMF est actuellement en cours d’élaboration, de même qu’un guide « très complet» de la CNIL à destination des collectivités spécifiquement.

Jusqu’ici, rien de véritablement nouveau.

Notons cependant que l’accent mis sur la mutualisation, autant par le gouvernement que par les parlementaires eux-mêmes, laisse clairement entrevoir la création de futurs grands syndicats mixtes compétents en la matière, notamment en faisant office de délégué à la protection des données personnelles pour leurs membres.

 

II- Exonération de sanctions financières

Il s’agit du point le plus crucial : le gouvernement a accepté d’exonérer les collectivités locales et leurs groupements de sanctions financières en cas de violation des règles relatives à la protection des données personnelles (qu’il s’agisse du RGPD ou de la loi « Informatique et Libertés »).

Le gouvernement répond ici plus que favorablement à une demande des sénateurs, qui s’étaient bornés à solliciter un report de 2 ans des sanctions à l’encontre des collectivités locales à compter de l’entrée en vigueur du RGPD.

Soulignons alors les propos de Mme la Garde des Sceaux en ce sens, lors de la discussion :

« Je rappelle, en la matière, tous les éléments dont j’ai eu l’occasion de vous faire part tout à l’heure, qu’il s’agisse du guide de la CNIL ou du lien nécessaire avec les associations d’élus, l’ADF, l’Assemblée des départements de France, mais aussi l’AMF, l’Association des maires de France. Je souligne en outre que nous partageons évidemment la volonté, exprimée par le Sénat, qu’aucune sanction ne soit prononcée et qu’un certain nombre de dispositions voient leur entrée en vigueur reportée à 2020 ». 

« Je le redis : notre gouvernement est d’accord avec la suppression des sanctions et la nécessité que la CNIL porte un regard particulier – nous aurons sans doute l’occasion d’y revenir – sur ces collectivités territoriales ».

Attention : précisons qu’il s’agit là des sanctions financières – celles qui, somme toute, nous intéressent le plus – et non de tout type de sanction.

Pour être parfaitement technique, il faut aller relever que la rédaction du II de l’article 45 de la loi n° 78-17 du 6 janvier 1978 a été adoptée en ce sens :

« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

(…)

 « 7° À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ».

Au passage, relevons que l’Etat s’exonère, lui aussi, de ces sanctions financières…

Quelles sont alors les sanctions applicables aux collectivités territoriales et à leurs groupements en cas de violation des règles relatives à la protection des données personnelles ?

Les principales sanctions qui devraient donc les concerner sont :

  • un rappel à l’ordre,
  • une injonction de mise en conformité, mais sans astreinte,
  • le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée.

Nous vous laissons le soin de juger de la teneur de ces sanctions.

III- Création d’une dotation communale et intercommunale de protection des données personnelles

Le Sénat s’est assuré que les communes et les communautés disposent de moyens financiers suffisants pour se mettre en conformité au RGPD.

En ce sens, et contre l’avis du gouvernement, a été adopté un amendement, introduit lors de l’examen du projet de loi en commission,  créant une dotation à destination de toutes les communes et EPCI à fiscalité propre au titre des charges supportées pour se mettre en conformité avec les obligations qui leur incombent en application du RGPD.

Il en résulterait un article L. 2335-17 du CGCT qui disposerait que :

« À compter de l’exercice 2019, les communes reçoivent une dotation spéciale, prélevée sur les recettes de l’État, au titre des charges qu’elles supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

 

En conclusion, ce sont de bonnes nouvelles que le Sénat apporte aux collectivités territoriales en matière de règlementation des données personnelles.

Le projet de loi, en général, et ces dispositions, en particulier, doivent désormais faire l’objet d’une commission mixte paritaire, chargée de trouver une version commune entre sénateurs et députés – lesquels sont restés, jusqu’au bout, silencieux sur le sort des collectivités territoriales…

Plus que jamais, affaire à suivre.

 

A propos Benjamin Carrey

Avocat au barreau de Paris

3 réponses

Les commentaires sont fermés.