J – 10 avant l’entrée en vigueur du RGPD : adoption du projet de loi. Serez-vous prêts ?

La protection des données personnelles a trouvé son droit. Il s’agit :
  • du règlement général sur la protection des données personnelles (RGPD), dont l’entrée en vigueur est prévue le 25 mai 2018 ;
  • de la loi « Informatique et Libertés » n°78-17 du 6 janvier 1978, actuellement en cours de modification pour sa mise en conformité avec le RGPD ;
  • de la loi pour une République numérique n°2016-1321 du 7 octobre 2016.

Et du projet de loi adopté définitivement par l’assemblée nationale le 14 avril 2018 qui sera prochainement publié au JO.

Vous trouverez ici un lien vers le texte adopté (attention, il s’agit du document provisoire de l’assemblée en attendant la « petite loi ») : lien vers le texte

 

On ne le dira jamais assez : toutes les collectivités locales et leurs groupements sont concernés par le RGPD.

En revanche, même si nombre de propositions des sénateurs n’ont pas été retenues dans le texte (notamment pour réduire les responsabilités des collectivités territoriales et leurs groupements) le texte s’attarde sur la situations de ces dernières pour leur apporter un soutien et des outils :
– une importance du rôle de la CNIL pour accompagner les collectivités et leurs groupements ;
– la possibilité de recourir à des mutualisations facilité autour des services liés au traitement de données (notamment le recours possible à des services unifiés) ;
– etc.

L’entrée en vigueur du RGPD suppose de mettre en oeuvre un certain nombre d’actions, que nous vous résumons ci-après.

 

NOMMER

Nommer un délégué à la protection des données personnelles (appelé « DPO »), c’est obligatoire pour toutes les « autorités publiques », c’est-à-dire pour toutes les collectivités locales ainsi que leurs groupements.
Le cabinet vous a détaillé ici et encore ici la procédure de nomination du DPO.
Il aura pour mission d’informer et de conseiller la collectivité, responsable du traitement, sur les obligations qui pèsent sur elle.
Les collectivités pourront, entre elles, mutualiser ce poste pour plus d’efficacité de ce gardien du respect des obligations issues du RGPD.

 

S’ORGANISER

Le but est d’identifier la place des données personnelles dans l’activité de la collectivité afin de savoir si leur traitement respecte les obligations du RGPD.
Il s’agit de faire un état des lieux, aussi exhaustif que possible, de ces données, de les « cartographier », pour reprendre le jargon en la matière.

Une donnée personnelle peut être traitée via n’importe quel fichier :

  • Les  prises de notes numériques en réunion …
  •  … mais aussi en réalité les fichiers papiers
  • Les fichiers a usage interne mais traitant des données : un simple fichier excel,
  • extraction d’abonnés peut-être concernée
  • Les emails (qui sont des fichiers) et messageries
  • L’annuaire interne
  • Les fichiers listant les marchés
  • Les fichiers de connexion aux sites
  • Les calendriers
  • etc.

Pas d’affolement … il ne faut pas interdire ces usages qui n’ont rien d’illicite, mais il faut être conscient du fait que des données personnelles peuvent se retrouver dans tous ces outils et supposent à la fois une sensibilisation et la formation des agents sur ces éléments et s’assurer que chaque outil reste employé conformément a sa finalité.

Sur la base de cet état des lieux, une véritable politique de gestion des données personnelles pourra être mise en place en fonction des activités et des besoins de la collectivité.

Au regard des exigences de la CNIL, l’idée n’est pas forcément une complétude à 100 % au 25 mai, mais de s’en rapprocher à court voire moyen terme en mettant en place un process interne efficient.

PREVENIR

Le RGDP renforce les droits des personnes sur leurs données. Seule les personnes physiques (à l’exclusion, donc, des personnes morales) sont protégées par le RGPD.

Rien de nouveau en soi puisqu’il s’agit de droits qu’elles avaient déjà sur le fondement de la loi du 6 janvier 1978 et la loi pour une République numérique du 7 octobre 2016 : accès, rectification, effacement, limitation, portabilité, opposition.

En cas de non respect, des amendes sont infligées au responsable du traitement car, attention, la désignation du DPO ne protègera pas la collectivité d’une éventuelle sanction et ne la décharge pas de sa responsabilité.
Ainsi, elle peut se voir condamnée à payer des amendes susceptibles d’être très conséquentes, le RGPD contenant une liste de facteurs aggravants.

 

PARTAGER DES RETOURS D’EXPERIENCE

Nous avions en son temps produit une vidéo en présence de Christian Rogard, cadre territorial, participant à la mise en place du RGPD au sein de sa collectivité, que vous pouvez visionner ou visionner de nouveau pour un « retour d’expérience ».

Nous avons eu également le plaisir d’intervenir pour le réseau IDEAL Connaissances sur ce sujet pour ceux qui y sont abonnés.
Co-écrit par Benjamin Carrey, Mélanie Laplace & Yann Landot