RGPD et règlement de service : une révision de votre règlement est-elle obligatoire ?

Une clause « RGPD » dans le règlement de service est vivement recommandée

Oui, les services de l’eau et de l’assainissement sont aussi concernés par le règlement général sur la protection des données personnelles (RGPD), nonobstant leur mode de gestion.

Celui-ci opère un renversement complet de l’approche en matière de protection des données personnelles. Désormais, toute personne morale traitant de données personnelles doit se « responsabiliser », afin d’être en mesure de démontrer elle-même qu’elle respecte le RGPD.

Autrement dit, vous êtes dans l’obligation de vous engager dans ce qu’il est devenu l’usage d’appeler une « procédure de mise en conformité ».

Cette procédure, loin de vous inquiéter, doit vous permettre d’appréhender sereinement un éventuel contrôle.

Le RGPD n’impose pas explicitement une révision des règlements de service d’eau et d’assainissement. Il faut dire que le « G » de « RGPD » signifie « général » …  Puisque la portée de ce règlement est immense, il ne peut prévoir toutes les hypothèses dans lesquelles il aurait vocation à s’appliquer.

En fait, le RGPD oblige à une vigilance telle que nous préconisons une modification de ce règlement de service.

Que doit contenir la clause « RGPD » du règlement de service ?

La révision du règlement de service consiste à modifier voire ajouter un article, une clause, relative « à la protection des données personnelles ».

Vous devez y préciser :

  • Une phrase introductive, faisant valoir que le service gère et traite les données personnelles en conformité avec la règlementation en la matière

Attention, le RGPD n’est pas la seule règlementation en vigueur en la matière. La loi « Informatique et Libertés » de 1978, loin d’avoir été abrogée, a été révisée pour être conforme (elle aussi…) au RGPD.

  • Les raisons pour lesquelles la collecte des données personnelles est obligatoire pour le service

Il s’agit de préciser que, par exemple, que la collecte des nom, prénom, adresse du client, est strictement nécessaire à la gestion du service. Il s’agit également de préciser que le service s’interdit d’utiliser les données personnelles pour toute autre finalité que celle(s) strictement nécessaire(s) à la gestion de son service.

  • La durée pendant lesquelles les données sont conservées

Une telle durée correspond, a priori, à la durée de l’abonnement de l’usager, à laquelle il convient d’y ajouter la durée pendant laquelle sont conservées les données après résiliation de l’abonnement (un usage tendrait à préciser cinq ans, mais cela varie en fonction de certaines circonstances).

  • Les droits des usagers en la matière

Les usagers du service doivent être informés de tous les droits que leur octroie le RGPD, tels que le droit d’accès et le droit de rectification des fichiers.

  • Les coordonnées pour faire valoir ses droits ou formuler une réclamation

En ce sens, une adresse mail consacrée spécifique à ces réclames peut être utile.  En tout état de cause, il convient ici de mentionner le nom et les coordonnées du délégué à la protection des données personnelles dont la désignation est obligatoire (si vous n’avez toujours pas désigner de délégué à la protection des données personnelles, lisez cet article).