Vendredi 25 Mai 2018

Objet : Protection des données, conformité avec la loi

Madame le Maire,
Monsieur le Maire,

Je tenais à vous informer que lors de l’examen au Sénat du projet de loi relatif à la protection des données personnelles, il est apparu d’emblée que les conséquences sur les collectivités territoriales du Règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018 n’avaient absolument pas été prises en compte, ni par le Gouvernement, ni par les députés.
Totalement absentes du texte initial comme du texte transmis par l’Assemblée nationale, nos collectivités gèrent pourtant de nombreux traitements de données personnelles (fichiers de l’état civil, listes électorales, fichiers relatifs à la fiscalité locale, fichiers cadastraux, fichiers sociaux, fichiers de recensement de la population, fichiers des logements vacants, fichiers des associations subventionnées, fichiers des cantines scolaires, etc.) et recourent de plus en plus aux technologies et usages numériques (téléservices, open data, systèmes d’information géographique, « cloud computing », compteurs intelligents, réseaux sociaux, lecture automatique de plaques d’immatriculation...).
Le Sénat a tenu à prendre en compte le rôle des collectivités et leur situation singulière. Le projet de loi a été modifié pour :

• Aider les collectivités territoriales et leurs groupements à se mettre en conformité avec les nouvelles règles. Des conventions destinées à faciliter la mutualisation de leurs moyens pourront être conclues afin de réaliser des prestations de service liées au traitement de données à caractère personnel. De même, les collectivités pourront se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel.

• Adapter les missions de la Commission nationale de l’informatique et des libertés (CNIL) aux spécificités de nos collectivités territoriales. La CNIL devra ainsi apporter une information adaptée aux collectivités territoriales et à leurs groupements.
Les députés du groupe majoritaire à l’Assemblée nationale ont refusé de voir les difficultés que l’application du RGPD suscite pour les collectivités territoriales. Prétendant que la situation des collectivités territoriales ne mérite aucun traitement spécifique, ils ont hélas :
• Autorisé la CNIL à imposer aux collectivités territoriales et à leurs groupements des amendes administratives et des astreintes, alors que le Sénat les en avait exonérés puisque l’État lui-même en sera exonéré

• Supprimé l’affectation prévue par le Sénat du produit des amendes prononcées par la CNIL au financement de mesures d’accompagnement destinées à aider les responsables de traitement à se mettre en conformité ;
• Supprimé la dotation communale et intercommunale pour la protection des données à caractère personnel que le Sénat avait proposé de créer pour financer les efforts de mise ne conformité avec les nouvelles règles européennes.

Les collectivités territoriales et leurs groupements doivent donc bien prendre en compte les nouvelles exigences de protection des données :

• Seules les données strictement nécessaires à la poursuite de certains objectifs clairement définis peuvent être légalement collectées et traitées

• Les personnes concernées peuvent exercer plusieurs droits (droit d’accès, droit de rectification, droit à la portabilité, etc.) auxquels il faut pouvoir répondre dans les délais ;

• Les personnes concernées doivent également être informées de ces droits par des mentions appropriées ;

• leurs prestataires et sous-traitants partagent avec eux ces nouvelles responsabilités (et des clauses contractuelles doivent être prévues pour leur rappeler leurs obligations en matière de sécurité, de confidentialité et de protection des données personnelles traitées) ;

• Des mesures de sécurité appropriées doivent être mises en place, en fonction du risque du traitement ;

En outre, la désignation d’un « délégué à la protection des données » devient obligatoire pour toutes les structures publiques, quelle que soit leur taille ; il succédera au « correspondant Informatique et libertés » et il est vivement conseillé de procéder au plus vite à sa nomination. Le correspondant désigné pourra ainsi profiter des nombreux ateliers d’information généralistes et thématiques proposés gratuitement par la CNIL, ainsi que de son service dédié à l’accompagnement de ces professionnels dans leurs démarches de mise en conformité.
La CNIL référence les collectivités territoriales ayant d’ores et déjà désigné un correspondant1, ce qui permet éventuellement de mutualiser cette fonction (au niveau de l’intercommunalité, ou d’un syndicat mixte, ou avec l’aide d’un centre de gestion, etc.). La CNIL propose également une méthodologie en six étapes pour se préparer et anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018.
La démarche permet d’accompagner les professionnels et de leur apporter une sécurité juridique maximale. Vous trouverez ci-joint un document synthétique présentant les démarches à mettre en œuvre pour être en conformité avec la loi.

Telles sont les informations que je souhaitais vous transmettre.

Restant à votre entière disposition veuillez agréer, Madame le Maire, Monsieur le Maire, l’assurance de ma meilleure considération.



Catherine TROENDLE