Marie-Laure Denis, sa présidente, l’avait annoncé lors d’une interview à Maire info en mai. La Commission nationale de l’informatique et des libertés a publié, cette semaine, un guide de sensibilisation au Règlement général de l’Union européenne sur la protection des données (RGPD) à l’attention des collectivités. Et leur indique le chemin de la mise en conformité.
Particulièrement concernées par le RGPD tant elles traitent de nombreuses données personnelles, « que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion des ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web », les collectivités, si elles ne l’ont pas encore fait, ont l’obligation de « désigner un délégué à la protection des données », rappelle la Cnil (lire à ce sujet Maire info du 13 septembre et du 23 octobre 2018). Qui détaille largement ses missions, ses compétences et les différentes formes (délégué interne, externe, mutualisation, mise à disposition d’agents…) qu’il peut prendre.
Élément d’importance : « cette logique de responsabilisation concerne aussi les prestataires auxquels les collectivités sous-traitent la gestion (hébergement de données par exemple) ou l’entière mise en œuvre de leurs traitements de données personnelles ».
La Cnil précise ainsi qu’il « est du devoir des sous-traitants de participer à la mise en conformité des collectivités territoriales, en les aidant, notamment en matière de sécurité des données, à satisfaire aux exigences du RGPD ».
4 étapes pour être en conformité
Plus largement, la Cnil propose aux collectivités un plan d’actions en quatre d’étapes pour être en conformité avec le RGPD. Il est imposé, premièrement, au responsable de traitement de tenir un registre listant les traitements de données (état civil, gestion des inscriptions en crèche, scolaire et périscolaire, tenue du cadastre, gestion de la liste électorale, gestion des ordures ménagères, gestion des adhérents de la médiathèque). Il est aussi conseillé de « faire le tri dans les données » afin, par exemple, que les données traitées soient bien pertinentes et nécessaires à l’objectif poursuivi (principes de pertinence et de minimisation), de « respecter les droits des administrés » en informant les personnes dont les données sont traitées, et de « sécuriser les données » avec des mesures techniques et organisationnelles.
Dans le cas où des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées (courriels transmis à des mauvais destinataires, équipement perdu ou volé, publication involontaire de données sur internet, etc.), « cet incident constitue une « violation de données », qui doit être « signalé à la Cnil dans les 72 heures » (lire Maire info du 16 novembre 2018).
Des fiches techniques consacrées aux principaux sujets de préoccupation des différents niveaux de collectivités seront mises en ligne et régulièrement mises à jour sur le site de la Cnil. Qui proposera prochainement, en plus de son cours en ligne gratuit sur le RGPD, un module spécifique pour les collectivités. Ce guide sera, enfin, présenté au prochain congrès de l’AMF et au salon des maires et des collectivités locales, qui se déroulera du 19 au 21 novembre au Parc des expositions de Paris (Pavillon 4, Stand B 33).
Ludovic Galtier
© sources : Maire Info (www.maire-info.com) – 20/09/2019