Adopté en 2016, le Règlement général sur la protection des données ou RGPD a remplacé la directive datant de 1995 relatifs à la protection des données à caractère personnel. Ce dispositif couvre en général les résidents de l’Union européenne. Ce nouveau cadre concerne plutôt le traitement et la circulation des données personnelles. De nombreuses actions concrètes doivent être alors mises en place par les collectivités territoriales afin de se mettre en conformité avec le RGPD. Mais quelles sont les obligations que les collectivités locales doivent respecter ?
Le RGPD : un outil de management indispensable pour gérer les données personnelles
Auparavant, les déclarations préalables obligatoires sont soumises à la Commission nationale de l’informatique et des libertés (CNIL). Actuellement, le RGPD, qui est une nouvelle obligation de responsabilisation, vient substituer ces déclarations. Les organismes qui travaillent sur la protection des données s’interrogent le plus souvent sur les procédures internes. Outre de nouvelles contraintes, le RGPD est un outil de management non négligeable pour les collectivités territoriales. Les RGPD collectivités territoriales restent donc un atout de management très important.
Vous devez connaitre mieux les RGPD collectivités afin de mettre en place cet outil de management et le bien gérer au quotidien. La réalisation de ce projet commence toujours par un diagnostic, suivi par la détermination des actions à mettre en place ainsi que leur suivi. Pour mettre en œuvre le RGPD, la CNIL a défini six étapes : l’organisation des processus internes, la nomination d’une personne pour le pilotage de la démarche, la description des traitements de données personnelles, la gestion des risques, la maximisation des actions à mener et la mise en œuvre de règles de conformité. Faites appel à un expert afin de bénéficier d’un service de conseil et d’accompagnement pour la mise en place du RGPD dans les collectivités locales.
Les collectivités territoriales et le RGPD : les obligations
Comme tout autre organisme, les collectivités doivent respecter certaines règles. Parmi ces obligations, on peut citer notamment la nomination du responsable de traitement et les mesures de sécurité mises en place. La loi exige aussi la tenue à jour d’un registre de traitement qui englobe les catégories de données traitées. Il faut également notifier la finalité du traitement ainsi que la durée de conservation des données. Sachez que le responsable de traitement doit aussi réaliser l’analyse d’impact avant d’analyser les données personnelles. Cela permet de protéger les droits et les libertés de la personne physique qui court un risque majeur.
Notez que si vous ne respectez pas tous ces obligations, vous recevrez bien sûr les amendes de la CNIL. En effet, le particulier peut exercer un recours juridictionnel si ses données ne sont pas traitées conformément aux RGPD collectivités locales. Des actions de groupe restent toujours possibles, mais l’impact de ces actions peut être très important en termes d’image.
Importance des données gérées par les collectivités locales
Les données personnelles maniées par les collectivités locales concernent en même temps le personnel, les prestataires extérieurs, les administrés et les élus. Cependant, l’évolution technologique peut augmenter significativement les risques de violations de données personnelles. C’est pour cela que les collectivités territoriales ont été soumises au même régime que les institutions privées. Les collectivités territoriales se servent souvent de plusieurs données pour gérer quotidiennement les services administratifs et publics comme les listes électorales, l’état civil, les centres de loisirs, etc. Elles s’occupent également de la gestion du service de l’eau et de l’assainissement, du développement économique, des équipements sportifs et culturels, des aides sociales et des restaurations scolaires. Elles gèrent aussi les données à caractère personnelles pour leur gestion interne (gestion du personnel, listes de diffusion, site internet, vidéosurveillance, etc.). Les collectivités locales sont concernées notamment par le traitement de données de santé (EPHAD, CCAS) et le traitement de données biométriques des personnes vulnérables (patients, personnes âgées, élèves, demandeur d’asile, etc.).
RGPD et collectivités locales : quelques points essentiels à savoir
Les collectivités locales disposent les moyens et la structure pour se mettre en conformité avec les RGPD collectivités. Pourtant, ce n’est pas le même cas pour les intercommunalités et petites communes qui rencontrent toujours des difficultés à définir les actions à entreprendre et à suivre le contenu du règlement. En effet, le RGPD demande une expertise et une organisation très précise pour la gestion des données au sein des collectivités territoriales. Certaines collectivités n’ont pas toutefois le moyen de mettre en œuvre une telle organisation, du fait de leur taille. À titre indicatif, les collectivités peuvent mutualiser leurs moyens afin de surmonter cette difficulté et faire face à leurs obligations.
Pour tout organisme public, la désignation d’un pilote ou d’un délégué à la protection des données qui a pour rôle de piloter et animer la démarche est obligatoire. Mais, il est possible de faire appel à un consultant DPO externe qui connait déjà le fonctionnement des collectivités.