Le Règlement Général pour la Protection des Données, entré en vigueur le 25 mai 2018 fait peser sur les acteurs d’internet européens de nouvelles obligations quant au traitement des données personnelles. Ces traitements de données sont communément associés aux géants d’internet. Pourtant, les collectivités territoriales sont également en première ligne face à la nouvelle réglementation européenne.
De nouvelles obligations pour les collectivités
Plusieurs nouvelles obligations incombent aux organismes traitant des données personnelles.
De manière générale, les responsables de traitement doivent respecter de nouvelles règles de sécurité et de confidentialité des données. De manière plus spécifique, le RGPD impose aux collectivités territoriales de désigner un délégué à la protection des données au sein de leur organisme. Les collectivités doivent de ce fait mettre en œuvre des moyens techniques et organisationnels afin de garantir la confidentialité et l’intégrité des données qu’elles collectent.
La question de la sécurité des données est au centre de la question pour les collectivités. En effet, elles peuvent être des cibles privilégiées de cyberattaques, ce qui entacherait grandement la confiance des citoyens envers elles. Les nouvelles obligations impliquent donc de mettre en œuvre des moyens organisationnels et budgétaires
Face à la multiplication des démarches en ligne, les collectivités collectent toujours plus de données à caractère personnel, et parfois des données dites « sensibles » (données individuelles, données d’état civil, données familiales etc.). La mise en conformité des collectivités territoriales est donc primordiale.
Le coût de la mise en conformité des collectivités
Il est difficile d’évaluer le coût de la mise en conformité d’une collectivité, mais certaines d’entre elles ont révélé le budget engagé par leur commune. Une commune d’Essonne a notamment donné une fourchette de 50 000 euros pour une commune de 10 000 habitants. Pour une ville de plus grande envergure, le montant de la mise en conformité monterait jusqu’à 40 000 euros pour un seul type de données.
La Gazette des Communes, magazine dédié à la fonction publique territoriale, a interrogé les agents publics au sujet des budgets mis en place pour la mise en conformité. Les agents des grandes collectivités sont satisfaits des budgets alloués à hauteur de 42 %. Pour les plus petites collectivités, le taux de satisfaction chute cruellement à 21 %.
Le 20 juin 2018 a été promulguée la nouvelle loi Informatique et Libertés, modifiant la loi 1978, afin d’y ajouter les nouvelles obligations du RGPD. Lors de ce vote, les sénateurs ont demandé une exonération des sanctions financières pour les collectivités territoriales. Les sénateurs avançaient en effet que les collectivités pouvaient recevoir de fortes amendes, alors que des budgets insuffisants leurs avaient été alloués pour leur mise en conformité. Ces réclamations ont été refusées, afin de ne pas déséquilibrer l’esprit du texte.
Plusieurs mois après l’entrée en vigueur du règlement, certaines collectivités n’ont toujours pas engagé de délégué à la protection des données, et n’ont pas les moyens financiers d’engager de réelle démarche de conformité. La mutualisation du délégué à la protection des données entre les collectivités est une des réponses trouvées par les collectivités pour faire baisser la facture. Pour en savoir plus : https://blog.economie-numerique.net/2018/10/18/rgpd-et-collectivites-territoriales-levidence-de-la-mutualisation/
Le manque d’accompagnement apporté aux collectivités
Les collectivités regrettent le manque d’accompagnement apporté par l’Etat. Les collectivités n’étaient déjà que peu ou prou informées des obligations dont elles étaient soumises par la loi Informatique et Libertés de 1978.
Bien que le retentissement du RGPD ait été important, les collectivités considèrent que l’information au sujet des nouvelles obligations dont elles font l’objet a été bien trop tardive, ne leur permettant pas de lancer le processus en amont et de manière efficace.
Cependant, la nouvelle loi prévoit une information directe entre la CNIL et les collectivités, à l’instar du modèle prévu pour les petites et moyennes entreprises.
La CNIL a également déclaré à plusieurs reprises qu’elle était consciente des difficultés rencontrées par les collectivités pour leur mise en conformité RGPD. L’autorité de contrôle devrait donc se montrer indulgente avec les collectivités les plus modestes durant les premiers mois d’entrée en vigueur du texte européen.
