Retour sur l’application du RGPD
par les collectivités et les établissements publics
Il est entré en vigueur le 25 mai 2018 : il s’agit du règlement européen sur la protection des données personnelles, le RGPD. De par leur devoir d’exemplarité, et de respect de la vie privée des citoyens, les collectivités et les établissements publics ont des obligations sensiblement différentes en matière d’application de ce règlement.
Pour ce type d’organisation, la désignation d’un DPO est obligatoire, comme nous le désignions dans notre article. Nous souhaitons apporter aujourd’hui une réflexion sur la mise en application du RGPD par les établissements publics, un mois après l’entrée en vigueur du règlement, accompagné par des conseils et des bonnes pratiques.
RGPD : quel impact pour les collectivités ?
On peut citer différents impacts de la mise en application du RGPD pour les collectivités :
- En matière de traitement des données personnelles, on passe d’une obligation de moyens à une obligation de résultat. Les collectivités sont donc désormais responsables du traitement de leurs données personnelles selon un principe d’auto-contrôle.
- Collectivités et prestataires informatiques sont désormais liés par une co-responsabilité en cas de fuite de données ou de problèmes dans la gestion du traitement des données.
- Les développements de nouveaux services administratifs devront respecter le principe du “privacy by design”, ce qui peut entraîner une lenteur ou une complexité dans le développement lui-même.
- Toutes les collectivités doivent désigner un délégué à la protection des données.
RGPD : qui est conforme ?
Certaines structures publiques ont pris le parti de communiquer sur leur application du RGPD.
C’est le cas par exemple de la commune de Arles qui explique de quelle manière le rgpd a été appliqué avec un article spécifique sur son site. Dans cet article sont définis les principaux points de la mise en application du RGPD, tels que la durée de conservation des données ou la manière dont les utilisateurs peuvent récupérer leur donner. La ville indique également la nomination de son délégué à la protection des données.
RGPD : attentions aux démarchages et services commerciaux abusifs
Devant la complexité de la mise en conformité et l’urgence de mettre en place des solutions rapides, de nombreuses acteurs se sont improvisés pour proposer des services de mise en conformité. On trouve parmi ces acteurs des entreprises IT, des cabinets d’avocats mais aussi des centres de gestion ou des syndicats de coopération territoriale.
La CNIL met en garde contre certaines pratiques abusives de service de mise en conformité. Par pratiques abusives, il faut entendre des pratiques commerciales trompeuses telles que :
- se faire passer par une entreprise mandatée par les pouvoirs publics,
- proposer des prestations trop légères ou incomplètes pour une réelle mise en conformité (par exemple, l’envoi d’une simple documentation)
- utiliser la mise en conformité pour récupérer des informations confidentielles.
Pour se prémunir de ce type de pratiques, la CNIL recommande de bien vérifier l’identité de l’entreprise et leur légitimité pour effectuer la démarche de conformité, de lire attentivement les dispositions contractuelles ou précontractuelles et de se méfier des organismes qui se réclament de quelque lien avec le service public.
Collectivité : qui nommer en tant que DPO ?
La nomination du DPO doit respecter un certain nombre de règles. Les collectivités sont le plus souvent tentées de désigner comme DPO leur DSI leur DRH ou le DGS. Selon les conseils d’un avocat spécialisé dans la protection des données, ce choix ne semble pas judicieux puisque le RGPD prohibe tout conflit d’intérêt dans le cadre de son application.
Lorsque la structure n’a pas besoin d’un DPO à plein-temps, l’avocat recommande soit de mettre en place un DPO mutualisé entre plusieurs structures, ou alors de faire appel à un DPO externalisé, en prenant bien entendu le soin d’analyser la qualité du prestataire et de ses compétences juridiques.