RGPD : impacts et nouvelles obligations
pour le secteur public
Il faut s’attendre à une révolution digitale pour les organisations du secteur public. Cependant, comme le secteur privé, le secteur public devra également appliquer le règlement général sur la protection des données (RGPD) à compter du 25 mai 2018.
C’est un secret de polichinelle :
Tandis que les administrés sont de plus en plus demandeurs de services en ligne sur tout type de support, demandeurs d’alerte en temps réel et de transparence des accès aux informations, les collectivités et les établissements publics traitent tous les jours toujours plus de données personnelles, qu’il s’agisse de leur propres fichier de ressources humaines ou des différents services et activités dont ils ont la charge.
Dans le domaine du public, l’enjeu est d’autant plus important que les données traitées par les établissements constituent bien souvent des données sensibles du point de vue des libertés et des droits fondamentaux (par exemple, établissements de santé).
Il est donc nécessaire pour les organisations publiques de s’informer sur les enjeux de cette nouvelles réglementation, tant sur le plan organisationnel que technique, afin de prendre en temps et en heure les dispositions les mieux adaptées. SNEG vous apporte son éclairage.
RGPD pour le secteur public : ce que dit la loi
Les nouvelles dispositions mises en place par la loi visent à changer la culture des organisations en matière de protection des données.
Comme pour nombre de procédures mises en place dans le cadre de la modernisation de l’administration, le texte induit le passage d’une logique de contrôle basée sur des formalités administratives à une logique de responsabilisation. Les acteurs privés et publics devront démontrer à tout instant qu’elles offrent un niveau optimal de protection des données traitées.
En cas de non-respect d’une obligation, l’organisme pourra encourir une amende considérable, dont le montant pourrait atteindre jusqu’à 20 millions d’euros. Lors de la mise en place de la sanction, seront appréciés le caractère intentionnel ou de négligence du manquement ainsi que les mesures prises pour atténuer les dommages subis ou ses effets négatifs.
RGPD : établissements publics, comment se mettre en conformité
Désigner un DPO
La mesure la plus importante de ce dispositif est sans doute l’obligation de désigner un DPO (Data Privacy Officer, en français, DPD, délégué à la protection des données).
Cette obligation sera effective pour les organismes et autorités publics à compter du 25 mai 2018. Outre la nomination de ce nouveau poste au sein de l’établissement, il sera également nécessaire pour la structure de s’assurer que le DPO dispose d’un niveau d’expertise et de moyens suffisants pour exercer son rôle de façon efficace.
Obligation de tenir un registre
Jusqu’à présent, les organismes étaient tenus d’effectuer une déclaration des activités envisagées donnant lieu à un traitement de fichier contenant des données personnelles.
Avec le RGPD, les entreprises et les organisations publiques auront désormais une obligation d’« accountability ». Autrement dit, il sera nécessaire de tenir un registre démontrant la conformité du traitement des données personnelles.
Obligation de transparence
Autre mesure, le RGPD introduit une obligation de déclaration auprès de la CNIL en cas de violations de données à caractère personnel (data breach).
Cette déclaration devra parvenir à la CNIL dans le délai de 72 heures après l’incident en question.
Obligation de sécuriser son système d’information dès sa conception
La notion de respect de la vie privé étant devenue une notion majeure, le RGPD oblige les entreprises et organisations à placer un haut niveau de sécurité dès la conception de leur système d’information.
Appelé « privacy by design », ce concept fait appel à un certain niveau de subjectivité, dans la mesure où il est difficile d’apprécier le-dit niveau de protection. Elle impose cependant une mesure concrète, qui est l’obligation d’opt-in, c’est à dire, de consentement préalable et explicite, de l’utilisateur vis à vis de l’exploitation de ses données.
Ainsi, nous venons de voir les principales mesures qui s’imposent aux établissements publics en matière de gestion des données personnelles, avec la mise en place du RGPD.
Cette mesure, avant tout réglementaire, induit ainsi des conséquences organisationnelles, avec le recrutement ou la nomination d’un responsable dédié à la protection de ces données, mais aussi, sur le plan de la documentation, et du système d’information lui-même.
Cela induit donc pour les établissements publics de nouvelles obligations telles que celles que nous avons évoqués, mais également, des efforts supplémentaires en matière de gestion et de protection des données, tels que l’encadrement des opérations sous-traitées dans les contrats de prestation de services, l’adhésion à des codes de conduite ou encore, la certification des traitements.