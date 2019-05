Édition du 27 mai 2019



Cnil Cnil

Propos recueillis par Ludovic Galtier

Un an après l’entrée en vigueur du Règlement général de l’Union européenne sur la protection des données (lire Maire info du 25 mai 2018), un texte redéfinissant les obligations des entreprises mais aussi des collectivités en matière de données personnelles, l’heure est au premier bilan. Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés (Cnil), chargée de veiller au respect du RGPD, répond aux questions de Maire info.Un tiers des communes a déjà désigné un délégué à la protection des données. Rappelons que cette désignation est obligatoire pour le secteur public. La Cnil est consciente que les plus petites collectivités se heurtent à des problèmes de ressources humaines et financières ; c’est pourquoi nous leurs conseillons de mutualiser cette désignation. La mutualisation peut être envisagée à différents niveaux : celui de l’EPCI, du centre de gestion de la FPT ou d’un syndicat mixte.La Cnil s’est rapprochée des différentes « têtes de réseaux » pour les sensibiliser à cette nouvelle obligation et aux moyens de mise en œuvre les plus adaptés aux collectivités.La Cnil a mis en ligne de nombreux contenus ou outils expliquant les principes du RGPD et les différentes étapes d’un plan d’action pour se mettre en conformité. Le site de la Cnil a proposé sur son site un contenu dédié aux collectivités plusieurs mois avant l’entrée en application du RGPD.En 2019, la Cnil développera de nombreuses actions de sensibilisation à destination des collectivités territoriales et tout particulièrement des petites communes. Elle proposera très prochainement un guide pratique actuellement « testé » par les associations et les têtes de réseau, une rubrique dédiée sur son site avec des fiches thématiques permettant d’aller plus loin dans sa conformité.Seulement 5 % des plaintes reçues concernent le secteur public. Ces plaintes ont surtout trait à la vidéoprotection et la collecte excessive de données par les collectivités dans le cadre de démarches administratives. Or le RGPD impose notamment un principe de minimisation et de proportionnalité des données demandées.En 2019, la Cnil articulera son action autour de deux axes principaux : la pédagogie et la dissuasion. En effet, la réussite de la mise en œuvre du RGPD par les professionnels passe par une amplification des actions d’accompagnement qui leur sont dédiées. Les collectivités constituent une priorité pour la Cnil en 2019, comme les TPE et les PME l’ont été en 2018.S’agissant de la doctrine « répressive » de la Cnil, l’année 2018 a constitué une année de transition destinée à permettre aux responsables de traitement de comprendre et d'assimiler les exigences du RGPD adopté en 2016. L’année 2019 marque l’achèvement de cette phase de transition entre l’ancienne législation et le RGPD.La Cnil vérifiera ainsi pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et fera preuve de discernement dans le choix des mesures correctrices. Les textes prévoient toute une palette de réponses : clôture avec observations, mise en demeure, rappel à l’ordre, injonction sous astreinte, sanction pécuniaire. Pour choisir la réponse appropriée, la Cnil tiendra ainsi compte de la gravité des manquements, de l’activité et de la taille de l’organisme concerné, de sa coopération et de sa bonne foi.Le RGPD a introduit trois nouveautés : le droit à la portabilité offre la possibilité de récupérer une partie de ses données dans un format lisible par une machine. Les personnes peuvent ensuite stocker ailleurs ces données portables ou les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.Aussi, le RGPD impose la tenue d’un registre, quelle que soit la taille de la collectivité, dès lors qu’elle traite des données personnelles. Il s’agit un outil de recensement et d’analyse qui permet d’avoir une vision claire et globale des activités de la collectivité qui nécessitent la collecte et le traitement de données personnelles. La Cnil met à disposition sur son site un modèle de registre. Dans les collectivités, ce registre est généralement tenu par le délégué à la protection des données (DPO). Il constitue l’un des outils lui permettant d’exercer ses missions de contrôle du respect du RGPD ainsi que d’information et de conseil du responsable du traitement ou du sous-traitant.Le RGPD impose enfin aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la Cnil et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.Le RGPD n’a pas entraîné de changement quant à la qualification des opinions politiques comme des données sensibles et au principe d’interdiction de collecter et de traiter de telles données, ainsi qu’aux exceptions prévues. Néanmoins, en raison de la disparition des formalités préalables et de la création de nouveaux droits et obligations pour les acteurs de la vie politique, la Cnil a entamé une analyse approfondie qui la conduira à adapter prochainement ses recommandations de 2012.Elle poursuivra aussi ses travaux s’agissant des nouveaux outils et usages mobilisés à des fins de communication politique dans le but d’affiner et d’asseoir sa doctrine.À l’occasion des élections européennes, la Cnil a publié trois fiches thématiques relatives aux droits des électeurs, à la communication politique par courrier électronique et à la communication politique par téléphone.