Maire-info
Le quotidien d’information des élus locaux
Édition du vendredi 16 février 2018
Numérique

Règlement pour la protection des données personnelles : l'échéance du 25 mai 2018 se rapproche

Les députés ont adopté mardi 13 février, à une très large majorité, le projet de loi transposant le « paquet européen de protection des données »  qui intègre le règlement européen sur la protection des données (RGPD). Le projet de loi sera discuté au Sénat à partir du 20 mars.
La nouvelle réglementation, qui concerne toutes les collectivités locales quelle que soit leur taille, au même titre que les acteurs économiques et les associations, entrera en vigueur à partir du 25 mai 2018. Une échéance à prendre très au sérieux car le RGPD transforme l’obligation de moyens de la législation actuelle en une obligation de résultats et renforce considérablement les sanctions encourues.
Cette nouvelle législation complète la loi informatique et liberté de 1978 et la loi république numérique (LRP) en créant de nouveaux droits et obligations. Toute entité traitant des données de citoyens européens est concernée par le RGPD. La notion de données personnelles est appréciée au sens large et intègre les données nominatives (noms, prénoms, adresse…) comme celles qui permettent une identification indirecte, comme la géolocalisation. Le projet de loi prévoit par ailleurs une majorité numérique à l’âge de 15 ans, à partir duquel un mineur peut consentir seul à un traitement de données à caractère personnel.
Le RGPD repose sur une logique de conformité, dont les acteurs sont responsables, avec un contrôle a posteriori du régulateur, la CNIL. Sont supprimées la plupart des formalités CNIL déclaratives à l’exception de certains traitements, comme la biométrie. L’application du RGPD impose une nouvelle organisation des administrations et la nomination, obligatoire pour les collectivités, d’un « délégué à la protection des données personnelles »  (DPD). Ce poste peut toutefois être mutualisé à une échelle supra communale. Le RGPD suppose d’anticiper les enjeux de protection des données personnelles en amont des projets informatiques via une étude d’impact. En cas de contrôle, les collectivités devront être en mesure de prouver qu’elles ont engagé les mesures assurant leur conformité au RGPD et qu’elles tiennent à jour un registre des traitements.
Le texte augmente surtout drastiquement les sanctions encourues en cas de manquement, les faisant passer de 3 millions d’euros l’amende maximale (LRP), à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour une entreprise. Il oblige aussi à déclarer à la CNIL tout piratage de données personnelles dans les 72 heures après constatation des faits.
Pour se préparer à l’échéance, la CNIL recommande de lancer en priorité une cartographie des traitements existants afin de prioriser les actions à engager. C’est le préalable à la mise en place d’un processus de mise en conformité qui doit intégrer les agents, les élus comme les fournisseurs des collectivités.
Le rapprochement de l’échéance du RGPD a suscité la multiplication des offres de services parmi lesquelles un certain nombre d’arnaques. La CNIL invite à la plus grande vigilance sur les appels de sociétés revendiquant un « label CNIL »  (inexistant) et proposant une conformité RGPD « clé en main ». La commission invite les collectivités à consulter son site internet qui propose de nombreuses ressources pratiques, dont un guide de conformité en six étapes.
Une réflexion sur la prise en compte de cette nouvelle obligation à l’échelle des intercommunalités ou des structures de mutualisation numérique est en cours dans de nombreuses régions.
O.D.

Accéder à la page dédiée sur le site de la CNIL.



Suivez Maire info sur Twitter : @Maireinfo2