Les collectivités sur le front du RGPD

Parce qu’elles recourent de plus en plus aux technologies du numérique, les collectivités sont directement concernées par le règlement général de protection des données (RGPD). Adopté en avril  2016 après quatre années de négociation, ce règlement européen s’applique depuis mai  2018.

Gestion des activités et services, sécurisation des locaux, police municipale… Le nombre de données personnelles traitées au quotidien par les collectivités est grandissant, à l’instar de l’usage qu’elles font des outils numériques. L’entrée en vigueur du règlement général de protection des données (RGPD), en mai 2018, est venue renforcer les grands principes déjà présents dans la loi avec de nouvelles exigences qui s’imposent aux organisations en Europe. Pour la Commission nationale de l’informatique et des libertés (Cnil), c’est un véritable changement de culture qui s’opère avec une responsabilisation des acteurs privés et publics. « Ce changement de posture se traduit par une mise en conformité permanente et dynamique de la part des collectivités qui doivent adopter des mesures techniques et organisationnelles pour garantir un niveau optimal de protection tout au long du cycle de vie des données », souligne l’organisme.

Une vraie gouvernance des données

Une donnée personnelle est une information (nom, photo, empreinte, adresse postale, courriel, numéro de téléphone, de sécurité sociale, matricule interne, enregistrement vocal, identifiant de connexion informatique…) permettant d’identifier, directement ou indirectement une personne physique. Selon le RGPD, elle doit être protégée dès la conception et par défaut avec une prise en compte des droits et libertés le plus en amont possible. La Cnil cite des mesures concrètes permettant de réduire au maximum le traitement effectué. Elle préconise par exemple de préférer, aux commentaires libres, les menus déroulants ou les cases à cocher pour limiter dès le départ le nombre et la nature des données enregistrées. Autre préconisation, restreindre au maximum l’accès aux données en définissant strictement les habilitations et en précisant d’emblée les
opérations susceptibles d’être réalisées. D’autres actions sont recommandées comme la pseudonymisation des données lorsque c’est possible et la mise en œuvre automatique de purge ou archivage. S’il allège fortement les obligations en matière de formalités préalables, le RGPD impose une bonne gouvernance des données personnelles. 

Les collectivités doivent ainsi tenir un registre de leurs activités de traitement et veiller à garantir la confidentialité des données. Elles sont tenues d’analyser l’impact sur la vie privée et les libertés de certains traitements à risques et d’encadrer les opérations sous-traitées dans les contrats de prestation de services. La prise en charge des demandes d’exercice des droits doit être organisée de même que la détection et la gestion des incidents de sécurité. Les violations des données personnelles sont à notifier à la Cnil, voire aux personnes concernées.

Un délégué à la protection des données

Pour se conformer à ces obligations, les collectivités ont dû nommer un délégué à la protection des données (DPD). Interne ou externe, mutualisé ou non avec d’autres, ce délégué est le point de contact entre la collectivité et la Cnil. Chargé de diffuser une culture informatique et liberté au sein de la structure, il informe et conseille le responsable de traitement des données et les agents. Son rôle inclut aussi une dimension de contrôle avec, entre autres, la réalisation d’audits et d’études d’impact. Pour la Cnil, il est important que le délégué soit à l’abri des conflits d’intérêts et qu’il puisse librement entreprendre les analyses ou actions jugées utiles. Son efficacité exige par ailleurs qu’il dispose d’un niveau d’expertise et de moyens suffisants : connaissance du secteur d’activité concerné, du droit et des pratiques en matière de protection de données, ressources et formations nécessaires pour mener à bien ses missions, être associé en temps utile et de manière appropriée à l’ensemble des questions informatiques et libertés. Ces exigences plaident en faveur de la mutualisation du délégué à la protection des données, notamment pour les collectivités de petites tailles dont les moyens sont limités et les préoccupations identiques. Cette mutualisation peut prendre différentes formes : désignation d’un délégué au niveau d’un établissement public de coopération intercommunale, d’un centre de gestion de la fonction publique territoriale, d’une agence départementale ou d’un syndicat mixte. L’idée est de favoriser les collaborations pour faciliter les démarches de mise en conformité.

Grand Chambéry investit dans un service mutualisé

La mutualisation est le parti pris par Grand Chambéry où Marie-Dominique Villa est, depuis mi-septembre 2018, déléguée à la protection des données. Elle travaille en lien avec Pascal Maquet, ex-correspondant informatique et liberté, responsable de la sécurité informatique au sein de la direction des systèmes d’information (DSI) de la communauté d’agglomération. « La DSI est un service mutualisé qui intervient pour Grand Chambéry, les villes de Chambéry, La Motte-Servolex, La Ravoire et le CCAS de Chambéry. Elle compte 25 agents répartis entre la technique, la conception et l’intégration de solutions, la cartographie », explique Pascal Maquet. Début 2017, la DSI a commencé à sensibiliser les élus au RGPD. L’idée de recruter un DPD mutualisé pour les 47 structures concernées (intercommunalité, communes, Epic, amicales, CCAS…) du territoire s’est imposée compte tenu de la rareté de l’expertise recherchée. « Cette volonté d’avoir une stratégie commune avec un même niveau d’exigence dans la protection des données, la sécurité, les process, les possibilités de recours est rare au niveau national. La Cnil est d’ailleurs très intéressée par notre modèle », poursuit Pascal Maquet. Assez lourde et longue à mettre en place, cette organisation mutualisée se concrétise avec le recrutement de Marie-Dominique Villa, dont le profil correspond à celui d’un bon DPD : connaissance de l’informatique, sens de la communication, appétence pour le juridique et la veille documentaire. « J’ai été responsable informatique puis chargée de communication à la médiathèque de Chambéry, indique-t-elle. Mes fonctions de DPD me permettent de relier mes connaissances et de toucher à un sujet qui m’intéresse et auquel je suis personnellement très sensible. ». Depuis sa prise de fonction, Marie-Dominique Villa a organisé des séances collectives de sensibilisation dans chacune des structures pour expliquer ce qu’est une donnée, le travail à effectuer pour se conformer au RGPD… Cette phase de sensibilisation a été effectuée en lien avec Pascal Maquet qui a profité de ce canal pour aborder les questions liées à la sécurité : « ce que l’on appelle l’hygiène informatique. Il est par exemple important que les agents verrouillent leur ordinateur lorsqu’ils quittent, même pour quelques minutes, leur poste de travail ». Toutes les structures ont commencé à travailler à l’élaboration des registres recensant les données collectées, les raisons de leur conservation, la durée de cette conservation, etc. « Il est indispensable qu’elles s’approprient la démarche. Je suis là pour les accompagner, les aider si nécessaire et surtout les rassurer », précise Marie-Dominique Villa.

Une boîte à outils

La Cnil met un ensemble d’outils à la disposition des collectivités pour les aider dans leurs démarches de conformité au RGDP. Parmi eux, une méthodologie rappelant les actions clefs à mener, un modèle de registre des traitements, un outil en open source permettant de réaliser des analyses d’impact, des guides (encadrement des opérations sous-traitées, sécurité des données personnelles), des modèles/trames de mentions d’information et de recueil de consentements, etc. La panoplie va être complétée dans le cadre d’un plan d’accompagnement des collectivités déployé en 2019 : guide pratique, fiches thématiques, (téléservices, sécurité, DPD, etc.). L’enjeu est d’aider les décideurs publics à se conformer à des obligations dont le non-respect peut être sanctionné. Plusieurs étapes ont été prévues par le législateur, à commencer par l’avertissement et la mise en demeure jusqu’aux sanctions administratives et pénales en passant par l’injection et la suspension temporaire des flux de données. En France, les sanctions pénales applicables peuvent aller jusqu’à 300 000 euros d’amende et jusqu’à 5 ans d’emprisonnement. Peuvent s’ajouter des dommages et intérêts versés, dans le cadre d’une action en justice, à toutes personnes qui auraient été lésées par un traitement des données non conforme au RGPD.

——————————————————————————————————————–

« Le RGPD n’a fait que confirmer une démarche en place »

Quel est votre rôle à la mairie de Faverges-Seythenex ?

Je suis webmaster depuis 15 ans à la mairie. Je m’occupe du développement numérique et de la culture scientifique, suis référente de la future Micro-Folie et déléguée à la protection des données (DPD). En tant que DPD, je suis notamment chargée d’assurer la création et le suivi du registre de traitement des données.

Qu’est-ce que le RGPD a changé pour vous ?

L’utilisation de nos premiers logiciels de gestion m’a conduit, dans le passé, à effectuer des démarches auprès de la Commission nationale de l’informatique et des libertés (Cnil). Nous avons toujours été sensibles à des questions comme le droit à l’image. Le RGPD n’a fait que confirmer une démarche déjà en place.

Concrètement comment procédez-vous ?

Au niveau du site, nous avons commencé par modifier les mentions légales. Et nous avons rencontré différentes entreprises avant de choisir un expert en sécurité informatique, basé en Savoie, qui nous accompagne tout au long du processus avec, entre autres, la réalisation de tests d’intrusion. Ce travail débouche sur le passage de notre site en connexion sécurisée (https) et l’intégration du message informant les internautes de l’utilisation de cookies à des fins statistiques.

Quelles sont les données qui vont intéressent ?

Les données que nous traitons ne reposent que sur une adresse ip et sont donc anonymisées. Elles nous permettent de connaître la provenance des internautes, le temps passé sur le site, le nombre de pages lues, etc. Le registre de traitement des données que nous élaborons va lister l’ensemble des informations que nous conservons en mairie afin de répondre aux personnes qui en feraient la demande et /ou qui souhaiteraient exercer leur droit d’accès et/ou de rectification.

Comment faites-vous pour élaborer ce registre ?

Chaque chef de service doit me transmettre la liste des données collectées mais aussi le temps durant lequel elles seront conservées, la raison de leur conservation, etc. C’est un travail à la fois long et fastidieux mais également intéressant car il va nous permettre de mieux nous organiser et d’avoir une vue d’ensemble des bases de données que nous gérons. Je profite de cette démarche pour sensibiliser, avec notre expert informatique, les services à la sécurité. Ce travail d’information s’accompagne de la signature d’une charte signée par chaque agent.

Quel est l’objet de cette démarche de sensibilisation à la sécurité ?

Les mails frauduleux sont de plus en plus nombreux, de plus en plus virulents et de moins en moins détectables. Il est important qu’au moindre doute nos collègues se renseignent avant d’ouvrir une pièce jointe suspecte.

Au final, quels premiers enseignements tirez-vous du passage au RGPD ?

Les évolutions se sont faites assez naturellement et correspondent à notre volonté de rester dans les clous. Même si certaines tâches sont un peu laborieuses, le respect des droits et des libertés des personnes en Europe est vraiment fondamental.

——————————————————————————————————————–

Acheteurs publics

Pour intégrer le RGPD dans les contrats de commande publique impliquant des traitements de données personnelles, le formulaire de déclaration de sous-traitance (DC4), sa notice explicative et sa fiche technique ont été mis à jour. Pour les administrations et leurs cocontractants, cette fiche technique « traduit » la terminologie du RGPD en vocable marchés publics : le « responsable du traitement » est l’acheteur public, et le « sous-traitant » le titulaire du marché public. Cette mise à jour rappelle aussi leurs responsabilités à l’ensemble des organismes traitant des données personnelles avec notamment l’obligation d’intégrer dans tous les marchés publics les clauses obligatoires prévues par le règlement (article 28), avec un renvoi à l’exemple de clauses proposé par la Cnil dans son « Guide du sous-traitant ». Le cahier des charges doit intégrer une clause autorisant le recours à un sous-traitant chargé de traiter des données personnelles. L’attention des acheteurs mutualisant leurs achats est encore attirée sur la nécessité de définir de façon transparente leurs obligations respectives, notamment en ce qui concerne l’exercice des droits des personnes dont les données seront traitées. L’actualisation globale des cahiers des clauses administratives générales (CCAG) en 2019 s’accompagnera d’une mise à jour des dispositions relatives à la protection des données.

——————————————————————————————————————–

Un premier bilan
après six mois d’application

La Commission nationale de l’informatique et des libertés (Cnil) a publié fin 2018 un premier bilan(1) après six mois d’application du RGPD. Du côté des professionnels, 32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ce qui représente 15 000 DPD contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD. Quelque 1 000 notifications de violations de données ont été reçues, soit environ 7 par jour depuis le 25 mai. La Cnil constate par ailleurs une hausse significative des contacts avec le public, notamment les professionnels : 178 000 appels depuis janvier 2018 et 246 000 consultations des FAQ (foires aux questions) en ligne (178 000 en 2017). Le nombre de visites sur le site de la Cnil a également bondi, passant de 4,4 millions en 2017 à 7 millions en 2018. L’outil PIA permettant de réaliser une analyse d’impact sur la protection des données a enfin été téléchargé 130 000 fois.
De leurs côtés, les particuliers sont 78 % à se déclarer de plus en plus sensibles à la protection de leurs données personnelles. Cette sensibilité accrue s’explique principalement par des facteurs anxiogènes exprimés par les personnes interrogées : peur du piratage ou du vol de données, scandales de piratages sur les réseaux sociaux. Les courriels indésirables et les sollicitations commerciales sont aussi mis en avant. Face à ces inquiétudes, la connaissance du RGPD apparaît globalement bonne, 65 % des Français en ont déjà entendu parler. Mais ils sont 54 % seulement à estimer, comprendre, à ce stade, ce que le RGPD a changé sur les droits des personnes et les obligations des professionnels. Une fois mieux informés, les Français considèrent à 73 % que le règlement est efficace pour mieux protéger les données personnelles. Sur les 11 premiers mois de 2018, ils ont déposé 9 700 plaintes auprès de la Cnil (6 000 depuis le 25 mai et l’entrée en vigueur du RGDP), soit 34 % de plus qu’en 2017 sur la même période. L’instruction de ces plaintes montre qu’elles sont l’occasion de repenser l’organisation notamment au regard de l’information des personnes et des modalités d’exercice des droits, comme le droit d’accès. « En effet, les organismes reçoivent énormément de demandes de droit d’accès notamment, ce à quoi ils n’étaient manifestement pas assez préparés », observe la Cnil.
La commission a été saisie de trois plaintes collectives émanant de trois organismes : la Quadrature du Net (plaintes concernant Google, Amazon, Facebook, LinkedIn et Apple, pour un total de 45 000 personnes concernées), l’association NOYB (Google) et l’ONG anglaise Privacy International (plaintes concernant 7 entreprises procédant à de la collecte à grande échelle de données en ligne). Les autorités de protection européennes coopèrent actuellement pour traiter 345 plaintes transfrontalières. La Cnil est concernée par 187 cas dont 15 pour lesquels elle assume un rôle de chef de file.

(1) Sondage réalisé par l’Ifop pour la Cnil, en ligne, du 30 au 31 octobre, auprès d’un échantillon de 1 003 personnes, représentatif de la population française âgée de 18 ans et plus.
Source documentaire : Commission nationale de l’informatique et des libertés.

——————————————————————————————————————–

La loi pour une république numérique

Promulguée en octobre 2016, la loi pour une république numérique impose aux organisations publiques et collectivités de plus de 3 500 habitants de publier sur internet leurs principaux documents et bases de données présentant un intérêt économique, social, sanitaire ou environnemental… Elle précise que la diffusion de certains documents ne pourra se faire que sous réserve d’anonymisation ou d’occultation des mentions touchant notamment à la vie privée et à des secrets protégés. L’ouverture concerne aussi les données des délégations de service public (dans les transports, l’eau, la gestion des déchets, etc.), de subventions publiques au-delà d’un certain seuil, de jurisprudence sous conditions ou encore de consommation d’énergie. La loi a devancé certains aspects du RGDP en reconnaissant à tout citoyen un droit à la libre disposition de ses données numériques personnelles à travers diverses mesures : droit à l’oubli numérique pour les mineurs, droit à la mort numérique, secret des correspondances privées (mails, réseaux sociaux, etc.). Elle facilite enfin l’accès au numérique dans tous les territoires et pour tous les publics, notamment pour les personnes en situation de handicap avec de nouvelles obligations en matière d’accessibilité.