Délégué à la protection des données

RGPD, DPO et obligations pour les collectivités locales

Dans le cadre du contrôle de la constitution et de l’utilisation de données personnelles dans des fichiers informatisés, les communes, intercommunalités, et syndicats (globalement toute entité juridique de droit privé ou public) ont l’obligation de désigner un DPO (Data Protection Officer ou Délégué à la Protection des Données) avant le 25 mai 2018, date d’entrée en vigueur du RGPD.

Les grands principes de la Loi Informatique et Libertés

  • Finalités des traitements (à quelles fins sont collectées les données)
  • Pertinence et proportionnalité des données collectées (ne récolter que le nécessaire)
  • Durée limitée de conservation des données
  • Sécurisation des données à caractère personnel (qui y a accès et dans quelles conditions)
  • Respect des droits des personnes (conserver la maîtrise des données, droits d’accès, de rectification, d’opposition)

Nouveautés

  • Suppression des procédures déclaratives préalables avec contrôle rétroactif
  • Mise en place d’une logique de responsabilisation des collectivités se traduisant par une mise en conformité permanente et dynamique de la part des collectivités.
  • Elles devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection des données traitées.

Qu’est-ce que le RGPD ?

Le GDPR (ou RGPD) est le nouveau règlement européen sur la protection des données.

Il entrera en application en 2018 et impactera toutes les entreprises, associations et collectivités opérant du traitement de données à caractère personnel concernant des résidents européens.

Les 3 objectifs du RGPD

Le règlement général de protection des données offrira aux individus :

  • Droit d’accès
    Accès aux données personnelles collectées et la finalité de la collecte,
  • Droit à l’oubli
    Possibilité de retirer son consentement à l’utilisation de ses données et d’exiger l’effacement de ses données.
  • Droit à la portabilité des données
    Droit de récupérer ses données afin de minimiser le risque de revente
  • Droit d’information.
    Les individus devront être informés de toute collecte de données les concernant et devront donner leur consentement explicite (obligation du opt -in). Ce consentement pourra être retiré à tout moment.
  • Droit de notification.
    En cas de fuite de données concernant un individu, celui-ci aura le droit d’être informé dans un délai de 72h suivant la découverte de la fuite.

Impact sur les collectivités

Une logique de responsabilisation

Des changements importants sont à prévoir au sein des collectivités, entreprises ou associations, dans la manière de collecter, stocker et traiter les données personnelles des utilisateurs.

Données personnelles et collectivités : exemples de fichiers, actions ou dispositifs concernés

  • les fichiers des associations subventionnées
  • l’administration électronique locale et télé services
  • les dispositifs de vidéosurveillance
  • les fichiers de l’état civil
  • la liste électorale
  • les fichiers sociaux
  • les fichiers des ressources humaines….

Une formalisation obligatoire

Les collectivités s’engagent à :

  • Tenir un registre des données
  • Encadrer les opérations sous traitées dans les contrats de prestations de service
  • Formaliser les politiques de confidentialité, les procédures relatives à la gestion des demandes d’exercice des droits

A l’heure actuelle, seules 2% des communes ont désigné un DPO.

Sanctions

La CNIL n’est pas dans une logique de sanction mais d’accompagnement.

Toutefois, si des irrégularités volontaires devaient être relevées, les sanctions peuvent aller jusqu’à 20 millions d’euros.
Il appartiendra aux collectivités, intercommunalités ou syndicats pour ce qui concerne le domaine relevant de l’Union des maires, de désigner un DPO obligatoirement avant le 25 mai 2018, date d’entrée en vigueur du RGPD

Le DPO (Data Protection Officer*) ?

Délégué à la protection des données : DPD

Missions du DPO

  • Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
  • contrôler le respect du règlement et du droit national en matière de protection des données
  • conseiller l’organismesur la réalisation d’une analyse d’impact relative à la protection des données et en vérifier l’exécution
  • coopérer avec l’autorité de contrôle et être le point de contact de celle-ci

Le délégué n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.

Qui peut être délégué ?

Le DPO doit  réunir les qualités et compétences suivantes :

  • Le DPO doit être apte à communiquer efficacementet à exercer ses fonctions et missions en toute indépendance.
  • Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement       (éviter d’être « juge et partie »)
  • une expertise en matière de législations et pratiques en matière de protection des données.
  • Le DPO n’est pas nécessairement un agent de la collectivité

Il peut travailler pour plusieurs collectivités locales ou EPCI dans le cadre d’une mutualisation.

Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre.

Une étude menée pour la CNIL en 2015 a en effet montré que les CIL (Correspondant Informatique et Liberté) proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).

De nombreux organismes dédiés exclusivement à cette fonction ont vu le jour offrant des prestations à des coûts très variés.

Afin de mieux accompagner les petites communes, voire les communautés de communes et les syndicats de notre territoire qui le souhaiteront, le bureau de l’Union des Maires entend étudier les différentes solutions possibles, pouvant entraîner une économie d’échelle par le biais de la mutualisation.

Notion de Conflits d’intérêts

Le DPO ne peut occuper des fonctions au sein de la collectivité le conduisant à déterminer les finalités et les moyens de traitement des données.

Pour exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêt :

Secrétaire général, DGS, DGA, Directeur financier, responsable des ressources humaines, responsable du service informatique…


Les supports de la CNIL

Le site internet de la CNIL propose de nombreux supports d’accompagnement :