Chaque jour, voir chaque minute, les personnes publiques, collectivités territoriales, collectent des données que ce soit pour répondre aux besoins des populations, assurer leur protection, ou améliorer les services publics.
Ces données indispensables pour la réalisation des projets soutenus par les collectivités et pour atteindre les objectifs politiques, touchent en totalité ou pour partie à la situation personnelle des citoyens.
Jusqu’à aujourd’hui ces questions étaient régies par les dispositions de la loi n° 72-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi a déjà été modifiée de nombreuses fois, notamment par la loi du 6 août 2004 de transposition de la Directive Communautaire n° 95/46/CE du 24 octobre 1995 dont l’objet était notamment d’élargir le domaine des données qualifiées de personnelles (art2), de simplifier le régime juridique et d’alourdir les sanctions.
Règlement et conséquences
Récemment, la loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique est venue compléter cet arsenal juridique pour une meilleure maîtrise des données personnelles par les individus, une augmentation des pouvoirs de la CNIL, mais surtout anticiper l’adoption du nouveau Règlement Européen sur la protection des données n° 2016/679 du Parlement et du Conseil du 27 avril 2016, relatif à la protection des données des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE préalablement citée.
Ce règlement aura en effet d’importantes incidences sur la loi informatique et libertés et sera applicable pleinement dès le 25 mai 2018.
Quelles seront donc les incidences pour les collectivités territoriales dans le cadre de la gestion des données qu’elles auront entre leurs mains ?
Bien plus que des apports techniques, c’est un nouveau mode de raisonnement que ce règlement inculquera à la protection des données dans l’Union Européenne, et surtout en France. Cette réglementation engage un changement en passant d’une logique de contrôle, à une responsabilisation des acteurs privés et/ou publics (accountability dans le règlement). Avec ces dispositions nous entrons désormais dans l’ère de la gouvernance de la donnée personnelle à laquelle les collectivités territoriales devront obligatoirement s’astreindre.
Une simplification du droit des données personnelles
Le premier objet est d’uniformiser le droit de la protection des données sur le territoire de l’Union Européenne. A compter de mai 2018, l’ensemble des territoires de l’Union Européenne devront respecter en intégralité les dispositions contenues dans ce texte. Le principal effet sera bien entendu la suppression des divergences d’interprétation entre États. Enfin, les autorités de contrôle devront engager une coopération renforcée. En cas de question transnationale, il est même prévu que les décisions seront prises « conjointement » entre lesdites autorités.
Le second projet de ce règlement est de renforcer et faciliter l’exercice des droits des personnes quant aux données personnelles qu’elles ont pu transmettre.
À ce titre, l’article 4 du règlement complète de nombreuses définitions de notions clefs de la gestion des données telles que : « données à caractère personnel, traitement, limitation du traitement, profilage, pseudonymisation, fichier, responsable du traitement, sous-traitant, destinataire, tiers, consentement, violation de données à caractère personnel, données génétiques/biométriques/concernant la santé, représentant, règles d’entreprise contraignantes, autorité de contrôle/concerné, objection pertinente et motivée… »
Obligation des collectivités
Les collectivités territoriales devront mettre à disposition une information claire, intelligible et aisément accessible aux personnes concernées par le traitement des données.
Parallèlement apparaissent de nouveaux droits pour les dépositaires, tels que :
– La portabilité des données : permettant de récupérer ses données sous une forme aisément réutilisable. (à charge donc pour le collecteur de la donnée)
– La possibilité de demander la suppression des données qui ont été données lorsque la personne était mineure dès l’obtention de la majorité.
– Introduction du principe des actions collectives et d’un droit à réparation des dommages matériels ou moraux relatif à l’utilisation de la donnée ;
– Droit à l’effacement des données ;
– Encadrement du profilage.
L’accroissement du rôle des acteurs de la data
Désormais la logique veut que le collecteur/gestionnaire de la donnée en soit responsable. Dans ce cadre, l’article 24 du règlement intègre le principe « d’accountability » en précisant :
« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que de risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés de personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »
Au surplus, la personne publique reste responsable d’un examen périodique, même en cas de sous-traitance.
Cela se traduit principalement par la protection de la donnée dès la conception et par défaut (privacy by design), avec une « minimisation » de la quantité de données traitées (Privacy by default). Mais surtout, la suppression des obligations déclaratives lorsque le traitement ne constitue pas un risque pour la vie privée des personnes.
De précieux garde-fous
Cette confiance accordée aux responsables de la donnée ne pouvait l’être sans garde-fous. Dans ce contexte, les autorités de protection nationale deviendront l’unique interlocuteur des acteurs privés ou publics. Ces autorités verront leurs prérogatives accrues en matière d’investigations et de sanctions pour répondre à ce changement de paradigme. Elles pourront désormais, réaliser des enquêtes, se faire communiquer tout document ou information, avoir accès à toutes les données à caractère personnel et à toutes informations utiles, accéder aux locaux de la personne responsable du traitement de la donnée (Personne publique, société, sous-traitant…), se voir notifier toute faille de sécurité dans les meilleurs délais, et enfin procéder à l’examen des certifications nécessaires.
Bien entendu, outre ces nouveaux outils, ces organismes pourront désormais déposer des avertissements, mises en demeure et prendre des sanctions comme la limitation du traitement des données, la suspension des flux de données, ainsi que des amendes administratives de 10 à 20 millions d’euros, ou de 2 à 4 % du Chiffre d’Affaires d’une entreprise.
Il est urgent d’anticiper les changements
Les principaux changements à intégrer rapidement pour les collectivités territoriales doivent l’être avant mai 2018.
Cette nouvelle logique, tout autant que ces nouveaux dispositifs impliqueront une obligation de mise en conformité « permanente et dynamique » des acteurs publics.
Le changement de paradigme nécessite une préparation. Tout d’abord, il conviendra de mettre en place à bref délai les outils de conformité prodigués par le Règlement Communautaire :
– mise en place et tenue d’un registre de traitement
– notification des failles de sécurité aux autorités et personnes concernées
– la certification de traitements,
– l’adhésion à des codes de conduites ;
– la mise en place d’un délégué à la protection des données (Data Protection Officer) ;
– la mise en place d’études d’impact sur la vie privée
La marche à suivre
Dès lors pour répondre à ces nouvelles obligations, se mettre en conformité, et y répondre rapidement, la CNIL propose de suivre la méthodologie suivante :
– Désigner un pilote ;
– Cartographier le traitement des données personnelles ;
– Préciser les actions à mener ;
– Gérer les risques en effectuant notamment une analyse d’impact ;
– Organiser les processus internes ;
– Documenter la mise en conformité et le processus de traitement des données.
La mutualisation encore et toujours…
Comme bien souvent, le risque pénal est sous-jacent et discrètement évoqué mais bel et bien présent pour les décideurs publics. Les dispositions des L.2123-34, L.3123-28, L.4135-28 du CGCT reprenant elles-mêmes celles de l’article 121-3 du Code Pénal rappellent que les élus, s’ils violent manifestement une obligation de prudence, ou commettent une faute caractérisée contribuant à la réalisation d’un dommage, ou dont l’absence n’a pas permis d’éviter ledit dommage, peuvent être sanctionnés pénalement.
Il convient de rappeler également que les dispositions des articles 226-16 du Code Pénal prévoient les sanctions applicables aux atteintes des droits de la personne résultant des fichiers ou des traitements informatiques.
Or, selon la CNIL aujourd’hui 2/3 des régions, 50 % des départements, 2/3 des métropoles, 1/3 des communautés urbaines, 1/10 des communautés d’agglomération ont engagé les démarches nécessaires pour respecter ces obligations dans le cadre de la protection des données. Seulement 2 % des communes s’y sont astreintes. Or, cette mise en conformité à un coût non négligeable, bien qu’obligatoire et non compensé, pour les collectivités territoriales. La mutualisation apparaît encore une fois comme une solution permettant, de mettre en place les outils nécessaires avec du personnel compétent tout en limitant le coût.
Deux possibilités semblent être intéressantes, à savoir la création d’une Structure de Mutualisation Informatique, ou l’intégration de ces questions dans le cadre des missions de l’EPCI auquel la commune appartient.