RGPD et collectivité territoriale : obligations et mise en place

24/11/2023

Régions, départements, communes…  Les collectivités territoriales sont des acteurs publics majeurs. Elles n’en restent pas moins soumises au RGPD.

En effet, dans le cadre de leurs activités, les collectivités territoriales disposent d’un accès particulièrement important aux données personnelles, qu’il s’agisse des données relatives au personnel mais aussi et surtout, celles des usagers et plus largement, des administrés.

Les nouveaux téléservices proposés aux citoyens par les collectivités territoriales doivent donc tenir compte des exigences de ce règlement en termes de protection et d’accès aux données personnelles.

Comme tout organismes ou entreprises, les collectivités territoriales sont soumises à plusieurs obligations au titre du RGPD, et notamment celle d’élaboration toute une documentation.

1 - RGPD et collectivités territoriales : Quels sont les documents à élaborer ?

A l’instar de toutes les structures soumises au RGPD, les collectivités territoriales se doivent d’élaborer certains documents afin de documenter leur mise en conformité au titre du principe d’accountability.

Le registre des traitements

💡Pour rappel, le registre de traitements, prévu à l’article 30 du RGPD, permet de recenser et d’avoir une vue d’ensemble de toutes les données personnelles traitées au sein d’une structure.

Le registre des traitements répond donc à la fois à l’obligation prévue par le RGPD, mais s’inscrit surtout dans une logique d’ensemble que l’on retrouve en fil rouge dans le RGPD, celle de documenter sa mise en conformité.

Par définition, le registre est à géométrie variable, selon la taille de la collectivité et la nature de ses activités. Celui des petites communes pourra contenir moins d’une dizaine de traitements (gestion de l’état civil, de la liste électorale, du cadastre, des prêts de la bibliothèque, etc.), là ou les registres de traitement d’établissements publics de coopération intercommunale (EPCI), comme la Métropole Nice Côte d’Azur, seront beaucoup plus denses car ils sont amenés à traiter beaucoup plus de données.

Très concrètement, voici ce qu’un registre de traitement doit contenir :

  • Les différents acteurs intervenant dans le traitement des données : responsable de traitement, sous-traitants, co-responsables, etc ;
  • Les différentes catégories de données traitées ;
  • A quoi servent les données collectées, qui y ont accès, et à qui sont-elles communiquées ;
  • Combien de temps ces données sont-elles conservées ;
  • Comment ces données sont-elles sécurisées.

⚠️ Attention, en ce qui concerne la base légale, c'est-à-dire le fondement juridique qui autorise la collectivité à traiter des données personnelles, il existe une particularité pour les acteurs publics et notamment les collectivités territoriales.

💡Pour rappel, le RGPD prévoit 6 bases légales : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public et l’intérêt légitime.

Les collectivités territoriales sont le plus souvent concernées par les bases légales suivantes : intérêt public et obligation légale.  Dans la majorité des cas, les collectivités n’auront donc pas à recueillir le consentement. Toutefois, certains traitements des collectivités devront tout de même reposer sur le consentement des personnes.

Ce registre doit être rédigé puis alimenté et mis à jour de manière dynamique et continu, tout en se posant les questions suivantes :

  • Les données sont-elles suffisamment protégées ?
  • Ai-je réellement besoin de ces données dans le cadre de mes activités ?
  • Est-il pertinent de conserver aussi longtemps ces données ?
  • Etc.

Analyse d’impact (PIA)

L’article 35 ainsi que le considérant 91 du RGPD posent le cadre réglementaire concernant la mise en œuvre d’une analyse d’impact (AIPD) ou encore appelé PIA pour Privacy Impact Assessment. A l’instar du registre des traitements, l’AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Par exemple, lorsqu’une collectivité territoriale met en place un système de vidéosurveillance, la CNIL recommande de réaliser une AIPD sur ce système. La CNIL recommande dès lors, pour ce genre de service, d’analyser les risques, de les traiter, puis de faire homologuer le téléservice par le biais d’un acte réglementaire à l’instar de la décision administrative qui a créé le téléservice.

2 - RGPD et collectivités territoriales : quelles sont les obligations ?

Le délégué à la protection des données (DPO), acteur majeur

A la différence des entreprises de 250 collaborateurs, les collectivités territoriales sont tenus de nommer un DPO et de lui fournir les moyens nécessaires à l’exercice de ses missions, à savoir :• informer et conseiller le responsable et les agents de traitement des données personnelles, mais également leurs sous-traitants ;• contrôler le respect du RGPD au sein de la structure en réalisant des audits ;• diffuser une culture relative à l’informatique et aux libertés dans les services concernés ;• conseiller la collectivité dans le déploiement d’une analyse d’impact concernant la protection des données ;• coopérer avec la CNIL.

Le DPO n’est pas personnellement responsable du respect de la réglementation. Ainsi, en cas de manquement aux obligations en cause, il ne pourra être tenu juridiquement responsable en lieu et place de la collectivité et de son représentant légal.

Le DPO joue par ailleurs un rôle de « facilitateur » dans les relations entre la collectivité et la CNIL : il doit coopérer avec elle et permettre son accès aux documents et informations sollicités dans l’exécution de ses missions (contrôles sur place/sur pièces, instruction de plaintes, notifications de violations de données, etc.).

Par exemple, la CNIL a publié une mise en demeure à l’égard de 22 communes n’ayant pas encore désigné de DPO.

Spécificité des collectivités territoriales : une attention particulière portée aux sous-traitants

Une des particularités notable pour les collectivités territoriales est de devoir trouver l’équilibre entre les obligations imposées par le RGPD et celles liées aux marchés publics. Les obligations découlant du RGPD est un élément à prendre en compte pour l’attribution d’un marché public.

En effet, il s’agira à cet égard, de :

  • Qualifier avec précision les responsabilités de chacun des acteurs, dont les sous-traitants, dans l’ensemble contractuel
  • Ceci étant fait, la feuille de route de chacun des acteurs sera adaptée et permettra de garantir au mieux le respect des principes posés par le RGPD, puisque seront fixés :

→ l’existence d’un objectif (finalité) explicite et légitime pour chaque utilisation de données ;
→ une collecte de données pertinentes et non excessives ;
→ la sécurité des données ;
→ une durée de conservation limitée des données ;
→ la bonne prise en compte des droits des personnes.

L’information des administrés

Au même titre qu’une entreprise, les collectivités territoriales sont dans l’obligation d’information les personnes concernées des traitements qui les concernent. Les administrés doivent être en mesure de savoir :

Sur la forme, cela signifie que la collectivité doit mettre à disposition ces informations par exemple sur son site internet en ce qui concerne la manière dont elle traite les données personnelles des administrés et la liste de ses sous-traitants.

En ce qui concerne l’exercice de droit, la collectivité peut tout à faire mettre à disposition un portail sur lequel les administrés peuvent formuler leurs demandes d’exercice de droit.

Notons que les droits à l’effacement et la rectification de certaines données peuvent être limités. En effet, les collectivités territoriales, en charge de plusieurs services publics en vertu de la loi, ont l’obligation de conserver certaines données.

Par exemple, une commune en charge de l’état civil ne peut naturellement pas accepté la demande d’une personne qui souhaiterait sur simple demande modifier ou supprimer son état civil.

Enfin, le cas échéant, si la collectivité est victime d’un piratage ou d’un incident technique conduisant à une fuite des données, leur destruction ou altération, elle a l’obligation d’informer les personnes concernées ainsi que la CNIL.

3 - RGPD et collectivités territoriales : risques et sanctions encourus

L’enjeu est de taille, notamment en ce qui concerne la confiance des citoyens dans les services offerts par les collectivités territoriales, mais également en terme de sanctions. En effet, outre des avertissements publics, la CNIL est autorisée par le RGPD à prononcer à l’encontre des collectivités territoriales ou toute entreprise ne respectant pas son cadre, des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre