RGPD et collectivité territoriale : obligations et mise en place

Régions, départements, communes…  Les collectivités territoriales sont des acteurs publics majeurs. Elles n’en restent pas moins soumises au RGPD.

En effet, dans le cadre de leurs activités, les collectivités territoriales disposent d’un accès particulièrement important aux données personnelles, qu’il s’agisse des données relatives au personnel mais aussi et surtout, celles des usagers et plus largement, des administrés.

Les nouveaux téléservices proposés aux citoyens par les collectivités territoriales doivent donc tenir compte des exigences de ce règlement en termes de protection et d’accès aux données personnelles.

Comme tout organismes ou entreprises, les collectivités territoriales sont soumises à plusieurs obligations au titre du RGPD, et notamment celle d’élaboration toute une documentation.

1 - RGPD et collectivités territoriales : Quels sont les documents à élaborer ?

A l’instar de toutes les structures soumises au RGPD, les collectivités territoriales se doivent d’élaborer certains documents afin de documenter leur mise en conformité au titre du principe d’accountability ou de responsabilisation.

Le registre des traitements

💡Pour rappel, le registre de traitements, prévu à l’article 30 du RGPD, permet de recenser et d’avoir une vue d’ensemble de toutes les données personnelles traitées au sein d’une structure.

Le registre des traitements répond donc à la fois à l’obligation prévue par le RGPD, mais s’inscrit surtout dans une logique d’ensemble que l’on retrouve en fil rouge dans le RGPD, celle de documenter sa mise en conformité.

Par définition, le registre est à géométrie variable, selon la taille de la collectivité et la nature de ses activités. Celui des petites communes pourra contenir moins d’une dizaine de traitements (gestion de l’état civil, de la liste électorale, du cadastre, des prêts de la bibliothèque, etc.), là ou les registres de traitement d’établissements publics de coopération intercommunale (EPCI), comme la Métropole Nice Côte d’Azur, seront beaucoup plus denses car ils sont amenés à traiter beaucoup plus de données.

Très concrètement, voici ce qu’un registre de traitement doit contenir :

  • Les différents acteurs intervenant dans le traitement des données : représentant, sous-traitants, co-responsables, etc ;
  • Les différentes catégories de données traitées ;
  • A quoi servent les données collectées, qui y ont accès, et à qui sont-elles communiquées ;
  • Combien de temps ces données sont-elles conservées ;
  • Comment ces données sont-elles sécurisées.

⚠️ Attention, en ce qui concerne la base légale, c'est-à-dire le fondement juridique qui autorise la collectivité à traiter des données personnelles, il existe une particularité pour les acteurs publics et notamment les collectivités territoriales.

💡Pour rappel, le RGPD prévoit 6 bases légales : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public et l’intérêt légitime.

Les collectivités territoriales sont le plus souvent concernées par les bases légales suivantes : intérêt public et obligation légale.  Dans la majorité des cas, les collectivités n’auront donc pas à recueillir le consentement. Toutefois, certains traitements des collectivités devront tout de même reposer sur le consentement des personnes.

Ce registre doit être rédigé puis alimenté et mis à jour de manière dynamique et continu, tout en se posant les questions suivantes :

  • Les données sont-elles suffisamment protégées ?
  • Ai-je réellement besoin de ces données dans le cadre de mes activités ?
  • Est-il pertinent de conserver aussi longtemps ces données ?
  • Etc.

Analyse d’impact (PIA)

L’article 35 ainsi que le considérant 91 du RGPD posent le cadre réglementaire concernant la mise en œuvre d’une analyse d’impact (AIPD) ou encore appelé PIA pour Privacy Impact Assessment. A l’instar du registre des traitements, l’AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Par exemple, lorsqu’une collectivité territoriale met en place un système de vidéosurveillance, la CNIL recommande de réaliser une AIPD sur ce système. La CNIL recommande dès lors, pour ce genre de service, d’analyser les risques, de les traiter, puis de faire homologuer le téléservice par le biais d’un acte réglementaire à l’instar de la décision administrative qui a créé le téléservice.

2 - RGPD et collectivités territoriales : quelles sont les obligations ?

Le délégué à la protection des données (DPO), acteur majeur

A la différence des entreprises de 250 collaborateurs, les collectivités territoriales sont tenus de nommer un DPO et de lui fournir les moyens nécessaires à l’exercice de ses missions, à savoir :• informer et conseiller le responsable et les agents de traitement des données personnelles, mais également leurs sous-traitants ;• contrôler le respect du RGPD au sein de la structure en réalisant des audits ;• diffuser une culture relative à l’informatique et aux libertés dans les services concernés ;• conseiller la collectivité dans le déploiement d’une analyse d’impact concernant la protection des données ;• coopérer avec la CNIL.

Le DPO n’est pas personnellement responsable du respect de la réglementation. Ainsi, en cas de manquement aux obligations en cause, il ne pourra être tenu juridiquement responsable en lieu et place de la collectivité et de son représentant légal.

Le DPO joue par ailleurs un rôle de « facilitateur » dans les relations entre la collectivité et la CNIL : il doit coopérer avec elle et permettre son accès aux documents et informations sollicités dans l’exécution de ses missions (contrôles sur place/sur pièces, instruction de plaintes, notifications de violations de données, etc.).

Par exemple, la CNIL a publié une mise en demeure à l’égard de 22 communes n’ayant pas encore désigné de DPO.

Spécificité des collectivités territoriales : une attention particulière portée aux sous-traitants

Une des particularités notable pour les collectivités territoriales est de devoir trouver l’équilibre entre les obligations imposées par le RGPD et celles liées aux marchés publics. Les obligations découlant du RGPD est un élément à prendre en compte pour l’attribution d’un marché public.

En effet, il s’agira à cet égard, de :

  • Qualifier avec précision les responsabilités de chacun des acteurs, dont les sous-traitants, dans l’ensemble contractuel
  • Ceci étant fait, la feuille de route de chacun des acteurs sera adaptée et permettra de garantir au mieux le respect des principes posés par le RGPD, puisque seront fixés :

→ l’existence d’un objectif (finalité) explicite et légitime pour chaque utilisation de données ;
→ une collecte de données pertinentes et non excessives ;
→ la sécurité des données ;
→ une durée de conservation limitée des données ;
→ la bonne prise en compte des droits des personnes.

L’information des administrés

Au même titre qu’une entreprise, les collectivités territoriales sont dans l’obligation d’information les personnes concernées des traitements qui les concernent. Les administrés doivent être en mesure de savoir :

Sur la forme, cela signifie que la collectivité doit mettre à disposition ces informations par exemple sur son site internet en ce qui concerne la manière dont elle traite les données personnelles des administrés et la liste de ses sous-traitants.

En ce qui concerne l’exercice de droit, la collectivité peut tout à faire mettre à disposition un portail sur lequel les administrés peuvent formuler leurs demandes d’exercice de droit.

Notons que les droits à l’effacement et la rectification de certaines données peuvent être limités. En effet, les collectivités territoriales, en charge de plusieurs services publics en vertu de la loi, ont l’obligation de conserver certaines données.

Par exemple, une commune en charge de l’état civil ne peut naturellement pas accepté la demande d’une personne qui souhaiterait sur simple demande modifier ou supprimer son état civil.

Enfin, le cas échéant, si la collectivité est victime d’un piratage ou d’un incident technique conduisant à une fuite des données, leur destruction ou altération, elle a l’obligation d’informer les personnes concernées ainsi que la CNIL.

3 - RGPD et collectivités territoriales : risques et sanctions encourus

L’enjeu est de taille, notamment en ce qui concerne la confiance des citoyens dans les services offerts par les collectivités territoriales, mais également en terme de sanctions. En effet, outre des avertissements publics, la CNIL est autorisée par le RGPD à prononcer à l’encontre des collectivités territoriales ou toute entreprise ne respectant pas son cadre, des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Un logiciel RGPD pensé pour les collectivités territoriales

Demander une démo gratuite

Gagnez du temps avec notre logiciel RGPD

Ne passez plus des heures à créer et mettre à jour votre registre de données. Gagnez du temps avec une checkliste RGPD dont les actions à mener sont déjà automatisées !

Inventaire automatisé des données personnelles présentes dans toutes vos applications (crm, rh, produit, finances ...)

Gestion des sous-traitants automatisée : nous maintenons à jour pour vous votre documentation (DPA des sous-traitants ...).

Suppression et modification automatisée des données personnelles d'un utilisateur à sa demande.

Synchronisation automatique des tâches de votre feuille de route Privacy avec vos outils de gestion de projet (Jira ...).

Demander une démo gratuite

Construisez une relation de confiance avec vos clients.

Notre vision : faire de la conformité aux règles de protection des données personnelles un avantage compétitif majeur pour les entreprises en construisant une relation de confiance avec les clients.

Vos clients disposent d'une interface dédiée pour exercer leurs droits en matière de protection des données. 100% no code.

Affichez vos ambitions en matière de protection des données personnelles

Demander une démo gratuite

Un outil RGPD pour sensibiliser vos collaborateurs

Initier les collaborateurs au RGPD à leur arrivée dans l'organisation, c'est bien. 
Mais, êtes-vous sûr de l'impact sur leur comportement au quotidien ? 
Disposez-vous d'éléments quantitatifs pour évaluer la maturité de vos équipes ?
Leto apporte une solution simple, ultra-personnalisée et sur auto-pilote pour faire monter en maturité vos équipes sur la protection des données personnelles.

Une banque de 500 questions de mise en situation

Personnalisation et création de questions sur-mesure relative à votre activité

Pilotage automatisé de la sensibilisation avec une approche micro-learning

Tableau de bord des résultats

Comparatif avec les maturités des organisations du même secteur

Demander une démo gratuite

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre