Informatique et libertés - Les collectivités conscientes de leurs responsabilités en matière de traitement des données
"Il y a peu, la conformité à la loi Informatique et Libertés n'était pas un sujet prioritaire pour les collectivités, tant au niveau de la veille que des projets mis en oeuvre, à part quelques exceptions suite à des contrôles de la Commission nationale (Cnil). Actuellement, un nouvel intérêt pour la problématique se manifeste notamment par les nombreuses nominations de correspondants informatique et libertés [CIL] au sein des conseils régionaux, généraux et des grandes villes", explique Bruno Rasle, le délégué général de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP), alors que sort une nouvelle version du guide sécurité de la Cnil (lire ci-contre). Il apparaît que ce sujet est loin d’être un simple effet de mode et qu'une dynamique de fond se met en place : d'une part, les citoyens sont davantage sensibilisés aux menaces qui pèsent sur eux et prennent conscience de leurs droits ; de l’autre, les responsables de traitements se sentent davantage responsabilisés. Ce changement est clairement perceptible dans les collectivités locales particulièrement au sein des conseils régionaux et généraux, dont plus de la moitié disposent déjà d'un CIL ou sont entrés dans un processus de désignation. Si cela est vrai, également des grandes mairies, ce n’est pas encore le cas des collectivités de petite taille. Néanmoins, la dynamique devrait probablement les gagner puisqu'elles peuvent faire appel à des consultants et désigner des CIL externes. Cette préoccupation nouvelle est liée au rôle actif joué par la Cnil auprès des collectivités. La Commission, en plus de l'édition d'un premier guide l'an dernier, a mené en parallèle une série de contrôles sur place, auprès de collectivités de toute taille.
Développement de l'e-administration
"Les collectivités sont dans une situation particulière par rapport à nombre d’entreprises car elles manipulent beaucoup plus de traitements et disposent de davantage de données sensibles. Elles en ont pris conscience récemment, notamment à l’occasion du développement de l’e-administration", reprend le délégué. La loi oblige en effet à prendre des mesures de sécurité en adéquation avec les risques encourus : si les dispositifs ne sont pas suffisamment sécurisés, cela entraînera une perte de confiance de la part de l’administré. Autre différence par rapport au privé, la problématique des données à caractère personnel est confiée à 95% au service informatique et non à la direction générale des services ou au service juridique, ce dernier devant a minima être associé, ce qui n'est pas toujours le cas.
"Alors que la Cnil a utilisé son pouvoir de sanction contre les infractions commises dans le secteur privé, ce n’est pas le cas jusqu’à présent vis-à-vis des collectivités. Si cela devait se produire on assisterait sans doute à une forte croissance du nombre de CIL dans le secteur public. Par ailleurs, une éventuelle sanction pécuniaire aurait sans doute un impact, mais c'est surtout l’effet négatif sur l’image de la collectivité qui est le plus à redouter", poursuit Bruno Rasle.
Des moyens pour remplir la mission du CIL
"La mise en place d'un CIL est très efficace, car elle passe par un recensement systématique des traitements de données à caractère personnel et des risques. Il est nécessaire d'imprégner un projet des contraintes du respect de la vie privée dès la conception de l'application (Privacy by design). C'est justement le rôle du CIL d’aborder la question le plus en amont possible, sinon personne ne s'en occupe et le problème n'est pas traité correctement au final", prévient le délégué. L'AFCDP se montre toutefois dubitative sur l’idée de rendre le CIL obligatoire (cf. le projet de loi des sénateurs Détraigne et Escoffier) car cela risque de créer une confusion entre les objectifs poursuivis (le respect du droit) et les moyens mis en œuvre. "Si les moyens ne sont pas mis à disposition des CIL pour mener à bien leurs missions, on risque un nivellement par le bas. Nous préférons la montée en qualité qu'apporte le volontariat en donnant plus de valeur au correspondant et en renforçant les avantages que les responsables de traitement peuvent trouver à en désigner un", conclut Bruno Rasle.
Luc Derriano / EVS, avec Christine Balaï