Congrès des maires - RGPD : casse-tête de la désignation du délégué à la protection des données
Lors du Congrès des maires, les intervenants à un Point Info sur le RGPD ont cherché à minimiser l’impact du règlement pour les communes. Si l’expérience de la ville de Sceaux montre que la charge de travail est limitée, la première étape, consistant à désigner un DPD, est loin d’être la plus facile. Seulement 14% des communes l’ont franchie.
Ne pas se faire une montagne de la mise en œuvre d’un règlement général pour la protection des données (RGPD), tel était le message qu’a voulu faire passer aux élus Albine Vincent, la patronne de des délégués à la protection des données à la Cnil. "Le temps nécessaire pour se mettre en conformité est étroitement dépendant de la préexistence, ou non, d’une culture de la protection des données personnelle dans la commune. Car sur le fond, 80% des principes du RGPD sont en vigueur… depuis 40 ans, date d’adoption de la loi Informatique et Libertés. La seule différence est que le régulateur peut désormais lourdement sanctionner ceux qui ne s’y conforment pas", a-t-elle pointé.
Moins de formalité, plus de traçabilité
Le RGPD supprime même la plupart des déclarations Cnil en échange de la mise en place de processus intégrant la protection des données au quotidien. C’est ainsi que tous les organismes traitant des données personnelles, quelle que soit leur taille, ont l’obligation de désigner un délégué à la protection des données (DPD ou DPO en version anglaise) et de tenir à jour un registre des traitements. Le RGPD renforce également les droits des utilisateurs : consentement explicite, droit à l’oubli et droit à la portabilité des données pour certains services. Enfin, "le RGPD s’applique partout en Europe, pour tous les services en lignes quels qu’ils soient. C’est une grande avancée pour les citoyens européens", s’est félicité Jean-Claude Husson, maire de Saint-Arnoult-en-Yvelines. Des citoyens qui peuvent également faire valoir leurs droits plus facilement notamment via des actions groupées.
20 jours pour se mettre en conformité à Sceaux
Concrètement, la mise en œuvre du RGPD a représenté 20 jours de travail dans une ville comme Sceaux (Hauts-de-Seine, 19.000 habitants). C’est la responsable, et unique collaboratrice du service juridique, qui a été désignée DPD fin 2017, pour exercer cette nouvelle mission. "Pour créer le registre des traitements, j’ai effectué la tournée des services, tâche qui m’a demandée plus de 15 jours. Il m’a fallu en effet expliquer ce qu’était le RGPD mais aussi rassurer les agents car sa mise en place est anxiogène", a raconté Armelle Guichard. Une fois finalisé le registre, en réutilisant le modèle mis à disposition par la Cnil, la DPD a vérifié le principe de proportionnalité, les durées de conservation et les modes d’acceptation des traitements, le RGPD prévoyant davantage de mentions obligatoires. Cette remise à plat effectuée, l’impact du RGPD au quotidien s’avère léger avec une seule demande de droit d’accès en 6 mois, quelques marchés publics dont il faut surveiller les clauses RGPD et aucune étude d’impact demandée.
Un conseiller municipal nommé DPD??
Si la mise en conformité n’apparaît pas insurmontable, le tout est de trouver quelqu'un pour s’en occuper. A date, 14% des communes seulement auraient désigné leur DPD, selon la Cnil. Il faut dire que l’équation s’avère particulièrement compliquée pour les plus petites d’entre elles. "Dans ma commune, on n’a qu’une secrétaire de mairie à temps partiel, on nous dit qu’elle ne peut être désignée DPD car il y a un risque de conflit d’intérêt. Alors comment fait-on ?", a demandé un maire du Finistère. Dans certains départements, comme dans les Yvelines, les centres de gestion de la fonction publique territoriale propose une offre de DPD mutualisé, conciliant assistance juridique et informatique, mais c’est loin d’être le cas partout. Par ailleurs, la mutualisation a également ses limites, chaque commune et système d’information étant spécifique : beaucoup de communes ayant désigné leur DPD mutualisé n’ont ainsi pas encore démarré la phase de cartographie des applications. La représentante de la Cnil a déclaré avoir "conscience de ces problèmes", l’une des pistes évoquées avec l’AMF étant de désigner un conseiller municipal DPD. Et en attendant, élus et agents sont incités à se documenter en utilisant les guides en ligne de la Cnil ou en suivant un Mooc comme celui proposé par le Cnam sur la plateforme FUN.
Des logiciels pour faciliter le droit à l’oubli
Le RGPD suscite toute une offre de services, à commencer par celles de cabinets d’avocats et de SSII pour accompagner les collectivités sur les phases administratives (DPD externe, tenue du registre, études des contrats des prestataires…) et techniques (audit de sécurité, sécurisation du système d’information). La Cnil est intervenue à de nombreuses reprises pour inviter les collectivités à se méfier des arnaques et du "prêt à porter", peu compatible avec les spécificités de chaque commune. On signalera aussi l’émergence de solutions logicielles, proposées par des éditeurs comme Logitud, capables d’extraire du système d’information toutes les données personnelles relatives à un usager et lui permettant d’exercer pleinement son droit à l’oubli.