Archives

RGPD : les conseils de la Cnil aux petites communes

Annoncé depuis plusieurs mois, le guide de mise en œuvre du RGPD dans les collectivités territoriales vient d'être publié par la Cnil. Des conseils qui ciblent plus particulièrement les petites communes.

C'était une demande forte de l'AMF. Si l'association n'a pas réussi à faire exempter les petites collectivités des obligations en matière de règlement européen sur les données personnelles (RGPD), elle demandait depuis plusieurs mois un accompagnement adapté pour ces organisations. La Cnil avait tendance à les assimiler à des TPE alors que les associations d'élus faisaient valoir leurs spécificités. Non seulement elles gèrent des données potentiellement très sensibles – comme le fichier électoral ou le cadastre – mais elles ont surtout des moyens humains limités. Il s'agit souvent d'un agent à temps partiel peu formé à l'informatique et encore moins à la sécurité des systèmes d'information. 

Suppression des formalités

Rédigé en concertation avec les représentants des collectivités, le guide, commence par revenir aux fondamentaux d'une réglementation qui date, pour ses principes essentiels, de 1978 mais qui répond aussi aux attentes des citoyens en matière de protection de la vie privée à l'heure numérique. Sont rappelés ce qui définissent une donnée personnelle (qui n'est pas synonyme de nominative) et un traitement de données (pas nécessairement informatique). Avec le RGPD cependant les obligations changent. Les formulaires déclaratifs à la Cnil sont remplacés par une obligation globale de conformité qui passe par la désignation d'un délégué à la protection des données (DPO), la création d'un registre des traitements, la sécurisation du système d'information et la mise en pratique des droits d'accès des usagers (et des agents) à leurs données. 

DPO mutualisé ou externalisé

Le guide revient ensuite sur les missions du DPO dont la désignation est obligatoire. La Cnil rappelle "qu'aucun agrément n’est prévu, aucune exigence de diplôme ou condition statutaire n’est fixée. Il peut donc s’agir d’une personne physique ou morale issue du secteur juridique ou technique, en interne à la collectivité ou en externe (avocat, consultant, etc.)". Il doit cependant ne pas avoir de conflits d'intérêt en étant par exemple décisionnaire sur les traitements à mettre en œuvre ce qui élimine de fait les responsables informatiques ou les élus au numérique. Le délégué peut être interne ou externe, comme dans la majorité des petites communes. Ce peut être un agent dont le temps est partagé entre plusieurs collectivités ou un service mutualisé à l'échelle d'un groupement ou d'un syndicat mixte. En cas de mutualisation une convention doit être signée, document qui devra notamment définir les moyens alloués aux DPO pour exercer sa mission. Enfin, les collectivités peuvent recourir à la prestation d'une société privée choisi après appel d'offre. La Cnil alerte cependant les élus sur les prestataires peu scrupuleux proposant des prestations de conformité soi-disant labellisées Cnil. Elle invite les collectivités à examiner soigneusement leurs références et à contacter la Commission en cas de doute.

Une conformité en quatre étapes

Le guide propose enfin une méthodologie en quatre étapes :

  1. recensement des traitements,
  2. tri des données collectées,
  3. mise en œuvre des droits des administrés
  4. et sécurisation.

L'étape du tri est sans doute la plus délicate car il s'agit de déterminer pour chaque traitement la pertinence des données demandées aux usagers, le nombre d'agents pouvant y avoir accès et de définir les durées de conservation. À titre d'exemple, la Cnil recommande de mentionner un régime alimentaire plutôt qu'une religion pour la cantine scolaire. En matière de consentement, elle propose un modèle de formulaire pour autoriser la publication dans le journal municipal d'une naissance ou d'un mariage. La partie sécurité est pour sa part celle susceptible d'être la plus coûteuse. La commission recommande en effet de sécuriser l'accès aux locaux et matériels informatiques, de sécuriser les postes de travail et de créer un système d'habilitation pour qu'agents et élus n'aient accès qu'aux données qui les concernent. Il s'agit également de rendre étanches les usages personnels et professionnels des smartphones… Ce ne seront sans doute là pas les principes les plus faciles à mettre en œuvre dans ces structures caractérisées par des fonctions multitâches.

L'essentiel en six recommandations

  1. Ne collecter que les données strictement nécessaires à l'objectif du traitement
  2. Ne collecter aucune donnée personnelle à l'insu des usagers et les informer sur l'exercice de leurs droits
  3. Prévoir le mode de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf pour les données répondant à une obligation légale
  4. Fixer des durées de conservation limitées à l'usage effectif des données
  5. Sécuriser les locaux et les postes de travail
  6. Mettre à jour le registre et les pratiques, former les agents