Informations relatives au RGPD pour les collectivités locales

LE RGPD s’applique depuis le 25 mai 2018

Le RGPD (Règlement général sur la protection des données) de 2016 est entré en vigueur le 25 mai 2018.

Le RGPD remplace la directive sur la protection des données personnelles datant de 1995.

Le RGPD traite de la protection et de l’utilisation des données personnelles. Il concerne tous les citoyens de l’union européenne.

Alors que jusqu’en 2018, les organismes utilisant des données personnelles devaient établir des déclarations préalables auprès de la CNIL, dorénavant ceux-ci sont rendus plus responsables et soumis à des contrôles a posteriori.

En cas de non respect des obligations du RGPD, les organismes sont soumis à des amendes pouvant être très importantes.

Les collectivités territoriales (mairies, départements, régions) ainsi que leurs différents établissements publics doivent comme tout organisme respecter le RGPD,.

Les collectivités territoriales utilisent de nombreuses données personnelles

Elles sont d’autant plus concernées par le RGPD qu’elles manipulent de nombreuses données à caractère personnel.

Parmi les données personnelles gérées par les collectivités locales, on peut citer, par exemple.

Données personnelles gérées par les communes

inscriptions sur les listes électorales, cantines scolaires, bénéficiaires des centres communaux d’action sociale, inscription aux centre de loisirs

Données personnelles gérées par les départements

Données relatives à l’aide sociale, aux collèges

En cas risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement doit également établir une analyse d’impact avant de mettre en œuvre le traitement.

Données personnelles gérées par les régions

données relatives aux lycées, au transport, au développement économique, à la formation professionnelle, à l’emploi,

Les communes, départements et régions doivent respecter de nombreuses obligations

Les collectivités doivent nommer un responsable de traitement des données personnelles.

Un registre de traitement doit contenir les catégories de données traitées et la durée de conservation des données.

Ce registre doit préciser la finalité du traitement. Les mesures de sécurité doivent être mentionnées.

Pour certains traitements (cas risque élevé pour les droits et libertés des personnes physiques) le responsable de traitement doit obligatoirement établir une analyse d’impact au préalable.

Les traitements des données doivent être cartographiées

Après que les agents de la collectivité ont été sensibilisés à la protection des données personnelles, il convient de cartographier celles-ci.

Il convient de recenser toutes les données gérées. Les services doivent être en mesure, théoriquement de fournir ces données. Or l’expérience prouve, qu’il faut « creuse » le sujet avec les agents qui découvrent que les données qu’ils gèrent sont bien plus nombreuses et importantes qu’ils ne le pensent.

C’est au DPO qu’incombe ce rôle de cartographe des données.

Le DPD doit recenser les différents traitements, identifier le responsable du traitement, rechercher ce que contiennent les données. Les données personnelles recueillies sont elles indispensables à la finalité du service.

L’application du RGPD nécessite une grande expertise

Pour respecter le RGPD les collectivités doivent se doter d’un délégué à la protection des données (DPD), ou en anglais à un « Data Protection Officer » (DPO).

Ce DPD doit être interne à la collectivité ou externe. Il peut être également mutualisé entre plusieurs collectivités.