Collectivités territoriales – Pourquoi il faut avancer sur votre conformité RGPD

Maxime JAILLET

04 juin 2020

En 2020, de nombreuses collectivités territoriales se révèlent en retard sur leur mise en conformité RGPD. C’est l’actualité du marché du jour. Une priorisation est donc indispensable pour revoir la gouvernance des données traitées par ces entités. Les étapes à appliquer pour leur conformité RGPD sont les mêmes que pour une entreprise privée, en sachant que la désignation d’un délégué à la protection des données leur est obligatoire.

Pourquoi les collectivités territoriales doivent-elles se mettre en conformité RGPD ?

L’importance des traitements de données mis en œuvre par les collectivités territoriales, les enjeux technologiques soulevés par la modernisation de l’administration ou le développement de la cybercriminalité sont de bonnes raisons pour les collectivités d’accélérer sur la mise en conformité RGPD de leurs traitements.

De nombreux traitements de données à caractère personnel

Les collectivités territoriales sont appelées à traiter, pour diverses finalités, beaucoup de données à caractère personnel :

d’administrés et usagers (cadastres ; état civil ; facturations des services fournis aux parents ; données relatives aux logements sociaux…) ;
des collaborateurs (gestion des accès aux locaux, dossiers du personnel, fichier des demandeurs d’emplois, dossiers de paie…).

Les organismes d’aide sociale ou la police municipale sont par ailleurs des exemples d’entités traitant des données sensibles, avec un fort enjeu de conformité RGPD.

Une phase ascendante de modernisation des communes

Depuis plusieurs années, les collectivités territoriales se modernisent. Elles lancent de nombreux projets venant complexifier et enrichir le parc informatique qu’elles gèrent.

Or chaque projet présente ses contraintes propres en matière de protection des données à caractère personnel mais aussi de sécurité informatique.

Dispositifs de vidéosurveillance ;
Contrôle biométrique des accès à certains locaux ;
Géolocalisation du parc de véhicules mis à disposition du personnel ;
Dématérialisation de nombreux actes de procédures ;
Téléservices ;
Projets innovants de type smart cities.

La cybercriminalité, menace croissante pour les responsables de traitement

La cybersécurité devient une préoccupation croissante pour la conformité RGPD des responsables de traitements de données personnelles. Les collectivités territoriales n’y échappent pas.

Les menaces explosent. Le ransomware, le phishing ou le scam, c’est très tendance...
Les cyberpirates s’attaquent désormais aux collectivités territoriales, sans toutefois délaisser les entreprises privées.

Les collectivités doivent donc s’assurer que les mesures de base, techniques et organisationnelles, sont en place et implémentées dans chaque nouveau projet.

L’open data, un enjeu phare des collectivités

Les collectivités s’emparent de plus en plus du phénomène open data. En mettant à disposition des jeux de données, elles exercent en effet leurs missions de transparence de la vie publique, d’attractivité des territoires et de soutien à l’innovation.

Bien sûr, si la base contient des données à caractère personnel, des enjeux informatique et libertés de conformité RGPD se poseront naturellement. C’est pour cela qu’en 2019, la Commission Nationale de l’Informatique et des libertés et la Commission d’Accès aux Documents Administratifs ont édité un guide de bonnes pratiques.

Une mise en conformité désormais en retard

Deux ans après l’entrée en vigueur du règlement général relatif àla protection des données (RGPD), force est de constater que de nombreuses collectivités territoriales ne sont toujours pas totalement conformes.

Devant les difficultés rencontrées par ces organismes, la CNIL a publié en 2019 un guide de bonnes pratiques.

Une actualité événementielle riche en traitements de données

L’actualité événementielle fait parfois les traitements de données de demain. Par exemple, en 2020, les collectivités territoriales ont à faire face à deux événements majeurs impliquant de traiter des données personnelles :

organiser les élections municipales ;
gérer le confinement à échelle locale, par exemple en organisant la distribution de masques à la population ou par un suivi téléphonique des populations les plus fragiles.

Comment les collectivités territoriales doivent-elles gérer leur conformité RGPD ?

Les étapes de gestion de la conformité RGPD sont les mêmes que pour n’importe quelle entreprise. Désignation d’un DPO, formalisation des processus, développement d’un socle de sécurité… font partie des étapes indispensables auxquelles les collectivités territoriales doivent s’atteler.

Désignation d’un délégué à la protection des données

Pour atteindre la mise en conformité globale des traitements, il faut des process permettant d’intégrer efficacement les exigences RGPD dans les projets.

Dans le cas des collectivités territoriales, la désignation d’un délégué à la protection des données est une obligation légale. Attention cependant à choisir une personne présentant les compétences et l’expertise requises et qui soit aussi indépendante vis-à-vis des autres directions.

Quoiqu’il en soit, le DPO pilotera la gouvernance des données en construisant un plan d’actions qui priorisera les efforts vers les projets entraînant le plus de risque, pour la protection des données, et vers les plus grosses non conformités.

Recensement des traitements et tenue d’un registre

Comme dans toute entité, le DPO doit cartographier les traitements mis en œuvre dont il documentera les caractéristiques principales (personnes concernées, type de données, destinataires, mesures de sécurité, durée de conservation…).

Ce registre permettra de piloter le niveau de conformité des traitements et d’éditer une documentation à destination de l’autorité de contrôle.

Encadrer la sous-traitance

Comme toute instance, les collectivités territoriales s’appuient sur un parc de fournisseurs et de prestataires de services qui peuvent être appelés à manipuler des données personnelles.

Il est sera donc indispensable de contractualiser avec ces acteurs et :

de préciser les rôles et responsabilités de chacun ;
de définir les obligations du sous-traitant ;
d’identifier et sécuriser les transferts de données hors UE.

Instaurer les processus internes nécessaires à une bonne gouvernance des données

Ces processus concernent notamment :

la prise en charge des réclamations portant sur l’exercice de demandes d’accès, de rectification ou d’effacement des données ou d’opposition à leur traitement… Une procédure sera pour cela formalisée afin de séquencer les étapes à respecter. Il s’agira aussi d’identifier les interlocuteurs devant être impliqués.
L’audit des traitements pour en vérifier la conformité.
La détection des failles de sécurité et la notification éventuelle de violations de données personnelles auprès de la CNIL, dans un délai de 72h. Le constat d’une telle faille doit entraîner l’activation d’une cellule de crise qui pilotera les investigations mais aussi la relation avec la CNIL, l’information des personnes concernées et la maîtrise de l’incident.

Pour fonctionner, la gouvernance devra imprégner de nombreux autres process structurant l’activité des collectivités. Par exemple la gestion des changements de fournisseurs ou la construction des politiques d’habilitations d’accès aux bases.

Manager la sécurité des traitements de données

La sécurité des traitements de données fait partie du socle de base d’une démarche de conformité au RGPD. Si la base n’est pas là, le système informatique est vulnérable et chaque nouveau projet technologique aggravera la situation.

Les collectivités territoriales doivent donc déployer une politique de sécurité informatique s’appuyant autant que possible sur une analyse des risques existants. Là encore, il faut prioriser et traiter en premier lieu les infrastructures les plus critiques.

Appliquer une démarche de privacy by design – Lancer des EIVP

Le RGPD impose une approche globale de la conformité qui s’appuie notamment sur les concepts :

1/ d’accountability :

On analyse les risques, on détermine les mesures y répondant au mieux et on documente les choix faits.
Au final, la collectivité territoriale doit être en mesure de prouver la conformité de ses traitements en cas de contrôle.

2/ De privacy by design et privacy by default.

Les spécifications des projets doivent par conséquent intégrer des exigences correspondant de manière concrète aux obligations posées par la réglementation.
Exemples : minimisation des données collectées, restrictions des accès, purge automatique, durées de conservation limitées, sélection de prestataires aptes à respecter les obligations légales…

Les collectivités territoriales sont susceptibles de mettre en place des projets sensibles, incluant par exemple des dispositifs biométriques de gestion des accès. Ces projets devront faire l’objet préalablement d’une analyse d’impact de la protection des données (DPIA – AIPD) dont les résultats enrichiront les spécifications à intégrer au projet.

Conclusion : il est urgent de se mettre à la conformité RGPD

Le retard pris dans les démarches de conformité, les enjeux fascinants posés par l’arrivée de nouveaux projets liés à la modernisation de l’administration, de nouveaux risques cyber font qu’il est urgent pour les collectivités territoriales d’avancer sur la conformité de leurs opérations.

De ce point de vue, l’année 2020 s’y prête particulièrement de par la survenance récente d’une période inopinée de confinement rendue nécessaire pour la maîtrise de l’épidémie de coronavirus.