RGPD et Loi Informatique et Libertés modifiée : quels changements pour les collectivités ?

L’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD) le 25 mai dernier a fait grand bruit : difficile ne pas en avoir entendu parler. Dans les faits, bien que les acteurs aient eu deux ans pour s’y conformer, la plupart n’ont pas eu le temps ni les moyens nécessaires pour y parvenir dans les délais, en particulier les petites entreprises et les collectivités. Car si le RGPD a d’abord vocation à encadrer les pratiques des géants du numérique, les petites structures, tant publiques que privées, n’en demeurent pas moins concernées.

Le RGPD bouleverse totalement la logique qui le précédait, tout en opérant un renforcement des exigences préexistantes en matière de droits des personnes. En effet, il introduit un mécanisme de responsabilisation des professionnels, où transparence, sécurité et consentement sont les maîtres-mots. Il ne suffit donc plus de déclarer ses données, comme c’était l’usage (déclarations à la CNIL) : dorénavant, les acteurs concernés doivent prendre toutes les mesures garantissant le respect de la réglementation et être à même de documenter cette conformité.

En conséquence, la Loi Informatique et Libertés a été fraîchement remaniée et ses dispositions entreront bientôt en vigueur. Elle adapte la législation française aux nouveautés apportées par le RGPD, tout en proposant quelques aménagements spécifiques aux organismes publics, notamment à ceux qui manquent de moyens techniques.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est une information permettant d’identifier une personne physique de manière directe ou indirecte, c’est-à-dire par recoupement d’informations. Leur confidentialité, leur structure ou encore leur format ne sont d’aucune importance. Les données conservées au format papier sont autant visées que celles qui sont informatisées.

Ainsi, de très nombreux types de données sont concernés : nom, prénom, photographie, adresse postale ou électronique, identifiants de connexion, adresse IP, enregistrement vocal, empreinte, numéro de sécurité sociale, groupe sanguin, etc.

Des coordonnées professionnelles, lorsqu’elles sont rattachées à une personne physique, constituent donc des données personnelles.

Certaines de ces données revêtent un caractère plus sensible, comme celles relatives à l’origine, la santé, l’opinion religieuse ou politique, la sexualité ou l’appartenance syndicale, entre autres. Elles répondent à des exigences plus strictes que les données non sensibles, notamment en matière de sécurité.

Un renforcement des exigences préexistantes

Les obligations d’information de la personne, le recueil du consentement ou encore la durée de conservation des données existaient depuis déjà plusieurs années. Le RGPD les renforce considérablement, toujours dans une logique de responsabilisation des professionnels. Cela implique, entre autres, d’ajouter de nouvelles mentions ou de les compléter, en particulier sur les sites web, formulaires, et communications numériques et papier. Les droits informatique et libertés des personnes doivent impérativement être mentionnés : droit d’accès, d’opposition, de vérification, de modification, de suppression, ou encore droit à la portabilité des données.

Les sites utilisent la plupart du temps des traceurs, dits « cookies ». Les mentions légales du site ou une page dédiée doit faire mention du type de cookies déposés, de leur utilisation, des données récoltées (qu’elles soient à caractère personnel ou non) et de leur durée de conservation. Le « bandeau cookies » doit également permettre à la personne de refuser les cookies, auquel cas aucune donnée ne pourra être lue ou déposée sur son terminal (navigateur, smartphone, etc.). Son consentement peut aussi être retiré à tout moment.

Sur les communications, tant numériques que papier, demeure toujours la possibilité pour les personnes de se désabonner.

Qui est le responsable de traitement ?

Le responsable de traitement est la (ou les) personne physique ou morale qui détermine les finalités et modalités de mise en œuvre du traitement. Il lui appartient de mettre en place toutes les mesures nécessaires à la mise en conformité des traitements avec RGPD, y compris en matière de sécurité des données. Sa responsabilité peut donc être engagée en cas de manquement à ces obligations.

Les grands principes : l’information et le consentement des personnes

L’information des personnes doit être claire et univoque quant à l’utilisation qui est faite de leurs données, et ce en amont de tout recueil de consentement. Elle doit être informée en toute transparence sur les droits qu’elle peut exercer (comme vu plus haut), mais également sur :

l’identité du responsable de traitement ;
la raison pour laquelle ses données sont collectées ;
la durée de conservation, qui doit être déterminée ;
les coordonnées du « Data Protection Officer » ;
le droit d’introduire une plainte auprès de la CNIL ;
la base juridique du traitement de données, le cas échéant ;
le transfert des données vers un autre destinataire, ou hors de l’Union Européenne, le cas échéant.

Le consentement constitue l’un des éléments fondamentaux de la protection des données personnelles. Avec le RGPD, il prend une tout autre dimension, car désormais, ce consentement doit être :

Un acte positif et explicite : exit les cases pré-cochées, l’accord doit être donné de manière univoque ;
Spécifique : il ne peut être accordé que pour une seule finalité de traitement ;
Renouvelé : au bout d’un certain temps (variable en fonction des types de traitement), il faut le demander à nouveau.

Autre nouveauté introduite par le RGPD, la preuve de ce consentement doit être conservée. En cas de contrôle de la CNIL, il faut être à même de prouver que l’accord des personnes a été obtenu en amont de toute collecte de données à caractère personnel.
En théorie donc, si un responsable de traitement détient des contacts de personnes dont il n’a pas conservé le consentement et qu’il n’est pas sûr de la validité de celui-ci, il est tenu de les supprimer.

La désignation d’un pilote : le « Data Protection Officer » (DPO) ou Délégué à la Protection des Données

Tous les organismes publics sont concernés par l’obligation de désigner un pilote, quelle que soit leur taille, ce qui peut s’avérer délicat à mettre en œuvre. Le RGPD admet qu’un seul délégué soit désigné pour plusieurs organismes. Cette possibilité est davantage détaillée dans la Loi Informatique et Libertés modifiée qui prévoit :

La conclusion de conventions entre collectivités et leurs groupements ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel ;
La création d’un service unifié permettant aux collectivités d’assumer en commun les charges et obligations liées au traitement de données.

Il est également possible de faire appel à un prestataire externe pour exercer le rôle de délégué.

Le délégué à la protection des données est en charge de la mise en conformité des traitements de l’organisme qui l’a désigné. A la différence du responsable de traitement, il n’est pas responsable en cas de non-respect du RGPD : il joue le rôle de pilote, en informant, conseillant le responsable de traitement. Il constitue le point de contact privilégié avec l’autorité de contrôle, la CNIL.

L’analyse d’impact sur la vie privée

L’analyse d’impact permet au responsable de traitement de repérer les éventuelles failles du traitement de données pouvant constituer un risque élevé pour les droits et libertés des personnes. Cette analyse est requise dans certains cas en particulier, tels que le traitement de données sensibles à grande échelle ou encore la surveillance systématique à grande échelle d’une zone accessible au public. Elle n’est donc pas obligatoire pour des traitements de données non sensibles à petite échelle.

Afin d’aider à la réalisation d’une analyse d’impact, la CNIL a développé l’outil PIA (Télécharger PIA). Au-delà de sa vocation première, ce logiciel peut également être utilisé pour cartographier ses traitements de données, ce qui permet de mesurer leur impact et s’assurer qu’ils ne présentent pas de risque élevé, mais également de dresser un état des lieux exhaustif de tous les traitements mis en œuvre en interne : sites, formulaires d’inscription, bases contacts, newsletters, annuaires, photothèques, etc.

La tenue d’un registre dédié

Dans les structures de plus de 250 employés, le responsable de traitement se doit de tenir un registre des traitements, sur le modèle proposé par la CNIL. Ce registre sert avant tout à prouver que la réglementation est respectée. Les organismes de moins de 250 employés n’y sont pas soumis, sauf s’ils traitent des données sensibles.

Des sanctions plus sévères

Le RGPD met en place des sanctions graduelles en fonction de la gravité du manquement constaté. Les sanctions pécuniaires sont particulièrement dissuasives. Ces dernières peuvent en effet atteindre jusqu’à 20 millions d’euros. Des sanctions administratives et pénales sont également prévues. Les délibérations prononçant les sanctions sont rendues publiques sur Légifrance et sur le site de la CNIL.

Pour être à même de contrôler les structures françaises et appliquer ces sanctions le cas échéant, l’effectif de la CNIL s’est vu multiplié par cinq. Avec la possibilité pour les personnes de déposer une réclamation directement sur le site de la CNIL, les contrôles vont probablement se faire plus nombreux qu’auparavant.

Des processus à développer en interne

Au-delà des différentes obligations issues de la réglementation, un certain nombre de processus sont à mettre en place en interne pour être conforme et pouvoir prouver cette conformité, nécessitant à la fois des compétences organisationnelles, informatiques et juridiques.

Préalablement, de nombreuses mesures de sécurité sont à mettre en œuvre pour parer à l’éventualité d’une violation et ne pas être sanctionné en cas de contrôle de la CNIL. Des compétences techniques et informatiques sont indispensables. Ainsi, les sites web, les serveurs, les postes de travail, les échanges et les locaux doivent être sécurisés, la maintenance et la destruction des données doivent être encadrées, etc.

Des procédures doivent être mises en place au cas par cas, en fonction des traitements opérés, afin de garantir un haut niveau de protection des données de manière constante, et ce dès la conception. Par exemple, une procédure doit être prévue pour permettre l’exercice des droits informatique et libertés des personnes : il faut prévoir par quel moyen les personnes peuvent exercer leurs droits, qui sera le point de contact, dans quel délai moyen une réponse leur sera apportée, etc. De même, en cas de violation de données : qui doit en être informé en interne, sous quel délai la CNIL est informée de cette violation, sous quel délai la personne concernée en est informée, etc.

La limitation de la durée de conservation des données doit également être appréhendée en interne. La suppression ou l’archivage des données au bout d’une période déterminée doit devenir une habitude, si ce n’est pas déjà le cas. La CNIL propose un référentiel sur la durée de conservation permettant d’aider les responsables de traitement à choisir la durée adéquate pour chaque type de traitement.

Ces mesures et processus mis en place permettent d’assurer la protection permanente des données à caractère personnel ainsi que de documenter la conformité avec la réglementation en cas de contrôle.

L’appui de la CNIL aux collectivités

Le rôle de la CNIL ne se limite pas au gendarme des droits informatique et libertés. Elle a également pour mission de conseiller et d’accompagner les acteurs, notamment ceux disposant de faibles moyens techniques. L’importance de cette mission a d’ailleurs été confirmée par la Loi Informatique et Libertés récemment modifiée. Les collectivités sont plus particulièrement visées et sont invitées à se tourner vers la CNIL en cas de besoin : cette dernière sera à même de leur apporter une information fiable et personnalisée.