Règlement européen sur la protection des données : les collectivités territoriales doivent se mettre en conformité
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données sera applicable à l’ensemble des pays membres de l’Union européenne le 25 mai 2018. Les collectivités territoriales collectent, stockent, transfèrent de nombreuses données de leurs usagers et administrés (gestion de l’état civil, plateformes de services…). Elles doivent se mettre au plus vite en conformité avec le Règlement qui renforce encore les obligations en matière de respect des droits des personnes, de transparence et de sécurité des traitements telles que :
– Sauf exceptions, elles ne seront plus soumises au système de formalités préalables à la mise en œuvre des traitements mais devront adopter une démarche responsable (« accountability ») et être en mesure de démontrer à l’autorité de contrôle (la CNIL) qu’elles respectent les obligations en matière de protection des données personnelles. En pratique, elles devront répertorier les données à caractère personnel utilisées et formaliser un registre des activités de traitement.
– Elles devront intégrer de nouveaux principes de protection des données dès la conception (Privacy by design) et par défaut (Privacy by default) conduisant à mettre en place les actions juridiques et techniques en amont, et ce dès la conception du traitement et adopter des paramétrages par défaut de leur système afin d’anticiper tout risque d’atteinte à la sécurité et la confidentialité des données.
– Elles devront s’assurer que leurs sous-traitants offrent toutes les garanties concernant la protection des données en intégrant les clauses adéquates dans les contrats.
– Elles devront garantir les nouveaux droits des personnes concernées notamment le droit à l’effacement, le droit à la limitation du traitement et le droit à la portabilité des données.
– Elles seront obligées de se doter d’un délégué à la protection des données qui pourra être interne ou externe ou encore mutualisé. Il sera le point de contact avec les personnes concernées par les données et l’autorité de contrôle, veillera au respect de la réglementation, conseillera la collectivité sur ses obligations et sensibilisera le personnel.
– Elles devront réaliser une étude d’impact sur la vie privée des traitements de données à caractère personnel lorsque celui-ci sera susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
– Elles devront notifier toute faille de sécurité auprès de la CNIL dans les 72 heures après en avoir pris connaissance, sauf si celle-ci est insusceptible de porter atteinte aux droits des personnes.
Il appartient dès lors aux collectivités territoriales et aux organismes publics de mettre en place les actions pour une mise en conformité au Règlement et ce d’autant plus que les sanctions seront plus lourdes pouvant atteindre 20 millions d’euros.