Respecter les règles de protection des données édictées par le RGPD est primordial pour les collectivités territoriales. Au-delà même de l’aspect légal, il s’agit d’un prérequis pour vous assurer la confiance de vos administrés et usagers, à l’heure où la digitalisation des services est grandissante. Alors, êtes-vous en conformité avec le RGPD ? Focus sur les 6 points à vérifier.
Les 6 points à vérifier pour la conformité RGPD des collectivités territoriales
1. Désigner un délégué à la protection des données (DPO)
Chef d’orchestre de votre mise en conformité, son rôle est d’informer et conseiller la collectivité, contrôler le respect du RGPD et être le point de contact à la fois des personnes dont les données sont traitées mais aussi de la CNIL. Si sa désignation est obligatoire, le DPO peut être interne ou externe à la collectivité. Il s’agira dans le premier cas d’une personne disposant d’une connaissance solide du métier, et dans le second d’un cabinet de prestation ou professionnel du RGPD. La loi permet également de mutualiser les services d’un DPO, qui conseillera ainsi plusieurs collectivités.
2. Tenir un registre de traitement
Le registre du traitement offre une vision claire des activités de la collectivité en matière de gestion des données personnelles. Souvent tenu par le DPO, on y désigne pour chaque activité :
- L’identité du responsable de traitement (éventuellement du responsable conjoint, de son représentant et du DPO),
- Les objectifs poursuivis : dans quel but la collecte est-elle effectuée ?
- Les catégories de données collectées (noms, adresses…) et de personnes concernées,
- L’identité des personnes qui ont accès aux données,
- La durée de conservation des données
- Les mesures de sécurités inhérentes (protection par mot de passe, chiffrage, etc).
3. Encadrer le travail des sous-traitants
Pour une collectivité, confier la gestion des données à des sous-traitants n’est pas rare. Prestataires informatiques ou hébergeurs, vous devez encadrer leurs obligations par des contrats. Ces obligations sont au nombre de 4 :
- Transparence et traçabilité : il s’agit de recenser par écrit vos instructions concernant le traitement et, pour le sous-traitant, de tenir un registre des traitements effectués pour votre compte. A noter : vous devez fournir une autorisation s’il souhaite lui-même faire appel à un sous-traitant ;
- Prise en compte du principe de protection des données dès la conception et par défaut : chaque outil créé (par exemple, un formulaire Web) doit obéir dès sa conception aux règles de protection des données ;
- Garantie de la protection des données ;
- Assistance, alerte et conseil : en tant que professionnels, vos sous-traitants sont tenus de vous assister et vous conseiller dans votre mise en conformité, ainsi que de vous alerter en cas de mauvaises pratiques ou violation des données.
Bon à savoir : les obligations des sous-traitants sont également valables dans le cas de marchés publics, qui doivent comprendre les clauses obligatoires prévues par l’article 28 du RGPD.
4. Garantir la sécurité des données
L’accès illégitime aux données, leur modification ou leur disparition sont des risques réels… et passibles de sanctions pénales. Les cyberattaques sont chaque année de plus en plus nombreuses et l’erreur humaine fréquente. De fait, sécuriser les données en votre possession, et corollairement la vie privée de vos administrés et agents, est l’une des pierres angulaires du RGPD. Des formations de sensibilisation de vos services à la protection de la vie privée peuvent être nécessaires pour que chacun ait conscience des enjeux du RGPD.
Assurez-vous également du verrouillage des postes de travail, de la création de mots de passe complexes, de l’encadrement de l’usage des appareils utilisés pour accéder aux données (smartphones, tablettes, ordinateurs). Ne faites pas non plus l’impasse sur la sécurité physique des données. Imaginons qu’elles soient contenues dans un classeur : le placard est-il bien fermé à clé ? Quid du risque incendie ? Les données informatiques sont-elles hébergées sur un serveur chiffré ? Qui peut-y accéder ? Faire le tour de la question vous évitera sans doute de mauvaises surprises.
5. Garantir les droits de vos administrés
Toute personne dont les données ont été collectées peut faire valoir ses droits d’accès, d’opposition, de rectification, de suppression ou d’opposition (sauf si le traitement obéit à une obligation légale, par exemple, nul ne peut s’opposer à figurer dans un fichier d’état civil). Il revient donc aux collectivités d’organiser la réponse aux administrés quant à l’exercice de leurs droits. Ainsi, vous pouvez par exemple porter à leur connaissance une adresse email dédiée via laquelle ils pourront s’adresser à vos services.
6. Alerter la CNIL en cas de violation des données
Vous devez signaler à la CNIL toute violation de donnée accidentelle ou illicite dans les meilleurs délais, et au plus tard dans les 72h. Attention : si le risque pour la vie privée des personnes concernées par la violation est élevé, vous devez également les informer.
N’oubliez pas que la mise en conformité RGPD s’inscrit dans une démarche continue. Elle est notamment garantie par le respect des bonnes pratiques au et les mesures mises en œuvre au sein de la collectivité territoriale. Seules des vérifications régulières de vos traitements et de vos mesures de sécurité garantiront votre bonne conformité dans le temps !