94 rue de Sèvres 75007 Paris

Ondes Urbaines

Numérique

Règlement européen des données : mode d’emploi pour les collectivités


Dès le 25 mai 2018, le règlement européen RGPD du 27 avril 2016, relatif à la protection des personnes à l’égard du traitement des données à caractère personnel et à la libre circulation des données, sera applicable en France. Pour les collectivités, cela impose une mise en conformité avec les règles et une capacité à démontrer leur respect, ainsi que la désignation d’un délégué à la protection des données.
Elaboration d’un registre des traitements des données
Un registre des traitements, cartographiant le traitement des données mis en œuvre, doit être élaboré et mis à jour, il doit pouvoir être fourni sur simple demande de la Commission nationale informatique et libertés (Cnil). En sus de ce registre, la collectivité doit notamment pouvoir fournir une description des procédures et moyens adaptés pour la sécurité des traitements, les informations sur le délégué à la protection des données et les procédures mises en place pour l’exercice des droits. A titre facultatif, le règlement européen de protection des données prévoit pour les responsables de traitement le souhaitant la possibilité de se voir délivrer un certificat de conformité à la réglementation.
Désignation d’un délégué à la protection des données personnelles
Chaque collectivité doit s’acquitter de ses obligations au regard du RGPD sous quatre mois, parmi lesquelles la désignation d’un délégué à la protection des données personnelles (DPD). Ce responsable pourra être désigné en interne ou mutualisé entre plusieurs organismes, sans nécessairement faire l’objet d’un temps plein sur cette mission mais le règlement requiert qu’il soit indépendant, ne pouvant recevoir d’instructions de la collectivité. Ainsi, il faut éviter les potentiels conflits d’intérêt en nommant un agent non affecté au service responsable des traitements. Enfin, des ressources suffisantes doivent être fournis au DPD pour mener à bien ses missions. Les villes de taille moyenne

 

et leurs intercommunalités auront donc tout intérêt à une mutualisation des DPD. Il sera utile de communiquer à l’ensemble des agents l’arrivée du DPD et des éléments pédagogiques sur le règlement.
Des sanctions choisies par l’Etat
L’article 83 du règlement précise que chaque Etat définit les sanctions prévues pour les personnes publiques. Ainsi si les amendes administratives peuvent atteindre jusqu’à 20 millions d’euros pour les entreprises, les collectivités bénéficieront probablement d’un régime bien moins sévère. Les sanctions prononcées par la CNIL contre les personnes publiques ont en effet rarement été d’ordre financier. Le risque peut également être juridique si une décision s’appuie sur des traitements ne respectant pas le règlement.
En savoir plus

n°162

31 Jan 2018




Partager sur :

Directeur de la publication
Jean-François Debat

Rédacteur en chef
Guillaume Ségala

Rédaction
Armand Pinoteau, Margaux Beau, Anaëlle Chouillard

Secrétariat
Anissa Ghaidi