Depuis le 25 mai 2018, le règlement européen RGPD du 27 avril 2016, relatif à la protection des personnes à l’égard du traitement des données à caractère personnel et à la libre circulation des données, est applicable en France. Pour les collectivités, cela impose une mise en conformité avec les règles et une capacité à démontrer leur respect, ainsi que la désignation d’un délégué à la protection des données.
Élaboration d’un registre des traitements des données
Un registre des traitements, cartographiant le traitement des données mis en œuvre, doit être élaboré et mis à jour, il doit pouvoir être fourni sur simple demande de la Commission nationale informatique et libertés (Cnil). En sus de ce registre, la collectivité doit notamment pouvoir fournir une description des procédures et moyens adaptés pour la sécurité des traitements, les informations sur le délégué à la protection des données et les procédures mises en place pour l’exercice des droits. A titre facultatif, le règlement européen de protection des données prévoit pour les responsables de traitement le souhaitant la possibilité de se voir délivrer un certificat de conformité à la réglementation.
Désignation d’un délégué à la protection des données personnelles
Chaque collectivité doit s’acquitter de ses obligations au regard du RGPD sous quatre mois, parmi lesquelles la désignation d’un délégué à la protection des données personnelles (DPD). Ce responsable pourra être désigné en interne ou mutualisé entre plusieurs organismes, sans nécessairement faire l’objet d’un temps plein sur cette mission mais le règlement requiert qu’il soit indépendant, ne pouvant recevoir d’instructions de la collectivité. Ainsi, il faut éviter les potentiels conflits d’intérêt en nommant un agent non affecté au service responsable des traitements. Enfin, des ressources suffisantes doivent être fournies au DPD pour mener à bien ses missions. Les villes de taille moyenne et leurs intercommunalités auront donc tout intérêt à une mutualisation des DPD.
Des sanctions choisies par l’État
L’article 83 du règlement précise que chaque État définit les sanctions prévues pour les personnes publiques. La CNIL assure les sanctions qui peuvent aller jusqu’à des amendes atteignant 20 millions d’euros.
Voir le dossier sur le site du CNIL