Ce « Guide de sensibilisation au RGPD pour les collectivités territoriales » est destiné aux administrations locales qui mettent en œuvre de nombreux traitements de données à caractère personnel (gestion des inscriptions scolaires, gestion de l’état civil, gestion des listes électorales…) et doivent respecter les exigences du RGPD [1].
Parution du guide de la Cnil pour la mise en conformité des mairies au RGPD
Afin d’aider les mairies, dans le cadre de leur mise en conformité au RGPD, la Cnil vient de publier un Guide de sensibilisation au RGPD pour les collectivités territoriales à leur attention [2].
Principaux changements pour les mairies depuis l’entrée en application du RGPD
Le guide de mise en conformité des mairies au RGPD rappelle les principaux changements pour ces organismes induits par l’entrée en application du RGPD, notamment :
- l’obligation de recenser de l’ensemble des traitements mis en œuvre par les services des collectivités territoriales ;
- la nécessité, pour toutes les collectivités territoriales, de désigner un Délégué à la Protection des Données (DPD) ;
- l’obligation de réaliser des analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Mise à disposition d’outils à destination des collectivités territoriales
Le guide de la Cnil pour les collectivités territoriales comporte de nombreux outils afin d’aider les collectivités territoriales à se conformer aux exigences de la règlementation, notamment :
- un modèle de mentions d’information pour le traitement de gestion de l’état civil ;
- des fiches réflexes permettant de sensibiliser les agents aux bonnes pratiques en matière de protection des données ;
- des illustrations et des cas concrets pour permettre aux mairies de mieux appréhender les notions clés de la règlementation relative à la protection des données ;
- une liste de finalités de traitements pouvant servir de base pour cartographier les traitements mis en œuvre par les mairies ;
- un plan d’action en 4 étapes pour permettre aux collectivités territoriales de se mettre en conformité.
Focus sur les missions du Délégué à la Protection des Données (DPD)
Le guide de mise en conformité des mairies au RGPD consacre un long développement aux missions du DPD, à son statut et à ses modalités de désignation.
L’autorité rappelle ainsi que les collectivités territoriales peuvent désigner soit un DPD en interne, soit une personne externe et qu’il est possible pour les collectivités territoriales de mutualiser le DPD (au niveau d’un établissement public intercommunale par exemple).
Le rappel des conditions de licéité des traitements spécifiques aux collectivités territoriales
Le guide de la Cnil à destination des mairies au RGPD apporte des éclairages concernant les conditions de licéité des traitements spécifiques aux mairies.
La Cnil précise notamment les règles concernant les traitements suivants :
- équipement des agents de police municipale de caméras mobiles ;
- dispositifs de lecture automatisée des plaques d’immatriculation ;
- gestion des téléservices des mairies.
Analyses d’impact au sein des collectivités territoriales
Il n’est pas fait référence au projet de liste des traitements exemptés d’analyse d’impact dans le guide de la Cnil pour la mise en conformité des mairies au RGPD.
Au vu du projet de liste soumis par la Cnil au Comité européen de protection des données en la matière [3], il semblerait que les traitements relatifs à la gestion des écoles, aux activités extrascolaires et à la petite enfance puissent être exemptés d’analyse d’impact.
Il conviendra d’attendre la publication de la liste définitive de la Cnil afin de s’assurer que ces traitements sont bien exemptés.
Anne Renard
Alicia Béré
Lexing Conformite et certification
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »).
[2] Cnil, « Guide de sensibilisation au RGPD pour les collectivités territoriales », 18-09-2019.
[3] CEPD, Opinion 13/2019, 10-7-2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment