RGPD dans les mairies : Le RGPD met à leur charge, et de manière plus générale à celle de l’ensemble des collectivités territoriales, de nouvelles obligations qui font l’objet de l’attention de la Cnil.
La responsabilisation ou « l’accountability » des mairies
Les mairies doivent être dans une démarche proactive et de mise en conformité permanente. Chaque ville doit être en mesure de démontrer qu’elle effectue ses traitements de données à caractère personnel conformément aux exigences de la réglementation applicable en la matière.
La démarche de mise en conformité des collectivités territoriales implique un travail collectif afin de respecter les exigences relatives à la protection des données à caractère personnel.
Le délégué à la protection des données, chef d’orchestre du RGPD dans les mairies
Le RGPD prévoit des cas dans lesquels la désignation d’un délégué à la protection des données (DPD) est obligatoire. C’est le cas lorsque le traitement est réalisé par une autorité publique ou un organisme public (RGPD, art. 37) (1).
Les mairies ont donc l’obligation de désigner un DPD que ce soit en interne si elles disposent des ressources nécessaires ou en externe.
Certaines fonctions sont incompatibles avec la fonction de DPD. C’est le cas en particulier lorsque la personne intervient dans la détermination des finalités et des moyens du traitement. A titre d’exemple, le Directeur des systèmes d’information (DSI) ne peut occuper une telle fonction.
L’obligations des mairies de tenir un registre des activités de traitement
Le RGPD prévoit une obligation de tenir un registre des activités de traitement effectué en qualité de responsable de traitement ou de sous-traitant (RGPD, art. 30).
L’élaboration du registre implique pour la collectivité d’effectuer, au préalable, un état des lieux des traitements mis en œuvre (gestion de l’état civil, gestion des activités scolaires, périscolaires et extrascolaires, gestion de la petite enfance, gestion administrative du personnel, gestion des marchés publics etc.)
Pour être en conformité avec le RGPD dans les mairies, il est nécessaire d’élaborer et de tenir un registre des activités de traitement.
L’encadrement par les mairies de leurs relations avec les sous-traitants
Le RGPD précise qu’un responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes de conformité à la réglementation relative à la protection des données à caractère.
L’article 28 du RGPD impose un contrat de sous-traitance qui doit comporter un certain nombre de mentions (RGPD, art. 28).
Notamment dans les marchés publics, cela se traduit par l’insertion de clauses particulières par les collectivités qui encadrent les activités des prestataires auxquels elles recourent.
Les principes de protection dès la conception et par défaut dans les mairies
Selon ces principes, la collectivité doit appliquer, tant lors de la détermination des moyens mis en œuvre pour le traitement que pendant le traitement lui-même, des mesures techniques et organisationnelles appropriées, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux dispositions du Règlement (RGPD, art. 25).
Cela signifie encore que les mairies doivent prendre en compte les exigences de la réglementation dès la phase de projet d’un traitement et mettre en place des paramétrages des outils qui par défaut garantissent la protection des données à caractère personnel.
L’analyse d’impact sur la vie privée
Dès lors que la collectivité territoriale traite des données à caractère personnel susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, elle doit réaliser une analyse d’impact, AIPD. C’est par exemple le cas pour certains traitements du Centre communal d’action social (CCAS), pour les dispositifs d’alertes professionnels ou encore dans le cadre de l’octroi de logements sociaux.
La sécurité des données à caractère personnel des Mairies
Les villes doivent assurer la sécurité des traitements de données à caractère personnel. Le niveau de sécurité doit être adapté aux risques présentés par le traitement (RGPD, art. 32).
Elles doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.
La gestion des violations de données par les Mairies
Une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Une des nouveautés du RGPD dans les mairies et, de manière générale, dans tous les organismes publics ou privés, réside dans leurs obligations vis-à-vis de la Cnil et des personnes concernées lorsqu’une telle violation de données intervient.
Dès lors qu’une violation de données est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, les collectivités doivent informer la Cnil dans les meilleurs délais et si possible dans un délai de 72 heures.
L’information des personnes concernées dépend des conséquences préjudicielles qui peuvent être anticipées (RGPD, art. 33 et 34). Dès lors que le risque est élevé pour les droits et libertés des personnes, ils devront être informés de cette violation de données.
Le renforcement de l’information des personnes concernées par les mairies
Les collectivités territoriales doivent fournir un ensemble d’informations prévues aux articles 13 et 14 du RGPD notamment dans les mentions d’information dès lors qu’elles traitent des données des administrés, des agents ou de tout autre personne physique (RGPD, art. 13 et 14).
La gestion des droits des personnes dans les mairies
La personne concernée dispose d’un certain nombre de droits sur ses données et notamment de droits d’accès, de rectification, d’opposition, d’effacement, de limitation du traitement et à la portabilité des données à caractère personnel.
La personne concernée peut exercer ses droits auprès de la collectivité qui doit répondre dans un délai d’un mois à compter de la réception de la demande.
La ville doit apporter une réponse concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (RGPD, art. 12).
Pour respecter ces exigences du RGPD dans les mairies, il est nécessaire de prévoir une procédure spécifique en interne afin de gérer ces demandes de manière efficace.
Le RGPD dans les mairies, une des préoccupations de la Cnil pour les mois à venir
Tout d’abord, la Cnil souhaite accompagner les collectivités territoriales sur certains sujets comme les élections municipales et la communication politique (2).
A cet égard, la Cnil a publié un guide « Guide de sensibilisation au RGPD pour les collectivités territoriales ».
Par ailleurs, la Cnil a également indiqué que son programme de contrôle 2019 est axé sur :
- les plaintes reçues par la Cnil relatives à l’exercice effectif des droits des personnes,
- les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).
Plus d’un an après son entrée en application, le respect des exigences du RGPD dans les mairies est un véritable enjeu notamment dans la perspective des élections municipales à venir.
Anne Renard
Yoko Riat
Lexing Conformité et certification
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit RGPD).
(2) Communiqué Cnil du 15-4-2019.