Le Règlement Général pour la Protection des données (RGPD) est entré en vigueur en mai 2018. Les communes et les organisations publiques ou privées sont toutes soumises à celui-ci. En 2019, plus de la moitié des collectivités territoriales n’étaient pas encore conformes au RGPD, notamment en ce qui concerne la désignation d’un Délégué à la Protection des Données (DPD ou DPO).
Un guide de la CNIL pour les collectivités territoriales
Afin d’accompagner les collectivités locales dans leur mise en conformité, la CNIL a édité un guide de sensibilisation au RGPD spécialement conçu pour elles. Ce guide détaille les thèmes sur lesquels les collectivités doivent travailler pour être en conformité.
Les principes de traitement des données personnelles
Une définition claire des données personnelles
Une donnée personnelle est une information qui se rapporte à une personne physique clairement identifiée ou identifiable. En revanche, les coordonnées d’entreprises ne sont pas considérées comme des données personnelles.
La légitimité du traitement des données personnelles
Toute action sur des données personnelles, que ce soit la collecte, le classement, l’utilisation ou la transmission de ces données, doit respecter le RGPD. La finalité du traitement doit être légitime et clairement définie. Les données collectées et traitées doivent être conformes à cette finalité.
Les données personnelles sensibles
Le RGPD interdit le traitement de certaines données personnelles sensibles, telles que celles liées à la religion, à l’ethnie, à la religion ou aux appartenances politiques ou syndicales. Si leur traitement est nécessaire, des conditions très strictes sont fixées par le RGPD.
Le principe de minimisation
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour la finalité du traitement.
Les bases légales pour le traitement des données personnelles
Un traitement de données personnelles doit avoir un fondement juridique. Il peut s’agir du consentement de la personne concernée, d’un contrat, d’une obligation légale, de la sauvegarde des intérêts vitaux, de l’intérêt public ou de l’intérêt légitime. Chaque base légale doit répondre à des critères spécifiques définis par le RGPD.
Les données sensibles gérées par les collectivités territoriales
Les collectivités territoriales, notamment les communes et les intercommunalités, gèrent un grand nombre de données sensibles en raison de leurs compétences étendues. Parmi ces compétences, on peut citer la gestion du personnel, l’état civil, la fiscalité, le domaine social, l’enfance/scolaire/périscolaire, l’urbanisme et la surveillance.
Un plan d’action pour la mise en conformité
La mise en conformité au RGPD peut être réalisée en suivant un plan d’action en quatre étapes :
Étape 1 : Recenser les traitements
Il est important de tenir un registre pour avoir une vision claire des activités de la collectivité nécessitant la collecte et le traitement de données personnelles. Ce registre doit préciser les responsables du traitement, les objectifs poursuivis, les catégories de personnes et de données concernées, les destinataires des données, les durées de conservation, les mesures de sécurité mises en place et les éventuels transferts de données hors de l’Union européenne.
Étape 2 : Faire le tri dans les données
Les données demandées et conservées doivent être pertinentes et nécessaires à l’objectif poursuivi. Des mesures de sécurité appropriées doivent être mises en place pour protéger ces données et seuls les agents habilités doivent y avoir accès.
Étape 3 : Respecter les droits des administrés
Lorsque des données personnelles sont collectées, la collectivité doit informer les personnes concernées de manière claire. Elle doit préciser le but de la collecte, la durée de conservation, les personnes ayant accès aux données, etc.
Étape 4 : Sécuriser les données
Les données doivent être conservées en toute sécurité grâce à des mesures techniques et organisationnelles adaptées. Il est essentiel de protéger les données contre tout accès illégitime, modification non autorisée ou disparition.
En conclusion, la mise en conformité au RGPD nécessite une organisation rigoureuse de la gestion des données et une forte sensibilisation des élus et agents. Les collectivités territoriales doivent travailler activement pour assurer la protection des données personnelles.