Quantcast

Ce qui change pour le secteur public avec l’entrée en vigueur du RGPD

14 mai 2018, PAR Emile Marzolf

Fotolia

Le RGPD, Règlement général sur la protection des données, adopté en avril 2016 par le Parlement européen au terme d’un parcours législatif de quatre années, entre en application le 25 mai. À onze jours de la date fatidique, tour d’horizon de ses principales dispositions.


Plus que onze jours. Le Règlement général sur la protection des données (RGPD) adopté par le Parlement européen en 2016 doit entrer en vigueur le 25 mai. Mais en France, la transposition de ce règlement a buté au Parlement. Le texte européen doit être transposé au travers de la loi relative à la protection des données personnelles, portant modification de la loi “Informatique et Libertés”, pilier de la régulation de l’Internet depuis 1978. À quelques jours de la date fatidique et après l'échec de la commission mixte paritaire chargée de trouver un accord entre les deux chambres [consultez notre article à ce sujet], l'Assemblée nationale a définitivement adopté le texte, lundi 14 mai.

Son entrée en vigueur pourrait encore être retardée alors qu'une saisine du Conseil constitutionnel est envisagée par plusieurs sénateurs, mais ses principales dispositions, elles, n'évolueront pas. Que va changer cette loi pour les collectivités et autres organismes publics dans leur rapport à la donnée ? Tour d'horizon.

Responsabilisation

Fondamentalement, le RGPD ne bouleverse pas la législation française, déjà bien armée depuis la loi de 1978. Le règlement apporte avant tout un changement de paradigme, avec une inversion de la logique de responsabilité qui contraint les managers publics à se réorganiser [voir notre émission à ce sujet]. En même temps qu’il établit de nouveaux droits pour les utilisateurs, comme les droits à l’effacement et à la portabilité des données, et réaffirme les principes de consentement et de proportionnalité, le texte instaure le principe de traçabilité complète de la donnée. Il responsabilise les acteurs publics comme privés qui sont amenés à collecter, détenir, exploiter ou vendre des données à caractère personnel, aussi bien en matière de confidentialité et de sécurité que de légalité de l’exploitation. 

Pour rappel, au titre de l’article 4 du RGPD, est qualifiée de donnée personnelle “toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”.

Le règlement consacre enfin les principes de protection des données dès la conception et par défaut, auxquels doit se soumettre le responsable des traitements d’un organisme public. Il s’agit, en somme, de faire en sorte que “seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement [soient] traitées”, c’est-à-dire que ces données ne soient plus accessibles à un nombre indéterminé de personnes et dans un but non caractérisé, mais que sa finalité soit bien établie et renseignée.

Protection active

Alors qu’auparavant, le contrôle des traitements s’exerçait a posteriori, les organismes publics auront dorénavant à garantir activement la protection des données des usagers. Cela passe en premier lieu par la constitution et la tenue, obligatoires, d’un registre à jour des traitements de données. Celui-ci doit réunir l’ensemble des traitements réalisés par les organismes publics, y compris les collectivités locales, de la plus grande des régions à la plus petite des communes.

Le registre contiendra le nom et les coordonnées du responsable du traitement et du délégué à la protection des données (DPD), lequel s’assurera que le premier répond à ses obligations. La finalité du traitement, les personnes et les catégories des données concernées, les destinataires auxquels elles sont communiquées, et les transferts hors de l’Union européenne devront également être écrits noir sur blanc. Tout comme le délai d’effacement prévu pour les données récoltées.

Un délégué général à la protection des données

Le contrôle de la mise en conformité vis-à-vis des dispositions du règlement européen reviendra au DPD. La nomination de ce délégué, héritier du facultatif “correspondant informatique et libertés”, deviendra, au 25 mai, obligatoire pour tout organisme public. Indépendant du responsable du traitement, le DPD est chargé d’informer ce dernier ou le sous-traitant, ainsi que les employés, des obligations qui leur incombent en matière de protection des données et de contrôler l’effectivité du respect du règlement. C’est cette personne qui servira de point de contact avec les citoyens et avec la Commission nationale de l’informatique et des libertés (Cnil) qui, elle-même, coopérera avec l’autorité des autorités de contrôle, le Comité européen de la protection des données.

Pouvoirs renforcés pour la Cnil

Dans le but de garantir la mise en application des dispositions du règlement par tous les acteurs, les pouvoirs de la Cnil ont également été renforcés. La commission pourra, “lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations”, comme le décrit l’article 6 de la loi sur la protection des données personnelles, prononcer une mise en demeure. Si l’organisme ne s’est pas conformé dans le délai fixé (à 24 heures en cas d’urgence extrême), elle pourra exiger l’interruption du traitement non conforme et prononcer une sanction pécuniaire dont les plafonds ont été revus à la hausse. L’amende peut désormais grimper jusqu’à 20 millions d’euros pour une administrative fautive, et jusqu’à 4 % du chiffre d’affaires pour une entreprise. Contre 10 millions et 2 % auparavant.

Mais pour éviter d’en arriver là, la commission s’active depuis plusieurs mois, et s’activera encore pour longtemps, à sensibiliser tous les acteurs et à les accompagner dans leur transition [consultez notre article à ce sujet], qui ne s’annonce déjà pas concluante pour le 25 mai. Certaines dispositions, ajoutées par le Sénat au projet de loi “Protection des données personnelles”, visaient notamment à créer une dotation pour accompagner la transition des collectivités territoriales, mais aussi à faciliter la mutualisation du DPD au niveau communal. Lors de l'adoption définitive du texte lundi 14 mai, l’Assemblée nationale a finalement décidé de ne donner suite qu'à la mesure facilitant la mutualisation entre les communes et leurs groupements.