RGPD : Le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractères personnel et à la libre circulation de ces données sera applicable en France dès le 25 mai.
Principe d’accountability : Il impose aux collectivités de se mettre en conformité avec les règles relatives à la protection des données et de pouvoir démontrer à tout instant qu’elles les respectent.
Registre des traitements : La documentation de la conformité repose en premier lieu sur l’élaboration et la mise à jour obligatoires d’un registre des traitements.
A noter : A défaut de disposer d’un Registre régulièrement tenu, le responsable de traitements s’expose à une sanction pouvant atteindre 3 millions d’euros.
01 – Se sentir concerné et mobiliser ses services avant le 25 mai 2018
Le RGPD oblige chaque responsable de traitement de données à caractère personnel à constituer, regrouper et actualiser régulièrement un certain nombre de documents. Cette première étape est souvent décrite, quoique l’on pense de la qualité de l’expression, comme l’obligation de « documenter ». Une fois la base d’information réunie, ses éléments doivent pouvoir être fournis sur simple demande de l’autorité de contrôle (en France, la Commission nationale informatique et libertés (CNIL)).
Toutes les collectivités publiques, quelle que soit leur taille, sont soumises à cet impératif qui prendra effet dès le 25 mai 2018 ; et aucune ne peut s’en considérer exonérée au motif qu’elle ne disposerait d’aucun matériel informatique : dès lors qu’elle dispose de la liste de ses électeurs sur support papier, ou encore d’un fichier sur ses agents, une collectivité réalise des traitements de données à caractère personnel.
Il importe d’engager au plus tôt, si cela n’est pas déjà fait, l’élaboration de la documentation requise par le RGPD. Il serait, en particulier, imprudent d’attendre l’adoption du projet de loi relatif à la protection des données personnelles. En effet ce dernier ne fera que préciser ou compléter certaines des prescriptions du RGPD ; les collectivités qui se seront déjà mises en conformité avec le RGPD n’auront à procéder qu’à quelques aménagements mineurs au moment de son adoption – à une date qui reste indéterminée.
02 – Déterminer les éléments constituant le dossier de conformité
Cette première tâche est compliquée par le fait qu’il n’existe pas de « dossier standard » : le RGPD ne comprend pas de liste exhaustive déterminant simplement sa composition.
Le Registre des traitements, document cartographiant précisément les traitements de données mis en œuvre, en constituera cependant la pièce maitresse. Il est impératif d’établir ce document en priorité, afin de pouvoir dans un second temps, identifier et concevoir, selon les caractéristiques des traitements recensés, les autres documents indispensables. C’est pourquoi on s’attachera ici à donner des conseils pratiques concernant l’établissement de ce document en particulier.
On retiendra pour l’essentiel que devront dans tous les cas faire partie du dossier documentaire, outre le Registre des traitements : la description des procédures et moyens adaptés pour la sécurité des traitements, les procédures internes en cas de violation de données, les informations sur le délégué à la protection des données (description des missions, moyens, etc…), les mentions d’information à la personne concernée, les modèles de recueil du consentement et les procédures mises en place pour l’exercice des droits. Selon les cas, seront en outre requis les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés (ex: les activités de vidéosurveillance) et/ou les éventuels contrats avec les sous-traitants.
Le RGPD prévoit également, à titre facultatif, la possibilité pour les responsables de traitement de se voir délivrer une certification, attestant de leur conformité à la réglementation ; il faudra cependant attendre l’adoption du projet de loi relatif à la protection des données personnelles et ses textes d’application pour connaître les modalités de ce dispositif.
03 – Etablir ou faire établir le Registre des traitements propre à sa collectivité
Même lorsqu’elle confie la gestion de ses traitements de données à un tiers (ex : centre de gestion de la fonction publique territoriale pour la gestion de certains agents, sociétés de stockage de données, etc…), une collectivité doit disposer d’un registre listant les traitements qui ont lieu sous sa responsabilité11. Parallèlement, son éventuel sous-traitant devra tenir son propre registre des activités de traitement réalisées pour le compte du responsable du traitement. Le Registre doit donc être établi individuellement pour chaque collectivité et ne pourra pas être mutualisé comme l’est, par exemple, la fonction de délégué à la protection des données (DPD). Il est en revanche concevable de confier la gestion de la documentation à un DPD mutualisé. Ce dernier devra alors tenir un registre pour chaque responsable de traitement par lequel il a été désigné.
Concrètement il est recommandé d’associer à l’établissement du Registre l’ensemble des agents des services opérationnels concernés pouvant fournir toutes les informations précises relatives aux traitements. Le DPD ne pouvant être officiellement désigné avant l’entrée en vigueur du RGPD, l’établissement du registre aura plus probablement lieu sous la houlette de son « prédécesseur », le Correspondant informatique et Libertés (CIL), lorsqu’il existe, ou à défaut par une personne – ou une équipe – compétente, désignée à cet effet.
Le Registre devra être établi sous forme écrite (le format électronique étant très fortement recommandé) ; s’il n’existe aucun canevas-type unique du Registre, on conseillera d’y inclure une liste récapitulative des traitements et une fiche individuelle par traitement opéré à la date du 25 mai 2018, qu’il soit récent ou ancien. Pour le reste, la forme est libre et pourra être adaptée selon les spécificités propres à la personne responsable. Le Registre devra en tout état être le plus lisible possible afin de faciliter le contrôle de la CNIL.
04 – Renseigner les mentions obligatoires du Registre des traitements
Le Registre devra obligatoirement comprendre un certain nombre d’éléments. Devront y figurer, d’abord, le nom et les coordonnées du responsable du traitement ; dans la mesure où il doit exister un registre par responsable, cette indication pourra ne figurer qu’une fois, sur la liste récapitulative des traitements ou la page de garde du Registre, par exemple. Il s’agit clairement, au sens du RGPD, du seul nom de l’autorité publique, personne morale, et non de son représentant légal personne physique (Ex : Commune de X ; Département Y, etc… ).
Devront également être indiqués, avec précision : le nom et les coordonnées du délégué à la protection des données, les finalités du traitement, générales et spécifiques (Ex : Gestion des subventions – Octroi des subventions et activités qui s’y rapportent : recherche des ayants droits, calcul, versement et suivi des subventions), une description des catégories de personnes concernées au regard de chacune des finalités identifiées (Ex : agents de la commune, administrés, électeurs, élèves mineurs d’une école, etc…), une description des catégories de données personnelles (Ex : Etat-civil, données de connexion, etc…), une description des catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées (Ex : service comptabilité et direction générale des services ; sous-traitant éventuel, etc…).
05 – Identifier les informations facultatives utiles que pourrait recenser le Registre des Traitements
Il est également fortement encouragé par le RGPD d’inscrire dans le Registre des traitements la durée de conservation (ou délai d’effacement) des données personnelles, qui ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cette durée ne doit pas nécessairement être indiquée en jours, mois, ou années, et peut faire référence à des éléments permettant de déterminer son terme (ex : jusqu’à expiration d’un délai de prescription, ou encore gestion d’un contentieux lié à la donnée). De la même façon, la réglementation communautaire invite, dans la mesure du possible, à décrire les mesures de sécurité techniques et organisationnelles visant à la protection des données (pseudonymisation, chiffrement, logiciels de protection, accès restreint avec mot de passe, etc…).
On peut enfin considérer que les collectivités trouveront intérêt à aller même au-delà de ces obligations et recommandations communautaires, en renseignant des champs d’information complémentaires, qui leur permettront d’identifier les mesures à prendre pour se conformer à l’ensemble des prescriptions du RGPD, voire d’anticiper celles à venir de la future loi relative à la protection des données. Il est ainsi conseillé de faire apparaître la désignation du traitement, son éventuel numéro de référence, ses dates de création et de dernière mise à jour, d’indiquer s’il concerne des données sensibles (ex : origines raciales ou ethniques, opinions politiques…). Peuvent opportunément y figurer, en outre, les moyens par lesquels les personnes qui feront l’objet des données en seront informées, le service auprès duquel s’exercera le droit d’accès, la mention de la base légale du traitement (qui sera généralement l’article 7.1.e du RGPD dans le cas des personnes publiques) et s’il s’agit de traitements qui imposent de procéder à une étude d’impact.
Elisa CORAZZA – avocat directeur