Article publié dans l’hebdomadaire La Gazette des communes du 26 mars 2018.
Responsables de traitements : Les collectivités territoriales constituent des responsables de traitements (RT) de données personnelles au sens du RGPD.
Mise en conformité : A compter du 25 mai 2018, les dispositions du RGPD, qui imposent une protection accrue des données personnelles, entreront en vigueur.
Droits des personnes concernées : Les RT doivent organiser l’exercice par les personnes concernées (administrés, agents…) de leurs droits sur les données.
1 – Connaître le socle complété des droits des personnes
La loi informatique et liberté a consacré le principe de la maitrise par les personnes concernées de leurs données personnelles, qui se trouve consolidé par les dispositions du RGPD.
Il se traduit au premier chef par la subordination de la mise en oeuvre du traitement au consentement de la personne intéressée. Les administrations sont cependant en principe exonérées de l’obligation de recueil du consentement, celle-ci ne trouvant pas à s’appliquer lorsque le traitement de données à caractère personnel a pour objet le respect d’une obligation légale incombant au responsable du traitement (ex: tenue des registres de l’état-civil) ou l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement.
En outre, les administrations responsables de traitement sont soumises à une obligation d’information renforcée par le RGPD, et les administrés ou agents peuvent corrélativement exercer auprès d’elles un certain nombre de droits : le droit d’accéder à leurs données et d’en obtenir une copie6, le droit de les rectifier le droit de s’opposer à leur utilisation et le droit à l’oubli.
A cet arsenal, le RGPD est venu ajouter le droit à la portabilité, qui ne concerne cependant pas les traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
2 – Réviser les mentions d’information obligatoires
Le RGPD vient renforcer et préciser l’obligation d’information spontanée mise à la charge des responsables de traitement (RT) à l’égard des personnes concernées. Concrètement, il impose une – modeste – mise en conformité des mentions d’information déjà requises.
La liste des informations à fournir obligatoirement n’est pas significativement différente de celle figurant actuellement dans l’article 32 de la loi informatique et libertés (identité du RT, finalités du traitement, destinataires, droits de la personne concernée…). Il conviendra essentiellement d’y ajouter: les coordonnées du délégué à la protection des données, la base juridique précise du traitement, l’information sur les nouveaux droits introduits par le RGPD et leurs modalités d’exercice (droit à l’oubli notamment). Doit également figurer parmi ces informations l’éventuelle existence d’une prise de décision automatisée, voire d’un profilage, sur la base des informations recueillies ; les collectivités pourront s’inspirer sur ce point des mentions obligatoires prévues pour les décisions individuelles prises sur le fondement d’un traitement algorithmique (art. R311-3-1-1 CRPA).
La liste reste légèrement différente selon que les informations à fournir sont collectées auprès de la personne concernée ou non ; dans ce dernier cas, devra être ajoutée la source d’où proviennent les données à caractère personnel et le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.
A noter : un projet de modification de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est actuellement en cours d’examen
3 – Appliquer les nouvelles modalités de communication des informations obligatoires
Sur la forme, le RGPD exige des RT la mise à disposition d’une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
Il précise, quant aux modalités de fourniture de ces informations, qu’elle est naturellement gratuite et peut avoir lieu par écrit (mention sur le questionnaire de collecte, remise préalable d’un document, envoi d’un courrier ou courriel, affichage), mais pas exclusivement. La communication orale, à la demande de la personne concernée, est même autorisée, à condition que son identité soit vérifiable. Au regard de ces éléments, on recommandera de manière générale une communication écrite, de façon à se ménager la preuve du respect de l’obligation.
Quant au moment de la communication, il reste préalable ou à tout le moins concomitant à l’obtention s’agissant des collectes de données opérées directement auprès de la personne concernée. Lorsque les informations n’ont pas été collectées auprès de la personne concernée, l’information doit être communiquée le cas échéant dès la première communication à la personne intéressée ou à un tiers et en tout état dans le mois qui suit l’obtention des données à caractère personnel.
4 – Réévaluer les procédures d’exercice des droits de la personne concernée
En principe, les collectivités ont déjà, dans le cadre de la loi informatique et liberté, mis en place des procédures internes de traitement des demandes des personnes concernées.
L’entrée en vigueur du RGPD constitue l’occasion d’évaluer et adapter ces procédures, le cas échéant de les instaurer, et dans tous les cas de les formaliser et documenter.
Le Règlement pose les règles minimales devant dans tous les cas s’appliquer (y compris pour le droit à l’oubli et d’opposition). Il convient, d’abord, de faciliter l’exercice des droits de la personne concernée (ex: rappel des droits et explication de la procédure sur le site internet ; procédures de demandes en ligne via des formulaires). Il est recommandé de s’assurer a minima de l’identité de la personne physique présentant la demande (Ex: engagement sur l’honneur et rappel des peines encourues en cas de fraude). La collectivité doit ensuite répondre gratuitement dans les meilleurs délais, et en tout état au maximum un mois (prolongeable jusqu’à 3 mois en fonction de la complexité et de l’ampleur de la demande) après réception de la demande. La voie électronique sera privilégiée, sauf requête spécifique contraire de la personne intéressée.
Lorsque l’administration n’entend pas donner suite à la demande, elle doit également en informer le demandeur de manière motivée dans un délai d’un mois, et lui indiquer qu’il peut former une réclamation auprès de la CNIL et un recours juridictionnel.
5 – Mettre à jour les procédures d’accès et de modification
Dans le cadre du droit d’accès, la collectivité doit disposer de procédures prévoyant les modalités d’accueil et de traitement, d’une part, des demandes d’informations, et d’autre part, des demandes de copie des données à caractère personnel (interlocuteurs, modalités…). La personne concernée peut en effet obtenir du RT la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaires (finalités du traitement, catégories de données, destinataires, durée de conservation, droits de rectification, d’effacement, de limitation et d’opposition, droit d’introduire une demande auprès de la CNIL, source des données, le cas échéant, existence d’une prise de décision automatisée).
Ce droit d’accès comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement. S’agissant de la forme et de la transmission de cette copie, le RGPD semble favoriser la forme électronique par défaut; toutefois, si une personne sollicite une copie sous forme papier, la collectivité est tenue de lui en délivrer une copie à titre gratuit (toute copie supplémentaire pouvant être facturée à un tarif raisonnable basé sur les coûts administratifs).
La personne concernée disposant également du droit de rectification des informations inexactes et de complément des informations incomplètes, la procédure correspondante doit également être prévue et formalisée. Il est conseillé dans cette dernière hypothèse d’établir un formulaire de déclaration complémentaire. Dans tous les cas, il convient de garder une preuve de la modification à laquelle il a été procédé.
6 – Appliquer pleinement le droit à l’effacement
Contenu en germe dans la loi informatique et liberté, le droit à l’effacement (« droit à l’oubli ») est pleinement consacré et précisé par le RGPD. La personne concernée a le droit de d’obtenir du RT l’effacement de ses données pour l’un des motifs suivants (concernant les traitements opérés par les Administrations) : les données ne sont plus nécessaires au regard des finalités du traitement, elles ont fait l’objet d’un traitement illicite, elles doivent être effacées pour respecter une obligation légale. Un autre motif peut être invoqué, qui consiste dans l’exercice du droit d’opposition au traitement. Encore convient-il cependant que ce droit soit invocable.
Si les données de la personne concernée ont été transmises à d’autres entités, le mécanisme du « droit à l’oubli » s’enclenche : le RT devra prendre toutes les mesures raisonnables pour informer les autres entités que la personne concernée a demandé l’effacement de tout lien vers ses données personnelles, ou de toute copie ou reproduction de celles-ci.
7 – Connaître le champ d’application du droit d’opposition
Le droit d’opposition consiste pour la personne concernée à pouvoir s’opposer à tout moment, à un traitement des données à caractère personnel la concernant. Il entraîne, en principe, l’obligation pour le RT de stopper le traitement des données à caractère personnel concernées, sauf à démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
Les collectivités territoriales sont concernées par l’exercice du droit d’opposition en tant qu’il s’applique aux traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le RT. Il ne recouvre en revanche pas les traitements nécessaires au respect d’une obligation légale à laquelle l’administration pourrait être soumise.
Ce droit doit être notifié au plus tard au moment de la première communication avec la personne concernée et doit être présenté clairement et séparément de toute autre information.
Yvon GOUTAL – avocat associé
Elisa CORAZZA – avocat directeur