Article publié dans l’hebdomadaire La Gazette des communes du 26 février 2018
Responsables de traitements : Les collectivités territoriales constituent des responsables de traitements de données personnelles au sens du RGPD.
Mise en conformité : A compter du 25 mai 2018, les dispositions du RGPD, qui imposent une protection accrue des données personnelles, entreront en vigueur.
Privacy by design : Les collectivités devront notamment avoir intégré le principe de protection des données dès la conception (Privacy by design).
1 – Comprendre les concepts de privacy by design et by default
Le responsable du traitement est celui qui définit les finalités et moyens du traitement des données à caractère personnel1. Il lui incombe à ce titre, durant la phase de détermination des moyens, de concevoir des outils et règles d’organisation garantissant la protection des données personnelles. C’est le principe de protection des données personnelles dès la conception des traitements ou privacy by design consacré à l’article 25 du RGPD.
Par ailleurs, les moyens mis en œuvre devront garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de la finalité spécifique du traitement seront traitées. Autrement posé, l’utilisateur ne doit pas être obligé d’engager des démarches pour activer sa protection. C’est le principe de privacy by default.
Le RGPD n’édicte cependant pas de prescriptions techniques standards permettant de respecter ces deux principes : le responsable doit être en mesure de démontrer qu’il a
pris les mesures techniques et organisationnelles appropriées à sa situation. Celles-ci dépendent, pour chaque collectivité, de l’importance de ses moyens, et pour chaque traitement, de la sensibilité des données traitées, des finalités poursuivies, et des risques que présente le traitement pour les droits et libertés des personnes physiques. Le RGPD prévoit du reste la possibilité d’instaurer un mécanisme de certification du respect des principes de privacy by design et by default. En France, les labels octroyés par la CNIL, notamment de gouvernance, pourraient remplir cet office.
2 – Anticiper la publication et la réutilisation
Lorsque les collectivités territoriales mettront en place de nouveaux traitements, elles devront tenir compte, le plus en amont possible, des principes clés de la protection des données. Ce qui implique de concevoir des outils, non seulement en fonction des besoins des services utilisateurs, mais également des droits des usagers à l’accès aux documents administratifs et à la réutilisation des informations publiques.
En effet, avant d’être communiqués les documents administratifs doivent être expurgés de tout secret protégé au titre des articles L311-5 et L311-6 du code des relations entre le public et l’administration (secret de la vie privée, secret industriel et commercial, etc…)2. Pour être publiés en ligne, mais également réutilisés, ils doivent en outre ne comporter aucune donnée à caractère personnel, c’est-à-dire permettant l’identification directe ou indirecte de personnes physiques3. Cependant, les administrations ne sont tenues de les communiquer et de les publier que s’il est possible d’occulter ou de disjoindre les mentions non communicables et non publiables4 : la CADA considère qu’un document comportant un très grand nombre de mentions couvertes par un secret et dont l’occultation s’avérerait particulièrement difficile pour l’administration peut être regardé comme non communicable5. Aussi, afin de permettre l’exercice le plus effectif possible des droits de l’ « Open Data », les collectivités devront veiller à ce que leurs outils de traitement permettent de rendre facilement communicables, publiables et réutilisables les documents administratifs et les informations publiques qu’ils contiennent. Elles devront, par exemple, concevoir leurs bases de donnée de sorte que leur partie communicable puisse être facilement extraite par un traitement automatisé d’usage courant.
Attention, les outils préexistants sont également concernés : la CADA exige des responsables de traitements qu’ils engagent avant l’entrée en vigueur du RGPD des démarches de transformation progressive de leurs outils de traitement déjà en place (Ex : avec la base de données NAUSICAA – Avis CADA 20163729 du 15/12/2016).
3 – Appliquer le principe de minimisation
Protéger les données personnelles c’est d’abord en manipuler le moins possible. Cette règle de minimisation des données figure à l’article 5 1 c) du RGPD : seules les données à caractère personnel qui sont strictement nécessaires au regard de chaque finalité spécifique du traitement doivent être traitées.
Il ne s’agit donc plus pour les collectivités d’accumuler et de thésauriser à toutes fins utiles le plus d’informations possibles sur leurs administrés. Le changement de paradigme est important : la collectivité n’est pas propriétaire des données à caractère personnel qu’elle collecte, elle n’en est que la gardienne, pour un temps limité et à une fin déterminée.
La minimisation s’applique à tous les niveaux : quantité de données à caractère personnel collectées, étendue de leur traitement, durée de conservation et accessibilité.
Concrètement, il convient de s’interroger au moment de la mise en place du traitement sur les données véritablement nécessaires pour l’objectif poursuivi, et lui seul, et d’exclure toute collecte superflue. Il est de plus interdit, par principe, de collecter des données sensibles (origines raciales, religion, option politique, santé…)6. Ex : l’adresse et le numéro de téléphone des parents sont nécessaires pour l’inscription d’un enfant dans un établissement scolaire, au contraire de leurs numéros de sécurité sociale et a fortiori de leur confession religieuse. Afin d’éviter toute collecte de données inutile, on évitera au maximum les zones de texte libre dans les logiciels de traitement, de type « commentaire » ou « bloc note », et on favorisera les menus déroulants ou les cases à cocher.
La minimisation impose également de déterminer en amont la durée de conservation nécessaire à la réalisation de l’objectif poursuivi. Il n’est pas utile, par exemple, de conserver le curriculum vitae d’un candidat pour un stage pendant plusieurs années.
Il convient enfin de faire en sorte que, par défaut, les données à caractère personnel ne soient pas rendues accessibles à un nombre de personnes physiques supérieur à celui strictement nécessaire (Ex : dossiers RH des agents de la collectivité).
4 – Pseudonymiser
Au nombre des mesures techniques et organisationnelles appropriées, destinées à mettre en oeuvre les principes relatifs à la protection des données, figure la pseudonymisation7. Ce processus consiste à remplacer des informations (identifiants ou données à caractère personnel) par un pseudonyme, de telle façon qu’elles ne puissent plus être attribuées à la personne concernée sans avoir recours à des informations supplémentaires, conservées séparément. Le terme d’anonymisation est réservé aux opérations irréversibles. On utilise le terme de pseudonymisation lorsque l’opération est réversible. Il faut garder à l’esprit que la seule pseudonymisation ne permet pas de sortir du champ d’application du RGPD, contrairement à l’anonymisation.
Le RGPD recommande de mettre en œuvre cette mesure dès que possible, soit dès lors que l’exploitation des données sous une forme identifiante n’apparaît pas nécessaire à la réalisation de la finalité poursuivie.
Exemple de pseudonymisation selon la CNIL : « Une pseudonymisation limitant efficacement le risque de ré-identification directe peut par exemple être effectuée en générant une clé secrète longue et difficile à mémoriser (une combinaison de caractères aléatoires), puis en appliquant une fonction dite à sens unique sur les données (par exemple, un algorithme de hachage à clé secrète tel HMAC). »8
5 – Etre exigeant avec ses sous-traitants
Dans l’idéal, les collectivités créeraient seules les outils de traitement adaptés à leurs besoins et conformes au RGPD, et les utiliseraient en autonomie. Ce qui éviterait de
confier des données à caractère personnel à des tiers. Dans la réalité cependant, rares sont les collectivités territoriales qui créent elles-mêmes les outils de traitement de données personnelles. Elles sont même nombreuses à confier des traitements à des prestataires extérieurs : intégrateurs ou éditeurs de logiciels (ex : utilisation d’Outlook comme progiciel de traitement des emails), entreprises de SSI (sécurité des systèmes informatiques) et autres prestataires de services informatiques (hébergement, maintenance, …).
Dans ce cas, en tant que responsables du traitement, elles ont l’obligation de s’assurer que leurs sous-traitants offrent les garanties nécessaires pour mettre en œuvre un traitement conformément aux exigences du règlement européen. Le RGPD recommande à cet égard de prendre en considération les principes de protection des données dès la conception et de protection des données par défaut dans le cadre des marchés publics9.
Qu’une procédure de marché soit ou non nécessaire, il convient dans tous les cas de choisir avec soin ses prestataires et pour ce faire d’être notamment attentifs à leur méthodologie et leurs systèmes de sécurité. Un label du CNIL, de type gouvernance des données, peut déjà constituer un indice de sérieux : il garantit que le sous-traitant respecte le RGPD dans le cadre des traitements qu’il met en oeuvre pour son propre compte.
Il est ensuite nécessaire d’introduire dans les contrats de sous-traitance des clauses garantissant le respect du RGPD. Dans l’hypothèse, fréquente, où la collectivité emploie un progiciel (à bas coût, voire gratuit), et ne peut négocier son contrat, il lui est recommandé, pour limiter les risques, d’écrire à l’éditeur pour le mettre en demeure de se mettre en conformité avec le RGPD et de conserver cette preuve.
Yvon GOUTAL – avocat associé
Elisa CORAZZA – avocat directeur