- Le règlement européen général sur la protection des données personnelles
Le présent règlement, qui protège les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractère personnel, s’applique à tout responsable du traitement qui est une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données.
L’enjeu pour les collectivités est essentiellement directement lié au développement de l’e-administration par les téléservices, l’open-data, les systèmes d’information géographique, les compteurs intelligents, les réseaux sociaux ou la lecture automatique de plaques d’immatriculation… Les collectivités doivent s’interroger sur les personnes pouvant accéder à un fichier, la durée de conservation des fichiers, l’utilisation d’un fichier à des fins autres que celles prévues initialement et à la pertinence des informations contenues dans les fichiers, mais aussi à la protection des fichiers des cyberattaques de plus en plus nombreuses. L’enjeu se situe également pour les fichiers de ressources humaines, la sécurisation de leurs locaux, le contrôle d’accès par badge, la vidéosurveillance ou la gestion des différents services publics et activités dont elles ont la charge.
Ainsi, un maire ne pourra pas se servir du fichier des inscriptions scolaires pour réaliser de la communication politique. La liste électorale pourra en revanche être utilisée à une telle fin. Seule la mention « personne en fauteuil roulant » doit être enregistrée si la précision du handicap n’est pas nécessaire pour assurer une prise en charge adéquate de l’intéressé ou les agents doivent disposer d’un mot de passe individuel régulièrement changé et leurs droits d’accès aux fichiers sont définis en fonction de leurs besoins réels en lien avec l’exercice de leur mission.
- Les droits des personnes physiques relatifs aux données personnelles
Le RGPD affirme huit droits constituant les outils à disposition des citoyens pour protéger leurs données personnelles.
Le premier d’entre eux est le droit d’accès de la personne concernée aux données à caractère personnel détenues, ainsi que les informations relatives à la finalité du traitement, aux catégories des données personnelles, la durée de conservation définie des données à caractère personnel et les destinations auxquelles les données ont été ou seront communiquées.
Le deuxième droit tient dans la possibilité de demander la rectification ou l’effacement de données personnelles au responsable du traitement.
Chaque personne physique a aussi le droit à l’effacement des données personnelles dit « droit à l’oubli » notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. La personne concernée peut ainsi retirer le consentement ou s’opposer au traitement.
Le quatrième droit tient dans la possibilité de demander la limitation du traitement des données personnelles qui ne peuvent être traitées qu’avec le consentement de la personne concernée.
La RGPD crée également le droit à la notification de la rectification ou de l’effacement des données à caractère personnel ainsi que le droit à la portabilité des données à caractère personnel par le responsable du traitement dans un format structuré couramment utilisé et lisible par une machine et le droit de les transmettre à un autre responsable de traitement.
Le septième droit est celui du droit d’opposition à tout moment pour des raisons tenant à sa situation particulière à un traitement des données à caractère personnel y compris un profilage.
Le dernier droit tient dans la possibilité de demander à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques le concernant. Cela implique que la personne concernée a le droit d’obtenir une intervention humaine.
- Les obligations relatives au traitement des données à caractère personnel
Les obligations se fondent sur des principes qui doivent guider les responsables de traitement de données personnelles dans son action. Le premier principe rappelle que les données doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Cela implique que la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. Ainsi, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.
Néanmoins, les données pourront être traitées sans le consentement si elles remplissent les conditions du principe de finalité, qui implique que les données sont collectées dans un but déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial comme notamment l’objectif nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Le règlement prévoit d’autres objectifs comme celui nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, l’objectif nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, l’objectif nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou l’objectif nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement.
Dans toutes ces hypothèses, le responsable de traitement devra informer la personne physique que son contentement n’est pas requis pour l’un des fondements sus-évoqués. Le principe de pertinence implique que seules les données strictement nécessaires à la réalisation de l’objectif poursuivi doivent être collectées. Le RGDP affirme aussi un principe de durée limitée de conservation des données personnelles au seul temps nécessaire à la réalisation de l’objectif poursuivi et doivent au-delà de cette durée être détruites, anonymisées ou archivées. Le dernier principe est celui de la sécurité de traitement de la collectivité qui doit prendre toutes les mesures utiles pour garantir l’intégrité et la confidentialité de ces données en s’assurant que les tiers non autorisés n’y auront accès.
Le responsable de traitement de données peut également avoir une obligation de réaliser une étude d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Elle est particulièrement requise en cas d’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, le traitement à grande échelle des catégories particulières de données (racial, éthique, opinions politiques, convictions religieuses, philosophiques, syndicales, génétiques, biométriques) et en cas de surveillance systématique à grande échelle d’une zone accessible au public. L’analyse contient au moins une description systématique des opérations de traitement envisagées et des finalités du traitement, une évaluation de la nécessité et la proportionnalité des opérations de traitement au regard des finalités, et une évolution des risques pour les droits et libertés des personnes, ainsi que les mesures envisagées pour faire face aux risques.
En cas de risque élevé, le responsable du traitement saisit l’autorité de contrôle pour avis afin de vérifier, si le règlement communautaire est bien respecté.
Chaque responsable du traitement devra tenir un registre des activités de traitement effectuées sous leur responsabilité comportant notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquelles les données à caractère personnel ont été ou seront communiquées les délais prévus pour l’effacement des différentes catégories de données et une description générale des mesures de sécurité techniques et organisationnelles.
A compter du 25 mai 2018, les collectivités territoriales devront désigner un délégué à la protection des données qui aura pour mission :
– d’informer et de conseiller le responsable de traitement de la collectivité,
– de diffuser une culture informatique et libertés au sein de la collectivité,
– de contrôler le respect du règlement et du droit national en matière de protection des données,
– de conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution,
– de coopérer avec la CNIL et d’être le point de contact de celle-ci.
Ce délégué devra disposer d’un niveau d’expertise et de moyens suffisants pour exercer son rôle de façon efficace notamment sur les droits et pratiques en matière de protection des données, être associé aux questions Informatique et libertés et bénéficier de ressources et formations nécessaires pour mener à bien ses missions. Ce délégué peut être mutualisé entre plusieurs structures de mutualisation informatique ou au sein des EPCI.
L’article 32 du RGPD prévoit également une obligation de sécurisation des données en rappelant que le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque comme le chiffrement des données à caractère personnel, les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité des données, les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique et une procédure visant à tester. Il devra aussi analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. L’objectif est de se prémunir contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises.
Le responsable de traitement peut faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Les autorités de protection peuvent notamment :
– Prononcer un avertissement ;
– Mettre en demeure l’entreprise ;
– Limiter temporairement ou définitivement un traitement ;
– Suspendre les flux de données ;
– Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
– Ordonner la rectification, la limitation ou l’effacement des données.