RGPD et collectivités territoriales : la fin de l’impunité
Les collectivités territoriales doivent toutes respecter le RGPD.
Ce 31 mai 2022, la CNIL a rendu publique sa décision de mettre en demeure 22 communes de désigner un délégué à la protection des données (DPO pour data protection officer en anglais)[1].
C’est un événement à double titre : non seulement des communes sans DPO sont mises à l’index mais, en outre, la CNIL a choisi de communiquer sur ces mises en demeure[2].
Il s’agit notamment pour la CNIL « d’alerter l’ensemble des acteurs publics sur l’obligation légale de désigner un délégué à la protection des données et l’importance de ses fonctions dans le déploiement de projets dès leur conception et la mise en œuvre des opérations de traitements »[3].
La CNIL insiste sur le fait qu’un DPO doit être désigné par chaque collectivité territoriale, quelle que soit sa taille, afin de veiller au respect du Règlement général sur la protection des données (RGPD)[4].
Mais si cette désignation est indispensable, elle ne saurait être suffisante et n’est qu’une première étape, chaque collectivité devant assurer une protection effective des données en sa possession.
Or, force est de constater que cette protection des données est largement insuffisante chez l’ensemble des pouvoirs publics[5].
Outre un engagement de leur responsabilité par des particuliers s’estimant victimes d’une insuffisante protection[6], les pouvoirs publics s’exposent à des amendes (la CNIL a par exemple condamné la RATP à payer une somme de 400 000 euros[7]) et à des critiques des chambres régionales des comptes (ce qui a déjà été le cas pour la Région Ile-de-France[8]). Compte-tenu du rappel de la CNIL à l’égard de toutes les collectivités territoriales par son communiqué de presse du 31 mai 2022, il serait pour le moins erroné de penser que cela ne concerne que des institutions publiques de grande taille.
De manière générale, alors que les sociétés commerciales se sont globalement pliées aux exigences du RGPD, les collectivités territoriales ont beaucoup de retard alors même qu’elles gèrent beaucoup plus de données personnelles, de surcroît sensibles, que la plupart des entreprises.
C’est tout d’abord le cas en matière de police administrative et plus généralement de sécurité. Les nouveaux usages en la matière occasionnent en effet une importante collecte de données : lecture automatique des plaques d’immatriculation pour la police du stationnement, surveillance des voies et places publiques par vidéo-surveillance, utilisation de caméras mobiles par les forces de l’ordre, voire recours à la reconnaissance faciale. Mais les procédés les plus traditionnels posent eux-aussi des difficultés. Par exemple, quelles utilisations est-il fait des données contenues dans les comptes rendus d’intervention de la police municipale ? Qui peut-il y accéder ?
La gestion des services publics est également un domaine crucial en la matière. Il suffit de penser aux données issues de la gestion de l’état civil, des inscrits aux crèches, écoles et restaurants scolaires ou encore aux activités sportives. Quant aux données collectées dans le cadre de l’instruction des autorisations d’urbanisme ou de la gestion des ordures ménagères (notamment lors de la mise en place de la redevance incitative), qu’en faîtes-vous ? Sont-elles suffisamment protégées ?
La question se pose également, avec évidence, pour les données de l’ensemble des agents publics mais aussi des élus et des collaborateurs occasionnels du service public. Combien de temps les gardez-vous, sur quels supports et qui est susceptible d’en prendre connaissance ?
Des interrogations existent aussi à propos des marchés et concessions publics comme de la gestion du domaine public : que faites-vous des renseignements collectés lors de la passation des contrats ou lors de l’exécution de ces derniers ? Savez-vous qui, de votre cocontractant ou de vous-même, en est responsable ?
Et les réclamations des usagers, êtes-vous certains de pouvoir les stocker comme vous le faites ?
Ce ne sont là que des exemples mais ils permettent de comprendre que, bien souvent, toutes ces données cumulées (collectées pour des besoins différents et à des occasions diverses) peuvent permettre d’avoir un profil très précis des administrés. De la sorte, il est possible pour une personne publique d’en savoir plus sur eux que n’importe quelle autre personne, au détriment de leurs libertés et de la protection de la vie privée due à chacun.
L’enjeu est donc de taille et la CNIL vient donc d’indiquer clairement que le respect du RGPD par les collectivités territoriales ne sauraient être repoussé plus longtemps.
C’est pourquoi ADAES Avocats, expert des problématiques publiques, et LIGHTEEN, expert des questions numériques, interviennent dans le cadre de leur partenariat, au soutien des collectivités territoriales pour la désignation d’un DPO mais aussi pour s’assurer du parfait respect du RGPD.
[1] https://www.cnil.fr/fr/la-cnil-met-en-demeure-vingt-deux-communes-de-designer-un-delegue-la-protection-des-donnees
[2] C’est par une délibération MEDP-2022-001 du 5 mai 2022 que la CNIL a décidé de donner de rendre publique ces mises en demeure : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045834386?isSuggest=true
[3] Délibération MEDP-2022-001 du 5 mai 2022 précitée
[4] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?from=FR&uri=CELEX:32016R0679
[5] Le Monde a consacré un article à ce sujet en décembre 2021 et a mis en avant de nombreuses failles : https://www.lemonde.fr/societe/article/2021/12/26/les-failles-de-la-protection-des-donnees-des-francais-par-les-pouvoirs-publics_6107313_3224.html
[6] Ce qui est loin d’être une simple vue de l’esprit, 30 % des collectivités territoriales ayant déclaré avoir été victime d’une cyberattaque en 2019 : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/menaces-reflexes-essentiels-securite-numerique-collectivites
[7] https://www.cnil.fr/fr/fichiers-devaluation-des-agents-sanction-de-400-000-euros-lencontre-de-la-ratp