Le nouveau Règlement Européen pour le Protection des Données (RGPD) entre en application le 25 mai prochain. Toutes les organisations traitant des informations permettant d’identifier directement ou indirectement des personnes devront désormais apporter la preuve que des dispositions suffisantes ont été prises pour garantir leur confidentialité. Vous devenez responsable de la mise en conformité de votre commune avec ces nouvelles règles.
Votre commune collecte et traite quotidiennement de nombreuses données personnelles, dont certaines sont particulièrement sensibles :En tant que service public de proximité, vous gérez des listes électorales, des fichiers d’état civil, d’action sociale, de scolarisation et de nombreuses autres données liées aux services que vous déployez en direction de vos habitants.En tant qu’employeur, vous disposez de nombreuses informations concernant vos propres agents.En tant que donneur d’ordre, vous vous appuyez sur des associations ou des prestataires, pour lesquels vous devez vous assurer qu’ils garantissent eux aussi la confidentialité des données.Outre le risque juridique et financier auquel votre commune s’expose, la protection de ces données correspond à un enjeu de société grandissant, à l’heure où 85% des Français se disent « préoccupés » par la protection des données personnelles[1].A partir du 25 mai prochain, vous devrez obligatoirement nommer un Délégué à la Protection des Données (DPD) pour votre commune. Il accompagnera votre collectivité dans sa mise en conformité avec les règles du RGPD :
- En réalisant une cartographie des risques,
- en mettant en œuvre les mesures techniques et organisationnelles permettant d’assurer la confidentialité des données,
- et en tenant à jour un registre des traitements permettant d’assurer le suivi de ces mesures.
Il est également possible de recourir à un DPD externalisé et mutualisé entre plusieurs collectivités. Cette option permet de réaliser des économies et de bénéficier d’une meilleure expertise. Elle est particulièrement recommandée pour les petites collectivités.Se mettre en conformité demande du temps. Déjà des collectifs de citoyens s’organisent pour vérifier la conformité des Collectivités et saisir la CNIL le cas échéant. Il est donc important de démarrer dès maintenant cette démarche, ce qui constitue déjà un premier gage de respect du RGPD.
[1] Institut CSA, « Les Français et la protection des données personnelles », sondage réalisé en ligne entre le 28 et le 30 août 2017 auprès d’un panel représentatif de 1002 personnes.
De trop nombreuses Smart City peuvent facilement se transformer en Big Brother. Beaucoup de donneurs d’ordres se laissent charmés par l’innovation, la technologie ou le marketing. Ils oublient que les GAFA ne sont pas les seuls à baser leur business model autour des données personnelles. Et même parmi ceux qui en sont conscients, trop de personnes sous-estiment ce qui peut être fait à partir de données anonymisées. Or la RGPD protégent la propriété intellectuelle de ces données générées par le traitement de données brutes initiales transmises « volontairement » par les « utilisateurs » de la ville. Celui qui les génère en a la propriété et n’a pas à les partager. C’est clairement une source de fantasmes et donc de méfiance pour les citoyens.
Plus que jamais, il est indispensable de mettre en place un système d’éducation. Car en plus du risque dénoncé ci-dessus, il y le fait que la RGPD impose d’informer de l’existence des droits en précisant le type de données concernées. Or, il n’est pas toujours évident de comprendre pourquoi telle ou telle donnée est collectée.