La mise en application du RGPD au sein des établissements publics
Appliqué à l’ensemble des pays de l’Union Européenne, le RGPD concerne tous les établissements publics, qu’il s’agisse de la gestion des services publics ou de la gestion interne propre à chacune.
Avec un retard constaté dans la mise en conformité des établissements publics, leur priorité est d’accélérer leurs démarches RGPD afin d’assurer la protection des données personnelles traitées.
En 2021, la CNIL a accéléré les sanctions RGPD infligées au secteur public, l’une des plus marquantes étant la mise en demeure marquante du ministère de l’Intérieur pour défaut de base légale.
Collectivités territoriales : pourquoi devez-vous vous mettre en conformité au RGPD ?
Parmi les organisations publiques, les collectivités territoriales arrivent en première ligne de mire.
Les collectivités territoriales collectent et gèrent des milliers de données personnelles, qu’il s’agisse de celles des citoyens, des administrés, des élus locaux.
Reconnaissance faciale, vidéosurveillance… Bien que les acteurs du territoire s’appuient sur les données collectées pour porter des décisions politiques, les collectivités font face aux problématiques liées à l’innovation et à l’accélération des nouvelles technologies. Elles doivent ainsi redoubler d’efforts pour sécuriser et protéger l’usage des données personnelles associant numérique et projets locaux.
Big data, villes du futur, villes connectées… Avec l’engouement des smart cities, les data collectées sont utilisées par les collectivités pour comprendre les comportements et usages des habitants des communes. Les villes et agglomérations engagées dans la smart city doivent, en parallèle, avoir conscience des enjeux liés à la collecte de données variés et, dans certains cas, à leur caractère personnel.
Tandis que certaines communes testent les systèmes de votes électroniques pour les élections, d’autres mairies se contentent de lancer ou d’améliorer les sites internet qui permettent aux citoyens de mener leurs démarches administratives comme les demandes d’actes d’état civil, d’inscription sur les listes électorales, les documents administratifs.
Quelle que soit la stratégie politique de la commune, de l’agglomération ou du département, les données personnelles sont variées et de plus en plus en nombreuses. Bien que le RGPD soit avant tout une loi à respecter, les collectivités territoriales devraient percevoir la mise en conformité RGPD comme un devoir citoyen.
Comment vous lancer dans la mise en conformité de votre collectivité territoriale ?
Désigner un DPO
Nommer un DPO est l’une des premières obligations pour les collectivités territoriales.
Souvent en charge de la conformité de plusieurs collectivités, le Data Protection Officer est un professionnel expert de la protection des données personnelles des organisations publiques. Il saura aisément mettre en place une stratégie de conformité adaptée à votre commune ou département et vous partager les bonnes pratiques.
Mettre en place un registre de traitements
Toutes les organisations publiques tiennent un registre qui cartographie tous les traitements. Dans ce registre, la collectivité territoriale devra recenser tous les traitements de données personnelles concernés : piscines, EPAHD, crèches, bailleurs sociaux, établissements scolaires, services de polices, etc. Pour remplir les traitements en quelques clics, le logiciel RGPD Data Legal Drive met à disposition plus de 120 traitements déjà pré-paramétrés pour les collectivités territoriales.
Chaque traitement de la collectivité devra être précisé grâce à l’ajout d’informations complémentaires et de documentations : quel type de donnée, quelles durées de conservation, quelles finalités, quelles mesures de sécurité, quelles personnes ou services concernés.
Afin d’être guidé dans ces étapes et de faciliter les démarches, un logiciel de conformité RGPD permet de gagner du temps tout en garantissant l’édition d’un registre complet et facilement mis à jour. En cas de contrôle de la CNIL, il suffira ainsi d’exporter la documentation justifiant la conformité de la collectivité territoriale.
Gérer les relations avec les sous-traitants
Hébergeur de données, société informatique, toutes les collectivités territoriales entretiennent des prestations avec des fournisseurs de services et partenaires externes. En tant que collectivité territoriale, vous avez – au sein du RGPD – le rôle de responsable de traitement (RT). Dans ce contexte, la collectivité territoriale a des obligations à intégrer dans les contrats passés avec ses sous-traitants :
- Préciser les rôles et responsabilités de chaque partie
- Définir les obligations du sous-traitant
- Identifier et sécuriser les transferts de données hors UE
Garantir la confidentialité et la sécurité des données des administrés
Au sein d’une collectivité territoriale, le RGPD est synonyme de sécurité juridique, organisationnelle et technologique.
Les collectivités territoriales ont l’obligation de sécuriser les traitements de leurs données en veillant à ce que leur système informatique soit solide.
Pour cela, chaque collectivité territoriale mène une analyse des risques existants puis élabore et déploie une politique de sécurité informatique en hiérarchisant selon les priorités détectées.
Le Groupement d’Intérêt Public qui accompagne les besoins informatiques des Etablissements publics locaux à caractère administratif, également appelés Centres de Gestion (CDG) – met à disposition des mairies et communautés de communes adhérentes des services informatiques adaptés à leurs besoins. En plus d’apporter des solutions d’hébergement IT, le GIP soutien la mise en conformité RGPD des collectivités territoriales en leur mettant à disposition le logiciel métier de la legaltech Data Legal Drive.
La sécurisation des données personnelles des administrés et usagers permet de limiter les risques de la collectivité territoriale en cas de cyberattaque. A contrario, si des failles informatiques sont décelées, la responsabilité de la collectivité peut alors être engagée. La mise en place d’un plan d’actions dédié à la conformité RGPD permettra à la collectivité de prévenir de certains risques cyber.
De la conception à la conformité globale du RGPD
D’autres principes du RGPD sont également à prendre en compte pour que la collectivité territoriale ait une vision globale de sa stratégie de conformité :
- Le concept d’analyse d’impact, également appelé accountability : la collectivité territoriale doit analyser les risques, les mesurer, les réguler et documenter en justifiant des actions menées et orientations prises
- Le concept de privacy by design, la protection des données dès la conception d’un projet, par exemple en choisissant des prestataires respectant le RGPD, en mettant en place une purge automatique des données, en respectant le principe de minimisation des données lors de leur collecte, etc.
Parfois difficiles à appréhender sans connaissances juridiques approfondies, le DPO est missionné pour conseiller les collectivités dans des démarches comme l’analyse d’impact ou le privacy by design.
Renforcez la confiance des citoyens de votre collectivité grâce au RGPD
Facteur de transparence, le RGPD peut devenir un atout pour une collectivité territoriale, notamment pour établir une relation de confiance avec ses administrés et ses citoyens.
Être « RGPD compliant » c’est apporter une proposition de valeur qui démarque et qui sécurise toutes les parties prenantes de l’écosystème politique et citoyen. Le RGPD est un levier attractif et vecteur de confiance lors de la digitalisation des actions de la collectivité territoriale.
Accélérer la mise en conformité de votre collectivité territoriale grâce à un logiciel RGPD
Plus de 22 000 communes ne respectent pas le RGPD, faute temps et manque de moyens humains, financiers. Au-delà d’être accompagné par un expert en protection des données, s’équiper d’outils facilitant la mise en conformité est l’une des solutions efficace et peu coûteuse. En plus d’utiliser un outil clef en main qui permet de faciliter la gestion de leur registre des traitements, les collectivités territoriales peuvent profiter de la mise à disposition gratuite de documents de référence, de modèles types facilement adaptables à votre collectivité, de bases légales et de ressources fiables afférentes à la fonction publique.
RGPD et collectivités territoriales : Sensibilisez vos agents et administrés
L’une des clefs dans la mise en conformité des collectivités territoriales repose aussi sur la sensibilisation des agents, des citoyens et des administrés. Des modules de sensibilisation et des formations de e-learning dédiés aux collectivités territoriales existent et facilitent ainsi la compréhension des enjeux liés au RGPD.
