Règlement pour la protection des données personnelles applicable à compter du 25 mai 2018

Publié le 23/02/2018

La nouvelle réglementation sur la protection des données concerne toutes les collectivités locales quelle que soit leur taille, au même titre que les acteurs économiques et les associations. Elle entrera en vigueur à partir du 25 mai 2018. 
Le règlement pour la protection des données personnelles (RGPD) transforme l'obligation de moyens de la législation actuelle en une obligation de résultats et renforce considérablement les sanctions encourues.
Cette nouvelle législation complète la loi informatique et liberté de 1978 et la loi république numérique (LRP) et crée de nouveaux droits et obligations :

  • toute entité traitant des données de citoyens européens est concernée par le RGPD ;
  • la notion de données personnelles est appréciée au sens large et intègre les données nominatives (noms, prénoms, adresse...) comme celles qui permettent une identification indirecte, comme la géolocalisation ;
  • la majorité numérique est prévue à l'âge de 15 ans, âge à partir duquel un mineur peut consentir seul à un traitement de données à caractère personnel.

Le RGPD instaure un contrôle a posteriori du régulateur, la CNIL, dont les acteurs sont responsables. La plupart des formalités déclaratives auprès de la CNIL sont supprimées à l'exception de certains traitements, comme la biométrie. 
L'application du RGPD impose une nouvelle organisation des administrations et la nomination, obligatoire pour les collectivités, d'un délégué à la protection des données personnelles (DPD).

Le RGPD suppose d'anticiper les enjeux de protection des données personnelles en amont des projets informatiques via une étude d'impact. En cas de contrôle, les collectivités devront être en mesure de prouver qu'elles ont engagé les mesures assurant leur conformité au RGPD et qu'elles tiennent à jour un registre des traitements.

En cas de manquement, les sanctions encourues sont plus élevées faisant passer de 3 millions d'euros l'amende maximale (LRP), à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour une entreprise. 

Il oblige aussi à déclarer à la CNIL tout piratage de données personnelles dans les 72 heures après constatation des faits.

Pour se préparer à l'échéance, la CNIL recommande de lancer en priorité une cartographie des traitements existants afin de prioriser les actions à engager en y associant les agents, les élus comme les fournisseurs des collectivités.

Le rapprochement de l'échéance du RGPD a suscité la multiplication des offres de services parmi lesquelles un certain nombre d'arnaques. La CNIL invite à la plus grande vigilance sur les appels de sociétés revendiquant un label CNIL (inexistant) et proposant une conformité RGPD clé en main. 
La commission invite les collectivités à consulter son site internet qui propose de nombreuses ressources pratiques, dont un guide de conformité en six étapes.

Pour rappel

e-Collectivités Vendée accompagne les collectivités adhérentes qui le souhaitent dans la mise en œuvre de ce règlement en leur proposant un délégué à la protection des données mutualisé. Pour plus de renseignements, vous pouvez contacter Pierre SYLVESTRE, responsable du pôle Conseil et innovation, au 02.53.33.02.71.