Le RGPD impose au responsable de traitement de tenir un registre listant les traitements de données. Il permet d’avoir une vision claire et globale des activités de la collectivité qui nécessitent la collecte et le traitement de données personnelles.
La tenue du registre est l’occasion de sensibiliser les services aux enjeux de la protection des données. Dans les faits, ce registre est souvent tenu par le délégué à la protection des données (DPO).
Dans le registre, la collectivité peut créer une fiche par activité recensée, en précisant :
• le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données (DPO) ;
• le ou les objectifs poursuivis par chaque traitement [finalité(s) du traitement (exemple : tenue de l’état civil)] ;
• les catégories de personnes concernées et de données utilisées (par exemple : nom, nationalité, adresse, etc.) ;
• qui a accès aux données (personnes habilitées – exemple : service des ressources humaines pour la paie) et à qui elles seront communiquées (les destinataires – exemple : les services des impôts) ;
• les durées de conservation de ces données (durée d’utilité et durée de conservation en archive) ;
• les mesures de sécurité envisagées (exemple : politique des mots de passe, etc.) ;
• le cas échéant, les transferts de données à caractère personnel en dehors de l’Union européenne ou à une organisation internationale.
Pour avoir un registre exhaustif et à jour, il est nécessaire d’être en contact régulier avec toutes les personnes de la collectivité susceptibles de traiter des données personnelles.
Chaque fiche du registre permet de vérifier les grands principes de la protection des données :
• les données traitées sont bien pertinentes et nécessaires à l’objectif poursuivi (principes de proportionnalité, de pertinence et de minimisation). Exemple : lors d’une inscription scolaire, il est légitime de demander un livret de famille, un justificatif de domicile et un document attestant que l’enfant a reçu les vaccinations obligatoires. Il n’est pas pertinent de demander le numéro de Sécurité sociale ou copie de la carte vitale du ou des représentants légaux ;
• la nature des données traitées afin d’adopter des mesures de sécurité adaptées aux risques spécifiques associés aux données (principe de sécurité). Exemple : les données relatives à un projet d’accueil individualisé d’un élève sont sensibles et doivent faire l’objet de mesures de protection particulières ;
• seuls les agents habilités ont accès aux données dont ils ont besoin (principe de confidentialité). Exemple : l’accès aux informations nécessaires à l’instruction des demandes d’actes d’état civil doit être limité aux seuls agents chargés de cette activité ;
• les données ne sont pas conservées au-delà de ce qui est nécessaire en fixant précisément la durée de conservation et d’archivage des données (principe de durée limitée de conservation des données).
Le nombre toujours croissant de plaintes reçues par la Commission nationale de l’informatique et des libertés (CNIL) témoigne de la sensibilité accrue des personnes concernant la protection de leurs données personnelles.
• Informer les personnes dont la collectivité traite les données
Chaque fois que des données personnelles sont recueillies, que ce soit sur un formulaire, par l’intermédiaire d’un téléservice ou par oral, la collectivité doit informer en toute transparence les personnes concernées des conditions d’utilisation de leurs données et de leurs droits, en particulier :
– ses coordonnées (le nom et les coordonnées du responsable du traitement) ;
– pourquoi elle collecte ces données (l’objectif de la collecte des données, par exemple pour gérer l’état civil) ;
– ce qui l’autorise à traiter ces données (l’exécution d’une mission de service public, le consentement de la personne concernée...) ;
– qui a accès aux données (les services internes compétents, un prestataire...) ;
– combien de temps la collectivité conserve les données (la durée de conservation) ;
– comment les personnes peuvent exercer leurs droits (via leur espace personnel ou par un message adressé au DPO) ;
– si la collectivité transfère les données hors de l’Union européenne.
• Organiser et faciliter l’exercice des droits des administrés et des agents
Les personnes (agents, administrés, prestataires...) ont des droits sur leurs données. La collectivité doit leur permettre d’exercer effectivement et le plus simplement possible leurs droits :
– droit d’accès : la personne accède à toutes les informations détenues sur elle ;
– droit de rectification : la personne modifie des informations détenues sur elle ;
– droit d’opposition : la personne refuse l’utilisation des informations détenues sur elle ;
– droit d’effacement : la personne demande la suppression des informations détenues sur elle ;
– droit à la portabilité : la personne récupère, dans un format ouvert et lisible par machine, les informations détenues sur elle ;
– droit à la limitation : la personne demande à «geler » l’utilisation des informations détenues sur elle.
Ces droits comprennent chacun des exceptions et des limitations spécifiques, en fonction de la base légale du traitement ou de son contexte. Par exemple, le droit d’opposition ne s’applique pas aux traitements dont la base légale est le respect d’une obligation légale (fichiers d’état civil ou fiscal).
Bonne pratique : si la collectivité dispose d’un site web, elle peut prévoir un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si elle propose un compte en ligne, elle peut donner aux administrés la possibilité d’exercer leurs droits à partir de leur compte. Elle peut mettre en place, via le DPO, un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (un mois maximum).
En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérence avec les risques pour les droits et libertés des personnes concernées (exemple : usurpation d’identité).
Trois types de risques sont ainsi à considérer : l’accès illégitime à des données, leur modification non désirée et leur disparition. Ces risques ne sont pas théoriques. Tous les jours, la CNIL reçoit des notifications de violation de données qui témoignent des faiblesses de la sécurisation de nombreux systèmes d’information (lire ci-contre). Ces incidents peuvent avoir des conséquences très préjudiciables pour les personnes dont les données sont concernées et des répercussions réputationnelles très importantes pour les organismes.
Bonne pratique : les agents disposent d’un identifiant propre avec un mot de passe personnel, complexe, et régulièrement mis à jour. Leurs accès aux fichiers sont définis en fonction de leurs besoins réels en lien avec l’exercice de leur mission et leurs comptes informatiques sont clos à la fin de leur contrat. Les armoires sont fermées à clé. Les mots de passe sont changés régulièrement et ils sont suffisamment complexes.
La collectivité peut également effectuer les vérifications suivantes :
– les accès aux locaux sont-ils sécurisés ?
– les armoires et coffre-fort sont-ils fermés à clé systématiquement ?
– les comptes utilisateurs sont-ils protégés par des mots de passe d’une complexité suffisante ?
– sont-ils clos à la fin des contrats des agents ?
– des profils distincts sont-ils prévus selon les besoins des utilisateurs pour accéder aux données ?
– les postes de travail sont-ils sécurisés (exemple : verrouillage automatique de session, antivirus et logiciels à jour) ?
– le personnel est-il sensibilisé à la protection de la vie privée ?
– une charte informatique est-elle signée ?
– des mobiles multifonctions (smartphone), ordinateurs portables ou clé USB sont-ils utilisés ?
– leur usage est-il encadré ?
– des procédures de sauvegardes régulières et de récupération des données en cas d’incident sont-elles mises en place ?
Lire aussi :