Le magazine des maires et présidents d'intercommunalité
Maires de France

Juridique
03/06/2024 MAI 2024 - n°423
Numérique, réseaux sociaux

Protection des données : comment assurer votre conformité ?

Les traitements de données que les collectivités mettent en œuvre sont encadrés par le règlement général sur la protection des données de 2018 et par la loi informatique et libertés.

Par la Commission nationale de l'informatique et des libertés (CNIL)
© AdobeStock
La mise en conformité au règlement général sur la protection des données (RGPD) ne doit pas être perçue comme une contrainte technique ou juridique. C’est avant tout l’occasion de faire le point sur l’utilisation des services numériques dans la collectivité et de s’assurer que la protection des données personnelles a bien été prise en compte. Elle passe par plusieurs étapes successives et certaines de ces actions doivent perdurer dans le temps pour être efficaces (formation, évolution des procédures...). Il s’agit d’une démarche active et en continu.


I - Recenser les traitements

Le RGPD impose au responsable de traitement de tenir un registre listant les traitements de données. Il permet d’avoir une vision claire et globale des activités de la collectivité qui nécessitent la collecte et le traitement de données personnelles.
La tenue du registre est l’occasion de sensibiliser les services aux enjeux de la protection des données. Dans les faits, ce registre est souvent tenu par le délégué à la protection des données (DPO).

Dans le registre, la collectivité peut créer une fiche par activité recensée, en précisant :
le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données (DPO) ;
le ou les objectifs poursuivis par chaque traitement [finalité(s) du traitement (exemple : tenue de l’état civil)] ;
les catégories de personnes concernées et de données utilisées (par exemple : nom, nationalité, adresse, etc.) ;
qui a accès aux données (personnes habilitées – exemple : service des ressources humaines pour la paie) et à qui elles seront communiquées (les destinataires –  exemple : les services des impôts) ;
les durées de conservation de ces données (durée d’utilité et durée de conservation en archive) ;
les mesures de sécurité envisagées (exemple : politique des mots de passe, etc.) ;
• le cas échéant, les transferts de données à caractère personnel en dehors de l’Union européenne ou à une organisation internationale.

Pour avoir un registre exhaustif et à jour, il est nécessaire d’être en contact régulier avec toutes les personnes de la collectivité susceptibles de traiter des données personnelles.


II - Trier les données

Chaque fiche du registre permet de vérifier les grands principes de la protection des données :

• les données traitées sont bien pertinentes et nécessaires à l’objectif poursuivi (principes de proportionnalité, de pertinence et de minimisation). Exemple : lors d’une inscription scolaire, il est légitime de demander un livret de famille, un justificatif de domicile et un document attestant que l’enfant a reçu les vaccinations obligatoires. Il n’est pas pertinent de demander le numéro de Sécurité sociale ou copie de la carte vitale du ou des représentants légaux ;
• la nature des données traitées afin d’adopter des mesures de sécurité adaptées aux risques spécifiques associés aux données (principe de sécurité). Exemple : les données relatives à un projet d’accueil individualisé d’un élève sont sensibles et doivent faire l’objet de mesures de protection particulières ;
• seuls les agents habilités ont accès aux données dont ils ont besoin (principe de confidentialité). Exemple : l’accès aux informations nécessaires à l’instruction des demandes d’actes d’état civil doit être limité aux seuls agents chargés de cette activité ;
• les données ne sont pas conservées au-delà de ce qui est nécessaire en fixant précisément la durée de conservation et d’archivage des données (principe de durée limitée de conservation des données).


III - Respecter les droits des administrés

Le nombre toujours croissant de plaintes reçues par la Commission nationale de l’informatique et des libertés (CNIL) témoigne de la sensibilité accrue des personnes concernant la protection de leurs données personnelles.

Informer les personnes dont la collectivité traite les données
Chaque fois que des données personnelles sont recueillies, que ce soit sur un formulaire, par l’intermédiaire d’un téléservice ou par oral, la collectivité doit informer en toute transparence les personnes concernées des conditions d’utilisation de leurs données et de leurs droits, en particulier :
– ses coordonnées (le nom et les coordonnées du responsable du traitement) ;
– pourquoi elle collecte ces données (l’objectif de la collecte des données, par exemple pour gérer l’état civil) ;
– ce qui l’autorise à traiter ces données (l’exécution d’une mission de service public, le consentement de la personne concernée...) ;
– qui a accès aux données (les services internes compétents, un prestataire...) ;
– combien de temps la collectivité conserve les données (la durée de conservation) ;
– comment les personnes peuvent exercer leurs droits (via leur espace personnel ou par un message adressé au DPO) ;
– si la collectivité transfère les données hors de l’Union européenne.

Organiser et faciliter l’exercice des droits des administrés et des agents
Les personnes (agents, administrés, prestataires...) ont des droits sur leurs données. La collectivité doit leur permettre d’exercer effectivement et le plus simplement possible leurs droits :
– droit d’accès : la personne accède à toutes les informations détenues sur elle ;
– droit de rectification : la personne modifie des informations détenues sur elle ;
– droit d’opposition : la personne refuse l’utilisation des informations détenues sur elle ;
– droit d’effacement : la personne demande la suppression des informations détenues sur elle ;
– droit à la portabilité : la personne récupère, dans un format ouvert et lisible par machine, les informations détenues sur elle ;
– droit à la limitation : la personne demande à «geler » l’utilisation des informations détenues sur elle.

Ces droits comprennent chacun des exceptions et des limitations spécifiques, en fonction de la base légale du traitement ou de son contexte. Par exemple, le droit d’opposition ne s’applique pas aux traitements dont la base légale est le respect d’une obligation légale (fichiers d’état civil ou fiscal).

Bonne pratique : si la collectivité dispose d’un site web, elle peut prévoir un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si elle propose un compte en ligne, elle peut donner aux administrés la possibilité d’exercer leurs droits à partir de leur compte. Elle peut mettre en place, via le DPO, un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (un mois maximum).


IV - Sécuriser les données

En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérence avec les risques pour les droits et libertés des personnes concernées (exemple : usurpation d’identité).
Trois types de risques sont ainsi à considérer : l’accès illégitime à des données, leur modification non désirée et leur disparition. Ces risques ne sont pas théoriques. Tous les jours, la CNIL reçoit des notifications de violation de données qui témoignent des faiblesses de la sécurisation de nombreux systèmes d’information (lire ci-contre). Ces incidents peuvent avoir des conséquences très préjudiciables pour les personnes dont les données sont concernées et des répercussions réputationnelles très importantes pour les organismes.

Bonne pratique : les agents disposent d’un identifiant propre avec un mot de passe personnel, complexe, et régulièrement mis à jour. Leurs accès aux fichiers sont définis en fonction de leurs besoins réels en lien avec l’exercice de leur mission et leurs comptes informatiques sont clos à la fin de leur contrat. Les armoires sont fermées à clé. Les mots de passe sont changés régulièrement et ils sont suffisamment complexes.

La collectivité peut également effectuer les vérifications suivantes :
– les accès aux locaux sont-ils sécurisés ?
– les armoires et coffre-fort sont-ils fermés à clé systématiquement ?
– les comptes utilisateurs sont-ils protégés par des mots de passe d’une complexité suffisante ?
– sont-ils clos à la fin des contrats des agents ?
– des profils distincts sont-ils prévus selon les besoins des utilisateurs pour accéder aux données ?
– les postes de travail sont-ils sécurisés (exemple : verrouillage automatique de session, antivirus et logiciels à jour) ?
– le personnel est-il sensibilisé à la protection de la vie privée ?
– une charte informatique est-elle signée ?
– des mobiles multifonctions (smartphone), ordinateurs portables ou clé USB sont-ils utilisés ?
– leur usage est-il encadré ?
– des procédures de sauvegardes régulières et de récupération des données en cas d’incident sont-elles mises en place ?

Que faire en cas de violation de données ?  
Des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées (courriels transmis à des mauvais destinataires, équipement perdu ou volé, publication involontaire de données sur internet...) ? Cet incident constitue une «violation de données ».
Si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, la collectivité doit la signaler à la CNIL dans les 72 heures. Cette notification s’effectue en ligne sur le site web de la CNIL : www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles  Si ces risques sont élevés pour ces personnes, elle doit les en informer.

 

Lexique : les principaux vocables à retenir
Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable. Les données personnelles comprennent, entre autres, les noms, prénoms, numéros de téléphone, plaque d’immatriculation, numéro de Sécurité sociale, adresse postale ou courriel, la voix ou l’image.
Traitement de données personnelles : toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, conservation, modification, extraction, consultation, utilisation, communication par transmission diffusion...).
Finalité du traitement : c’est l’objectif principal du traitement. Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet
objectif initial (principe de finalité).
Responsable de traitement : c’est la personne morale (commune, intercommunalité...) ou physique qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de le réaliser.
Délégué à la protection des données (DPO) : il est chargé, au sein de l’organisme qui l’a désigné, de mettre l’ensemble des traitements mis en œuvre en conformité avec le règlement européen sur la protection des données (RGPD). Sa désignation est obligatoire pour les collectivités. Le délégué peut être, interne, externe ou mutualisé. La CNIL a publié un « Guide des délégués à la protection des données »
 

Lire aussi :

Suivez Maires de France sur

Couverture

Cet article a été publié dans l'édition :

n°423 - MAI 2024
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions
Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).