Question de Mme HARRIBEY Laurence (Gironde - SOCR) publiée le 28/06/2018

Mme Laurence Harribey appelle l'attention de M. le ministre de l'action et des comptes publics sur la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données qui a été remplacée au mois de mai 2018 par le règlement UE/2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Ce règlement ne nécessite pas de mesure de transposition de la part des États membres et est entré en vigueur dès le 25 mai 2018.

À compter de cette date, et parmi les nombreuses obligations qu'il emporte, le règlement impose à l'ensemble des collectivités locales de désigner un délégué à la protection des données (DPD). Il appartient ainsi aux responsables de traitement des données, c'est-à-dire aux maires et présidents d'exécutifs locaux, de faire connaître à la commission nationale de l'informatique et des libertés (CNIL) le nom du DPD qu'ils ont désigné.

Si aucun diplôme particulier n'est exigé pour remplir la fonction de DPD, force est de constater qu'une telle mission requiert notamment des connaissances en technologies de l'information, en protection des données et en matière juridique.

La question se pose de savoir comment les communes, dont plus d'une sur deux compte moins de 500 habitants, pourront respecter une telle obligation.

Si le règlement prend en compte la spécificité des organismes publics en leur permettant de mutualiser un DPD, il apparaît généralement que seules les plus grandes collectivités territoriales se sont organisées pour répondre aux obligations de ce règlement. Ainsi, une très large majorité des communes ne s'est pas saisie de ce sujet alors même que ce dernier prévoit des sanctions pouvant atteindre 20 millions d'euros pour les infractions les plus graves.

Elle lui demande comment le Gouvernement entend apporter un soutien particulier aux communes de faible strate de population afin de les aider à trouver, à proximité de leurs territoires, des acteurs susceptibles d'assumer la mission de DPD.

- page 3184


Réponse du Secrétariat d'État auprès de la ministre des solidarités et de la santé publiée le 24/10/2018

Réponse apportée en séance publique le 23/10/2018

Mme Laurence Harribey. Cette question, qui reprend une question écrite posée à deux reprises, mais restée sans réponse, est relative à la désignation des délégués à la protection des données, qui est aujourd'hui imposée à toutes les collectivités locales à la suite de l'entrée en vigueur, en mai dernier, du règlement général sur la protection des données, le RGPD. Les collectivités doivent aussi faire connaître à la Commission nationale de l'informatique et des libertés, la CNIL, le nom et la qualité du délégué en question. Si aucun diplôme particulier n'est exigé pour remplir cette fonction, force est de constater qu'une telle mission requiert des connaissances en technologies de l'information, en protection de données et dans le domaine juridique.

La question se pose de savoir comment les petites communes vont pouvoir répondre à cette obligation, sachant que la population d'une commune sur deux est inférieure à 500 habitants. Si le règlement prend en compte la possibilité de mutualisation, il apparaît aujourd'hui, avec le recul, que seules les plus grandes collectivités se sont organisées ainsi.

Dans ce contexte, comment le Gouvernement entend-il soutenir spécifiquement les communes dont la population est faible pour les aider à trouver à proximité de leur territoire les personnes susceptibles d'assumer la mission de délégué à la protection des données personnelles ?

Mme la présidente. La parole est à Mme la secrétaire d'État auprès de la ministre des solidarités et de la santé.

Mme Christelle Dubos, secrétaire d'État auprès de la ministre des solidarités et de la santé. Madame la sénatrice, le Gouvernement est très attentif à la maîtrise des normes et des charges pesant sur les collectivités territoriales. Mme la garde des sceaux a rappelé que ces dernières étaient déjà soumises, en tant que responsables de traitements, à des obligations de protection des données, bien avant l'entrée en vigueur du règlement général sur la protection des données, le RGPD.

Si le RGPD énonce bien de nouvelles obligations, comme la désignation d'un délégué à la protection des données, il entraîne également des simplifications permettant d'alléger les charges des collectivités qui traitent chaque jour de nombreuses données à caractère personnel.

Dans le cadre de la mise en conformité de la loi informatique et libertés avec le RGPD et sur l'initiative de la Haute Assemblée, le législateur a prévu plusieurs dispositions en faveur des collectivités.

Ainsi, la loi du 20 juin 2018 a confié de nouvelles missions à la CNIL pour mieux accompagner les collectivités. Il est prévu désormais que cette commission « apporte une information adaptée aux collectivités territoriales » quant à leurs droits et obligations en tant que responsables de traitements. Elle doit également encourager l'élaboration de codes de conduite qui définissent les obligations des responsables de traitements. Ces codes de conduite peuvent être fixés par des associations telles que l'Association des maires de France, l'AMF, ou l'Assemblée des départements de France, l'ADF.

Si le RGPD impose effectivement aux collectivités, comme à toutes les autorités publiques, de désigner un délégué à la protection des données, il prévoit que ce délégué peut faire l'objet d'une mutualisation par plusieurs collectivités. Comme il s'y était engagé auprès du Conseil national d'évaluation des normes, le CNEN, le Gouvernement a rappelé ce principe dans le décret.

Plus largement, les collectivités et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données. L'article 31 de la loi du 20 juin 2018 prévoit que des conventions peuvent être conclues entre les collectivités et leurs groupements ayant pour objet la réalisation de prestations de services liées au traitement de données.

La CNIL a publié des exemples de mutualisation qui montrent que les solutions juridiques retenues par les collectivités sont variées, et a mis à leur disposition un guide pratique très complet. Le Gouvernement demeurera attentif à ce travail d'accompagnement.

Mme la présidente. La parole est à Mme Laurence Harribey, pour répondre à Mme la secrétaire d'État auprès de la ministre des solidarités et de la santé. Il vous reste une minute, ma chère collègue.

Mme Laurence Harribey. Je veux rappeler qu'une très large majorité des communes ne s'est pas saisie de ce sujet, alors même que le règlement prévoit des sanctions pouvant atteindre 20 millions d'euros pour les infractions les plus graves. Les délégués à la protection des données assument donc une grande responsabilité.

En outre, je peux vous dire d'expérience, venant comme vous du milieu rural, madame la secrétaire d'État, que nombre de communes rurales sont harcelées par des cabinets prétendument spécialisés. Il a fallu que je sollicite pour ma part le département de la Gironde pour mettre en place une solution de mutualisation pour les communes concernées. Pour autant, tous les départements n'effectuent pas la même démarche.

C'est pourquoi je demande au Gouvernement – vous l'avez évoqué à la fin de votre propos, madame la secrétaire d'État – d'être très vigilant sur cette question. Indépendamment du problème financier et humain, c'est tout l'esprit du règlement général sur la protection des données qui est en cause. Or, nous le savons tous, la protection des données est aujourd'hui un problème fondamental.

- page 14040

Page mise à jour le