Question de Mme HERZOG Christine (Moselle - NI) publiée le 13/12/2018
Mme Christine Herzog interroge M. le secrétaire d'État, auprès du ministre de l'action et des comptes publics sur les conséquences de l'application du règlement général de la protection des données (RGPD) sur les collectivités territoriales. Le RGPD, applicable depuis le 25 mai 2018 à tout organisme utilisant des données personnelles, notamment les collectivités territoriales, nécessite une mise en conformité, qui implique un coût financier. Elles ont donc besoin du soutien de l'État pour être en conformité avec ces nouvelles obligations, compte-tenu des frais occasionnés et du montant des sanctions pécuniaires encourues en cas de non-conformité au RGPD. Elle souhaite donc savoir si le Gouvernement entend apporter des solutions concrètes aux collectivités ayant des difficultés à financer la mise en œuvre du RGPD.
- page 6336
Transmise au Ministère de la justice
Réponse du Ministère de la justice publiée le 23/01/2020
Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), permet, depuis son entrée en vigueur le 25 mai 2018, d'assurer une protection optimale des données à chaque instant. Cet impératif de protection s'impose aussi aux collectivités territoriales qui traitent quotidiennement de nombreuses données relevant d'une sensibilité particulière (ex : fichiers d'aide sociale, fichiers de police municipale). Dans le cadre de la mise en conformité de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés avec le RGPD, le législateur a toutefois prévu plusieurs dispositions en faveur des collectivités territoriales. Ces dispositions ont toutes pour objet d'aider l'ensemble des collectivités territoriales dans la mise en uvre du nouveau cadre règlementaire. Tout d'abord, le 3 de l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 prévoit que : « Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. ». L'article 84 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés rappelle cette possibilité, pour les collectivités territoriales et leurs groupements notamment, de mutualiser la fonction de délégué à la protection des données. Cet article prévoit qu'en pareil cas, « une convention détermine les conditions dans lesquelles s'exerce la mutualisation. ». Par ailleurs, l'article 31 de la loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles prévoit que les collectivités territoriales peuvent conclure « des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données » et se doter « d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées ». En outre, le II de l'article 130 du décret du 29 mai 2019 susmentionné prévoit la possibilité lorsque les traitements portent sur un ensemble d'opérations de traitement similaires et présentant des risques élevés similaires, de réaliser une analyse d'impact commune. Cette possibilité permet ainsi de mutualiser les coûts liés à la réalisation de l'analyse d'impact pour les traitements relevant de la directive 2016/680 du 27 avril 2016 dite « Police-Justice ». Enfin, il convient de rappeler que, conformément à la nouvelle logique de responsabilisation instaurée par le RGPD, la loi informatique et libertés telle que modifiée par la loi du 20 juin 2018 et l'ordonnance du 12 décembre 2018, a supprimé la plupart des formalités préalables à la mise en uvre des traitements de données, en particulier le régime de déclaration auprès de la CNIL ou du régime d'autorisation par arrêté des traitements destinés à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique. Ces nouvelles dispositions sont de nature à alléger considérablement les charges administratives des collectivités territoriales qui traitent chaque jour de nombreuses données à caractère personnel, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d'accès par badge, vidéosurveillance) ou la gestion des différents services publics et activités dont elles ont la charge. L'ensemble de ces mesures apparaissent clairement de nature à aider les collectivités territoriales dans la mise en uvre du RGPD.
- page 417
Page mise à jour le