Question de Mme SOLLOGOUB Nadia (Nièvre - UC) publiée le 04/04/2019

Mme Nadia Sollogoub attire l'attention de M. le ministre de l'action et des comptes publics sur les conséquences financières de la mise en œuvre du règlement général de la protection des données (RGPD) dans les collectivités territoriales. Le RGPD, applicable depuis le 25 mai 2018 à toute entité manipulant des données personnelles, dont les collectivités territoriales, nécessite une mise en conformité, qui a forcément un coût. On a d'ailleurs vu fleurir dans la dernière année nombre de cabinets spécialisés qui se proposent de devenir par contrat les « délégués protection des données » des collectivités, avec des devis difficilement abordables pour les quelque 33 000 communes de moins de 3 500 habitants que compte notre pays. La question du financement, notamment par ces communes les plus petites, dont les budgets sont déjà à l'étiage, est une réalité très concrète. Il est régulièrement évoqué qu'un accompagnement de la commission nationale de l'informatique et des libertés (CNIL) peut leur être apporté et l'on a vu effectivement cette autorité renforcer son rôle documentaire en la matière en 2018. S'il est indispensable et à saluer, ce dispositif CNIL ne constitue en rien une réponse aux difficultés financières que pourront rencontrer certaines collectivités dans la mise en œuvre du RGPD. Le Gouvernement a certes encouragé les collectivités et leurs groupements à se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées à un traitement de données, de manière à en mutualiser et à en optimiser les coûts. L'article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles prévoit ainsi que des conventions peuvent être conclues entre les collectivités et leurs groupements ayant pour objet la réalisation de prestations de services liées à un traitement de données. Mais en première approche, face aux multiples compétences et missions qui échoient déjà aux établissements publics de coopération intercommunale (EPCI), le traitement réflexe de la mise en conformité revient aux communes et beaucoup d'entre elles, qui ont déjà du mal avec la mise aux normes accessibilité, se trouvent désemparées faute de moyens financiers suffisants. Elle souhaite en conséquence savoir si le Gouvernement entend tenir compte, dans ses dotations aux collectivités locales, de la dépense supplémentaire induite par la mise en œuvre du RGPD.

- page 1744

Transmise au Ministère auprès du ministre de l'économie, des finances et de la relance - Comptes publics


Réponse du Secrétariat d'État auprès du ministre de l'économie, des finances et de la relance, chargé de l'économie sociale, solidaire et responsable publiée le 06/11/2020

Réponse apportée en séance publique le 05/11/2020

Mme le président. La parole est à Mme Nadia Sollogoub, auteur de la question n° 729, adressée à M. le ministre délégué auprès du ministre de l'économie, des finances et de la relance, chargé des comptes publics.

Mme Nadia Sollogoub. Madame la secrétaire d'État, je vous soumets une question qui a été déposée au mois d'avril 2019. J'attirais alors l'attention du Gouvernement sur les conséquences financières pour les collectivités territoriales de la mise en œuvre du règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018.

Des cabinets spécialisés ont fait à l'époque des offres de service pour une mise en conformité et un suivi de la protection des données.

J'ai été saisie par de nombreux maires, très inquiets, notamment celui de la commune de Marzy, dans la Nièvre. Pour les plus petites communes, en particulier les 33 000 d'entre elles qui comptent moins de 3 500 habitants, la question du financement est une réalité très concrète, d'autant que leurs budgets sont déjà à l'étiage.

Mme le président. La parole est à Mme la secrétaire d'État.

Mme Olivia Gregoire, secrétaire d'État auprès du ministre de l'économie, des finances et de la relance, chargée de l'économie sociale, solidaire et responsable. Madame la sénatrice, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, qui adapte le règlement européen RGPD au corpus normatif national, est de portée générale, touchant tout à la fois l'ensemble des administrations et des entreprises. Les obligations qui en résultent s'appliquent à l'ensemble des compétences des collectivités territoriales, de sorte que celles-ci doivent garantir la protection et l'encadrement de l'accès aux données individuelles qu'elles traitent – données sociales, de santé, etc.

En ce sens, la loi précitée affecte bel et bien les compétences des collectivités, sans pour autant en modifier le périmètre, et sans en transformer ni la finalité ni la nature.

Dès lors, le législateur n'a pas procédé à l'extension de la compétence de ces collectivités, se contentant d'en aménager les modalités d'exercice. Par voie de conséquence, cette disposition n'ouvre pas droit à une compensation constitutionnellement due.

Pour autant, et comme vous le soulignez, bien que ces obligations n'ouvrent pas droit à compensation, un dispositif d'accompagnement ad hoc a été mis en place via la Commission nationale de l'informatique et des libertés (CNIL). Le législateur et le Gouvernement ont également donné aux collectivités les moyens juridiques de mutualiser l'exercice de cette mission.

Mme le président. La parole est à Mme Nadia Sollogoub, pour la réplique.

Mme Nadia Sollogoub. Je vous remercie de votre réponse, madame la secrétaire d'État.

L'accompagnement technique de la CNIL n'est pas une réponse financière et la mutualisation est loin d'être une réponse universelle. En additionnant deux pauvres, on ne fait pas un riche !

Il s'agit certes d'une question ancienne, mais le temps ne change rien à l'affaire. Quelqu'un s'est-il soucié du coût de ce dispositif ? Dans un rapport d'évaluation de juin 2020, la Commission européenne se félicite du principe de ce système vertueux, qui confère au citoyen des droits opposables supplémentaires. C'est tant mieux, en effet, mais elle ne dit pas un mot de son impact financier… D'après la CNIL, en novembre 2019, soit dix-huit mois après la mise en œuvre de cette mesure, 60 % des communes françaises n'avaient pas nommé de délégué à la protection des données. Sachant qu'un audit de trois à dix jours pourrait coûter en moyenne 4 000 euros, on comprend pourquoi !

À l'heure où je reçois des appels au secours de collectivités confrontées aux surcoûts de la crise du covid – je pense par exemple aux restes à charge des matériels de protection ou à l'hygiénisation des boues de stations d'épuration –, qui se soucie de l'addition ? Madame la secrétaire d'État, chaque année, les budgets des communes doivent supporter des dépenses supplémentaires. Le Gouvernement classe, ferme les yeux, et la note s'alourdit. La seule conséquence, c'est que les élus doivent rogner sur leurs indemnités. Le pire, c'est cette façon de ne pas voir, d'ignorer, de considérer que ça va passer… Cela ne passe plus, madame la secrétaire d'État, et je vous demande l'addition !

- page 8303

Page mise à jour le