TITRE III BIS (NOUVEAU) - DISPOSITIONS VISANT À FACILITER L'APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES
Article 19 bis (nouveau) (art. L. 2335-17 [nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23, L. 5215-32 et L. 5216-8 du code général des collectivités territoriales) - Dotation communale et intercommunale pour la protection des données à caractère personnel
Introduit par votre commission, à l'initiative de son rapporteur, par l'adoption d'un amendement COM-78 rectifié , l'article 19 bis du projet de loi tend à créer, par prélèvement sur les recettes de l'État, une dotation pour la protection des données à caractère personnel, dont seraient bénéficiaires les communes, les établissements publics de coopération intercommunale (EPCI) à fiscalité propre, ainsi que la métropole de Lyon.
1. L'insuffisance des moyens mis à disposition des collectivités territoriales
Chacun s'accorde à dire que la plupart des collectivités territoriales ne seront pas prêtes pour appliquer le règlement général sur la protection des données dès le 25 mai 2018 , non plus que de nombreuses entreprises. La CNIL, qui en a pris acte, a d'ailleurs annoncé qu'elle ferait preuve de mansuétude au cours des premiers mois d'application du règlement, en ce qui concerne les nouvelles obligations qu'il impose, lorsqu'elle aura affaire à des organismes de bonne foi, engagés dans une démarche de mise en conformité et faisant preuve de coopération 130 ( * ) .
S'agissant des collectivités territoriales, elles sont responsables de très nombreux traitements, dont la plupart sont rendus obligatoires par la loi ou découlent nécessairement de l'exercice de leurs compétences . À elles seules, les communes sont dépositaires des fichiers de l'état civil, des listes électorales, des fichiers relatifs à la fiscalité locale, des fichiers cadastraux, de fichiers sociaux, du fichier de recensement de la population, du fichier des logements vacants, du fichier des associations subventionnées, du fichier des cantines scolaires, des fichiers issus des dispositifs de vidéosurveillance, etc. Les départements, quant à eux, doivent gérer de très nombreuses données sensibles, en lien avec leurs compétences en matière sociale et médico-sociale.
Les plus petites collectivités territoriales ont déjà le plus grand mal à se conformer exactement aux obligations qu'impose le droit en vigueur en matière de protection des données personnelles. Qu'en sera-t-il demain , alors qu'elles se verront soumises, en vertu du règlement européen :
- à l'obligation de mettre en place de nouvelles procédures encadrant le traitement de données personnelles (registre des activités de traitement pour les collectivités employant plus de 250 agents ou en cas de risque pour les droits et libertés, analyse d'impact éventuelle) ;
- à l'obligation de satisfaire les nouveaux droits reconnus aux personnes concernées, notamment le droit à l'effacement ;
- à l'obligation de se doter d'un délégué à la protection des données, qui s'imposera même aux plus petites collectivités ?
Se mettre en conformité avec ces nouvelles règles coûtera cher. Selon l'Assemblée des départements de France, que votre rapporteur a entendue, un département s'est vu demander près de 28 000 euros par un cabinet de conseil, pour une simple revue de conformité de ses seuls fichiers relatifs à la politique d'insertion et à l'aide sociale à l'enfance, et pour la fourniture de fiches pratiques. Comment une commune ou une petite intercommunalité, asphyxiée par des années de baisse des dotations de l'État, pourrait-elle assumer une telle charge ? L'aide apportée par la CNIL et par la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC), qui se résume pour l'essentiel à la diffusion d'informations et de guides méthodologiques, est très loin de suffire.
2. La création d'une dotation pour aider les communes et intercommunalités
Afin de remédier à cette situation, et sur proposition de son rapporteur, votre commission a décidé d'instituer, par prélèvement sur les recettes de l'État, une nouvelle dotation pour la protection des données personnelles destinée aux communes et aux intercommunalités , calculée en fonction de leur population.
Son montant par habitant serait décroissant à mesure que la population communale ou intercommunale augmente. Ainsi, une commune de 1 000 habitants percevrait 5 000 euros, une commune de 10 000 habitants 18 000 euros, une commune de 100 000 habitants 27 000 euros, et une commune d'un million d'habitants 36 000 euros.
Selon les estimations de votre rapporteur, cette dotation se monterait au total à environ 140 millions d'euros pour les communes et 30 millions d'euros pour les EPCI à fiscalité propre.
Votre commission a adopté l'article 19 bis (nouveau) ainsi rédigé .
Article 19 ter (nouveau) (art. L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales) - Mutualisation des services fonctionnels des collectivités territoriales et de leurs groupements
Introduit par votre commission, à l'initiative de son rapporteur, par l'adoption d'un amendement COM-79 , l'article 19 ter du projet de loi a pour objet de consolider la base légale des prestations de service offertes aux communes et intercommunalités par d'autres collectivités territoriales ou établissements publics, notamment dans le domaine informatique.
1. L'indispensable mutualisation des fonctions
« support » et
les verrous du droit en
vigueur
Les bénéfices de la mutualisation des fonctions « support » des collectivités territoriales et de leurs groupements sont unanimement salués : elles leur permettent d'exercer efficacement leurs compétences tout en maîtrisant leurs dépenses , dans un contexte de pénurie budgétaire. C'est notamment le cas en ce qui concerne les services informatiques offerts par des syndicats mixtes, des agences départementales, des centres de gestion de la fonction publique territoriale ou d'autres établissements publics - les modèles d'organisation varient grandement d'un territoire à l'autre, en fonction de l'histoire et des initiatives des élus. De telles structures sont susceptibles de fournir un délégué à la protection des données commun à plusieurs collectivités ou organismes publics, comme le permet l'alinéa 3 de l'article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Certes, les collectivités et leurs groupements peuvent aussi avoir recours à des prestataires privés. Mais cette solution n'est pas nécessairement moins onéreuse, loin s'en faut. En outre, il peut sembler inopportun de charger une personne privée de contrôler la mise en oeuvre de traitements de données sensibles ou liés à l'exercice de prérogatives de puissance publique. Enfin, le recours à des prestataires privés est soumis au droit des marchés publics et à ses lourdes règles procédurales. À l'inverse, les prestations de service délivrées par une autorité publique à une autre autorité publique , y compris lorsqu'elles donnent lieu au remboursement des dépenses engagées, échappent en grande partie aux obligations de publicité et de mise en concurrence 131 ( * ) .
Toutefois, le droit français comporte certaines rigidités qui freinent le développement de la mutualisation entre les collectivités territoriales et leurs groupements, notamment au bénéfice des communes et intercommunalités.
Le législateur, entendant favoriser
l'intégration du bloc communal, a encouragé la mise en place de
services communs et la conclusion de conventions de prestations de service
entre les établissements publics de coopération intercommunale
à fiscalité propre et leurs communes membres. En revanche, il a
limité la faculté pour les communes et les EPCI de
recourir aux services d'autres collectivités ou établissements
publics, et notamment de syndicats mixtes
. L'article L. 5111-1 du
code général des collectivités territoriales, après
avoir posé le principe selon lequel
«
les
collectivités territoriales peuvent s'associer pour l'exercice de leurs
compétences
», dispose ainsi que «
des
conventions qui ont pour objet la réalisation de prestations de services
peuvent être conclues entre les départements, les régions,
leurs établissements publics, leurs groupements et les syndicats mixtes.
Des conventions ayant le même objet peuvent également être
conclues entre des établissements publics de coopération
intercommunale ou entre des communes membres d'un même
établissement public de coopération intercommunale à
fiscalité propre lorsque le rapport relatif aux mutualisations de
services, défini à l'article L. 5211-39-1, le
prévoit.
» De la même façon, le III de
l'article L. 5111-1-1 du même code, qui traite de la mise en commun
de services fonctionnels
132
(
*
)
, «
notamment par la création
d'un syndicat mixte
», ne prévoit cette
possibilité que pour les départements, la métropole de
Lyon, les régions, leurs établissements publics et les syndicats
mixtes dits «
ouverts
».
Il en résulte, selon les informations recueillies par votre rapporteur, que certaines préfectures considèrent les prestations de services offertes par des syndicats mixtes au bloc communal comme dénuées de base légale. C'est d'autant plus préjudiciable que la mutualisation de services fonctionnels mentionnée au III de l'article L. 5111-1-1 est expressément soustraite par la loi aux règles relatives aux marchés publics 133 ( * ) .
2. Consolider la base légale des
prestations de service au bénéfice
du bloc
communal
De telles rigidités n'ont pas lieu d'être. Le bloc communal est désormais suffisamment intégré pour que l'on ne puisse craindre son émiettement. En outre, tous les EPCI à fiscalité propre n'ont pas les moyens humains, techniques et financiers d'offrir à leurs communes membres l'ensemble des services dont elles ont besoin, notamment en matière informatique. Pourquoi, alors, interdire à ces communes, voire aux EPCI à fiscalité propre eux-mêmes, de rechercher le concours d'autres collectivités territoriales ou groupements de collectivités ?
En pratique, les principes de libre administration et de liberté contractuelle des collectivités territoriales , qui ont tous deux valeur constitutionnelle 134 ( * ) , pourraient affaiblir la portée les limitations imposées par le code général des collectivités territoriales. Sans avoir de base légale explicite, les prestations de service entre les communes ou EPCI à fiscalité propre, d'une part, les autres collectivités territoriales ou groupements d'autre part, n'en seraient pas moins permises. Au vu des témoignages recueillis, et afin de se prémunir contre toute interprétation a contrario des dispositions légales, votre rapporteur a néanmoins estimé utile d' autoriser explicitement :
- les conventions de prestations de service entre une commune et un syndicat mixte , lorsque le rapport relatif aux mutualisations de services au sein d'un EPCI à fiscalité propre ne prévoit pas que de telles conventions sont passées entre l'EPCI et ses communes membres ;
- la mise en place de services fonctionnels unifiés , notamment par la création de syndicats mixtes, entre toutes les catégories de collectivités territoriales et leurs groupements , y compris les communes et EPCI.
Votre commission a adopté l'article 19 ter ainsi rédigé .
* 130 Voir le communiqué de la CNIL du 19 février 2018, consultable à l'adresse suivante : https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire .
* 131 Voir les arrêts de la Cour de justice des Communautés européennes n os C?324/07 du 18 novembre 2008 Coditel-Brabant et C-480/06 du 9 juin 2009 Commission c/ Allemagne .
* 132 Les services fonctionnels sont définis au même article comme « des services administratifs ou techniques concourant à l'exercice des compétences des collectivités intéressées sans être directement rattachés à ces compétences » : il peut s'agir de services financiers, de la gestion des ressources humaines, de celle des systèmes d'information, etc.
* 133 Voir le troisième alinéa de l'article L. 5111-1 du même code.
* 134 Voir, en ce qui concerne la liberté contractuelle des collectivités territoriales, la décision du Conseil constitutionnel n° 2006-543 DC du 30 novembre 2006.