III. LA POSITION DE VOTRE COMMISSION
A. RÉPONDRE AUX ATTENTES ET AUX INQUIÉTUDES DES COLLECTIVITÉS TERRITORIALES, GRANDES ABSENTES DU PROJET DE LOI
Les collectivités territoriales sont les grandes absentes de ce projet de loi : elles n'y sont même pas mentionnées, non plus que dans le RGPD. Elles auront pourtant fort à faire pour se conformer aux nouvelles règles issues de ce règlement, et notamment :
- aux procédures encadrant l'usage des traitements de données personnelles (registre des activités de traitement pour les collectivités employant plus de 250 agents ou en cas de risque pour les droits et libertés, analyse d'impact éventuelle) ;
- à l'obligation de se doter d'un délégué à la protection des données, qui s'imposera même aux plus petites collectivités ;
- aux nouveaux droits reconnus aux personnes concernées (principalement le droit à l'effacement), qu'il leur faudra être en mesure de satisfaire.
Tout cela aura un coût, qui risque d'être élevé. Les collectivités sont d'ores et déjà assaillies d'offres de cabinets de conseil plus ou moins improvisés, qui promettent de leur éviter les lourdes sanctions liées au non-respect du règlement. Car outre le coût immédiat de la mise en conformité, l'aléa financier lié au RGPD est considérable, pour les collectivités comme pour les autres responsables de traitement - l'État mis à part... Elles pourront se voir infliger jusqu'à 20 millions d'euros d'amende par la CNIL, sans compter les dommages-intérêts qu'elles se verraient réclamer en justice, y compris dans le cadre d'une action de groupe.
On comprend d'autant mieux l'inquiétude des élus locaux qu'ils ont à traiter un grand nombre de données à caractère personnel. C'est notamment le cas des communes, dépositaires des fichiers de l'état civil, des listes électorales, des fichiers relatifs à la fiscalité locale, des fichiers cadastraux, des fichiers sociaux, du fichier de recensement de la population, du fichier des logements vacants, du fichier des associations subventionnées, du fichier des cantines scolaires, des fichiers issus des dispositifs de vidéosurveillance... La liste n'est pas exhaustive.
Face à cette situation, votre commission s'est attachée :
- à dégager de nouveaux moyens financiers pour aider les collectivités à se conformer à leurs nouvelles obligations, par le biais d'une dotation pour la protection des données personnelles prenant la forme d'un prélèvement sur les recettes de l'État et destinée aux communes et aux intercommunalités à fiscalité propre (article 19 bis ), et grâce à l'affectation du produit des amendes et astreintes prononcées par la CNIL au financement d'aides à la mise en conformité, destinées à l'ensemble des responsables de traitement (article 6) ;
- à faciliter la mutualisation des services numériques entre collectivités, qui pourront en particulier se doter d'un délégué à la protection des données commun (article 19 ter ) ;
- à réduire l'aléa financier pesant sur les collectivités, en supprimant la faculté pour la CNIL de leur imposer des amendes administratives (article 6) et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles (article 16 A) ;
- à encourager la diffusion d'informations et l'édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités, notamment des plus petites (article 1 er ).