Les collectivites territoriales face au RGPD
Les communes, intercommunalites, departements et regions traitent quotidiennement un volume considerable de donnees personnelles de leurs administres. Etat civil, listes electorales, inscriptions scolaires, aides sociales, urbanisme, police municipale : les traitements de donnees sont omnipresents dans la gestion des services publics locaux.
La designation d’un DPO est obligatoire pour toutes les collectivites territoriales en tant qu’organismes publics au sens de l’article 37 du RGPD. Pourtant, de nombreuses communes, en particulier les plus petites, n’ont toujours pas designe de DPO, s’exposant ainsi a des sanctions de la CNIL.
La mutualisation du DPO pour les petites communes
La mutualisation du DPO constitue une solution adaptee pour les communes qui ne disposent pas des ressources pour recruter un DPO a temps plein. Plusieurs modeles de mutualisation existent : le DPO mutualisé au niveau de l’intercommunalite, le DPO partage entre plusieurs communes voisines, ou le recours a un DPO externe specialise dans le secteur public.
Le centre de gestion de la fonction publique territoriale peut egalement proposer un service de DPO mutualise a ses collectivites adherentes. Certaines associations departementales de maires ont mis en place des dispositifs de mutualisation specifiques. Ces solutions permettent de repartir le cout de la conformite entre plusieurs collectivites tout en beneficiant d’une expertise dediee.
Les traitements sensibles des collectivites
Les collectivites traitent frequemment des donnees sensibles : donnees relatives aux infractions dans le cadre de la police municipale, donnees de sante dans les centres communaux d’action sociale, donnees relatives aux opinions politiques via les listes electorales. Ces traitements necessitent des garanties renforcees et peuvent necessiter une AIPD.
La videosurveillance de la voie publique constitue un traitement particulierement encadre pour les collectivites. L’autorisation prefectorale est requise en plus de la conformite au RGPD. La CNIL a prononce des mises en demeure a l’encontre de communes dont les dispositifs de videosurveillance ne respectaient pas les regles de proportionnalite ou d’information des personnes filmees.
La gestion des listes electorales est soumise a des regles specifiques. La communication des listes electorales a des tiers est strictement encadree par le Code electoral. Les listes complementaires des electeurs europeens contiennent des donnees relatives a la nationalite qui necessitent une protection particuliere.
La relation avec les prestataires de services numeriques
Les collectivites font appel a de nombreux prestataires pour leurs solutions informatiques : editeurs de logiciels de gestion, hebergeurs, prestataires de teleservices. Chacun de ces prestataires est sous-traitant au sens du RGPD et doit etre lie par un contrat conforme a l’article 28.
L’utilisation de solutions cloud par les collectivites souleve des questions specifiques relatives a la souverainete des donnees. La CNIL recommande aux collectivites de privilegier des solutions hebergees en Europe et de verifier les garanties offertes en matiere de transferts de donnees hors UE.
