RGPD “service public” : quelles obligations ?

Le Règlement Général sur la Protection des Données (RGPD) ne s’applique pas seulement aux entreprises privées. Les organismes publics sont aussi concernés et font même l’objet d’obligations spécifiques.  

Depuis mai 2018, le Règlement Général sur la Protection des Données est le nouveau cadre européen en matière de protection des données personnelles. Il s’applique à tous les organismes manipulant des données personnelles de résidents de l’Union Européenne, y compris les organismes publics. Les administrations, les collectivités et les autres établissements publics sont donc, eux aussi concernés. Les acteurs publics sont même tout particulièrement impactés par le RGPD, car ils traitent un nombre important de données personnelles. Il s’agit non seulement des données RH liées à la gestion de leurs agents, mais aussi toutes les données qui leur permettent de mener à bien leurs missions de service public et de proposer des services aux usagers (Etat civil, listes électorales, inscriptions scolaires, gestion du foncier et de l’urbanisme, etc.).

Le RGPD concerne aussi les documents papiers

En cas de non-conformité au RGPD, ils s’exposent eux aussi à des sanctions. D’autant que le RGPD ne concerne pas uniquement les données numériques issues des téléservices, des compteurs intelligents et des smarts cities, mais s’applique aussi à tous les documents papiers. Il est donc important de sensibiliser l’ensemble des agents à une gestion plus sécurisée de l’information et de mettre en place de bonnes pratiques. Par exemple, sécuriser les impressions et récupérer les documents dès leur sortie de l’imprimante, ne pas les laisser en évidence sur les bureaux, numériser avec des scanners et des logiciels capables d’effectuer un masquage des données personnelles, et surtout les détruire à l’aide d’une déchiqueteuse aux normes ou bien, en passant par un service spécialisé de destruction de documents confidentiels.

Des archives sous contrôle

Les archives papiers des organismes publics embarquent, elles aussi, des données confidentielles, notamment celles des agents (nom, prénom, date de naissance, etc.). Pour être en conformité avec le RGPD, les acteurs publics doivent donc être en mesure de gérer leurs archives de façon tout aussi sécurisée que leurs données numériques, y compris lorsque pour certains documents le délai de conservation est atteint.

Désigner un DPO

Les acteurs publics ont aussi l’obligation de désigner un Délégué à la Protection des Données (ou DPO), et ce, quelle que soit leur taille ou le degré de sensibilité des données traitées. Si les administrations, les conseils départementaux et régionaux, ou les grandes métropoles peuvent convertir leur CIL (Correspondant Informatique & Libertés) en DPO, il n’en est pas de même pour les communes plus petites. La Cnil conseille, à juste titre, de mutualiser un DPO. Et ce, pour plusieurs raisons. D’abord, parce qu’il est souvent difficile de trouver en interne une personne ayant les compétences requises. Ensuite, parce que cette solution limite naturellement les coûts liés à une telle obligation. Sans compter qu’un DPO externe garantit une indépendance totale et un niveau d’expertise élevé.

De nouvelles obligations

Les obligations des acteurs publics ne s’arrêtent pas là. Ils doivent également réaliser une cartographie de tous leurs traitements de données. Ce qui commence par une identification précise de ces traitements, pour ensuite renseigner un certain nombre d’informations dans des registres qui doivent être tenus à la disposition de la Cnil. Dans certains cas, une analyse d’impact est obligatoire. Notamment lorsqu’il existe un risque élevé pour les droits et libertés des personnes. Cela peut être le cas, par exemple, pour les établissements de santé, les EPHAD ou pour les organismes qui ont mis en place un traitement portant sur des signalements en matière sociale et sanitaire, par exemple un dispositif de signalement des maltraitances.

Des usagers mieux informés et mieux encadrés

Le RGPD a largement renforcé les droits des usagers. De nouvelles exigences sont ainsi apparues en matière de recueil de consentement. Les acteurs publics ont, par ailleurs, une obligation d’information envers les usagers dont ils collectent les données. Ce qui implique de leur fournir un certain nombre d’informations, notamment les procédures à respecter pour exercer leurs droits en matière de traitement de données personnelles. D’autant que le délai de réponse doit être inférieur à un mois.

Toutes ces obligations peuvent, à première vue, sembler compliquées à mettre en place, mais l’opération devrait être facilitée avec l’appui d’un DPO. Sachez, en revanche, qu’en cas de manquement, le DPO n’engage pas sa responsabilité. Seul l’organisme ou la collectivité est responsable en cas de non-respect des dispositions du RGPD.

Un avis d'expert sur le thème du RGPD et son implication pour les documents papiers est disponible sur ce blog.

​