Mise en conformité RGPD phase II : les bonnes pratiques

[Dans le cadre de l’intégration du cabinet ATIPIC, nous publions ici d’anciens articles sur des thématiques ou analyses qui nous semblent toujours pertinentes dans le cadre du Droit des Nouvelles Technologies. Cet article a été publié dans la Lettre des Pôles territoriaux et des Pays de l’ANPP.]

Pour ceux qui en douteraient encore, la toute récente décision de sanction de Google LLC (la société américaine, non sa filiale française) par la CNIL en raison du non-respect des règles du RGPD démontre bien que nous sommes aujourd’hui entrés dans la phase 2 de l’ère RGPD. La définition des données personnelles étant très large, le texte concerne la majorité des bases de données que les entreprises ou les entités du secteur public sont amenées à constituer.

Si les fortes sanctions pouvaient inciter à une mise en conformité rapide, certains auguraient qu’elles ne seraient jamais appliquées à ce niveau (jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, ou 20 millions d’euros pour les entités étant dépourvus de CA tels que les associations et les collectivités territoriales).

A l’été 2018, les sénateurs avaient tenté, pendant la modification de la loi du 6 janvier 1978, d’exclure toute sanction financière pour les collectivités territoriales et de les faire bénéficier d’une taxe payée par les opérateurs de communication électronique afin de financer leur mise en conformité, mais cette initiative n’avait pas été suivie d’effet.

Construire une conformité autour de trois piliers fondamentaux

Les collectivités territoriales qui n’auraient pas déjà été sur le chemin de la conformité par rapport à une loi existant depuis 1978 doivent donc, quarante ans après, consentir de nombreux efforts pour rattraper leur retard.

Or, ses efforts ne seront pas que juridiques, la conformité au RGPD nécessite l’apport coordonné de plusieurs expertises pour agir sur trois piliers essentiels : organisationnel, technique et juridique.

Seule une approche intégrant ces trois aspects permet de mettre en œuvre de façon efficace les principes découlant du RGPD. 

Il est entendu que la plupart des collectivités territoriales ont déjà, heureusement, un acquis sur le sujet sur lequel s’appuyer :

• Cartographie des traitements existants,

• Identification des données traitées,

• Détermination des fondements juridiques permettant leur traitement,

• Création / mise à jour d’un registre des traitements,

• Transparence des informations à communiquer, 

• Construction et sécurisation de traitements orientés ‘‘privacy by design’’,

• Documentation de l’ensemble de la chaîne de traitement et des décisions prises,

• Nomination obligatoire de Délégués à la Protection des Données (DPD/DPO) pour les entités du secteur public,

• Réalisation d’études d’impact sur la vie privée dans les cas où les traitements ont les conséquences les plus graves pour les personnes, 

• Création des processus de notification des violations de données personnelles,

• Développement de solutions de portabilité des données dans les cas qui le nécessitent, etc.

Les relations avec les sous-traitants doivent également, dans la plupart des cas, être revues, notamment au niveau des processus achat. En effet, le RGPD impose de ne sous-traiter le traitement des données qu’à des opérateurs économiques eux-mêmes conformes au RGPD.

Anticiper une vague de fond réglementaire 

Par ailleurs, si cette conformité est un chantier d’importance, le RGPD ne doit pas être l’arbre cachant la forêt des autres textes récents ou à venir en matière de protection des données ou de sécurisation du système d’information :

• Code de la défense pour les Opérateurs d’Importance Vitale (via la Loi de Programmation Militaire 2013),

• Loi du 26 février 2018 pour les Opérateurs de Services Essentiels et les Fournisseurs de Service Numérique (transposition de la directive NIS),

• Projet de règlement européen ePrivacy en cours de discussion,

• Obligations spécifiques aux secteurs de la santé, des paiements électro- niques ou encore des opérateurs de service de confiance, etc.

Face à cette vague de fond réglementaire, il est indispensable d’anticiper la mise en conformité pour éviter de multiplier les budgets et de diluer l’efficacité des actions entreprises.

Cette anticipation est d’autant plus nécessaire que les mécanismes imposés (directement ou indirectement) par le RGPD sont appelés à s’inscrire dans la durée.

Saisir les opportunités d’une nouvelle ère

Les nombreux retours d’expérience permettent d’être attentifs sur les points pouvant apparaître comme bloquants ou à anticiper : les contraintes budgétaires, la nécessaire sensibilisation des élus, le soutien indispensable de la Direction Générale des Services dans la promotion de la conformité RGPD, la chantier du partage de responsabilité dans les écosystèmes d’échanges de données (INSSE, préfecture, police, trésor public), le croisement avec les autres impératifs réglementaires (CADA, etc.), la multiplicité des autres sujets d’intervention au quotidien, etc.

Heureusement, conformité ne rime plus forcément avec budgets très importants : les collectivités territoriales peuvent ainsi s’appuyer sur des solutions permettant de mutualiser les organisations ou les travaux à mettre à œuvre (DPD externe mutualisé, clauses contractuelles, sécurisation technique, etc.). 

Et surtout, la conformité RGPD, si elle est souvent vue comme une contrainte, recèle d’importantes opportunités : quand les données sont mieux maîtrisées et les citoyens mieux informés sur les traitements, l’optimisation et la meilleure connaissance des citoyens permet une amélioration des services qui leur sont proposés, au bénéfice de tous.