Face au RGPD, les grandes villes tranquilles, les petites fébriles
Les collectivités ne seront pas épargnées par le big bang du RGPD. Le règlement européen sur la protection des données personnelles, voté en 2016, entrera en vigueur le 25 mai 2018. Si l'on a beaucoup parlé de son influence sur les entreprises, les villes, qui organisent de nombreux traitements de données personnelles (transports, e-administration…), devront elles-aussi s'adapter. "Les collectivités sont globalement logées à la même enseigne que l'ensemble des organismes privés", explique Alice de La Mure, qui s'occupe du secteur public au service des correspondants informatique et libertés de la Cnil, l'autorité de protection des données personnelles. "Elles seront concernées par les trois grandes lignes de force du RGPD : le renforcement des droits des personnes, le basculement d'une logique de contrôle a priori vers une logique d'autocontrôle permanent, et le renforcement considérable du niveau des sanctions." Pour les collectivités, les manquements les plus graves seront sanctionnés par des amendes allant jusqu'à 20 millions d'euros.
"On passe d'une obligation de moyens à une obligation de résultat. Nous n'avons plus le droit à l'erreur."
L'un des principaux changements est le principe de l'autocontrôle. Exit la plupart des systèmes de déclaration et de demandes d'autorisation auprès de la Cnil. Les collectivités devront désormais s'assurer par elles-mêmes, en tout circonstance, que leurs traitements de données personnelles respectent la réglementation et garantissent une protection optimale. "On passe d'une obligation de moyens à une obligation de résultat. Nous n'avons plus le droit à l'erreur", résume Patrick Chambet, responsable sécurité des systèmes d'information à la Métropole Nice Côte d'Azur.
Autre principe important : la co-responsabilité. En cas de fuite de données ou de constatation d'un autre dysfonctionnement, la collectivité et le prestataire qui lui fournit un service informatique ne peuvent plus se rejeter la responsabilité l'un sur l'autre. Si le prestataire ne remplit pas ses obligations, la ville est également responsable de ce manquement car elle aurait dû le repérer. La même logique prévaut pour le prestataire, qui acquiert un rôle obligatoire de conseil et d'alerte.
Développement ralenti
Lors du développement de nouveaux services administratifs ou de smart city, les collectivités devront appliquer le principe du "privacy by design". C'est-à-dire prendre en compte la protection de la vie privée dès la conception du projet. Lorsqu'il s'agira de traitements concernant des données considérées comme sensibles (traitements à grande échelle, profilage, traitements automatisés, reconnaissance faciale, personnes vulnérables …), une étude d'impact devra également être réalisée pour prouver que les risques seront limités. "Jusqu'ici, les projets étaient plutôt réfléchis en termes d'usage en amont et la vie privée venait en aval, lorsque le produit était prêt," explique Tammam Hannouche, responsable des affaires juridiques du Grand Lyon, qui estime que ces obligations rallongent de trois à six mois le temps de développement d'un produit. "Nous allons devoir intégrer ces périodes-là et accepter de ne pas avancer aussi vite."
"Un grand nombre de correspondants informatique et libertés n'avaient ni l'expertise, ni les moyens de réaliser leur mission."
Pour chapeauter la mise en œuvre de ces nouvelles obligations et être en contact régulier avec la Cnil, les collectivités devront créer un nouveau poste, celui de délégué à la protection des données personnelles (data protection officer, ou DPO). Il remplace le correspondant informatique et libertés (Cil), dont l'emploi était facultatif. En pratique, la plupart des grandes villes s'étaient dotées d'un Cil mais c'était moins le cas dans les petites collectivités. "Il y avait des Cil cosmétiques", précise Alice de La Mure. "Certaines structures en désignaient simplement pour ne plus avoir à faire de déclarations à la Cnil (la loi permet de remplacer ces déclarations par une inscription au registre du Cil, ndlr). Un grand nombre de correspondants n'avaient ni l'expertise, ni les moyens de réaliser leur mission. Désormais, le règlement inclut des obligations de moyens ainsi que d'expertise technique et juridique." Le non-respect de ces modalités concernant le DPO fait d'ailleurs partie des manquements lourdement sanctionnés : jusqu'à 10 millions d'euros d'amende.
Un nouveau job, le DPO
Bernard Charles est l'actuel Cil de la Métropole européenne de Lille (MEL) et deviendra son DPO en mai. Que doit-il faire pour préparer sa collectivité au RGPD ? "Je vais proposer un plan de travail de mise en conformité au comité de direction. Notre première obligation est de parfaire le recensement de l'ensemble des traitements de données que nous effectuons," détaille-t-il. "Je vais donc faire un tour dans l'ensemble des directions et rencontrer chaque service pour vérifier que les traitements ont été déclarés, qu'ils sont conformes à ce qui est déclaré, comment ils pourraient évoluer et que l'ensemble des droits des personnes (notification du traitement, durée de conservation, sécurité des données…) sont respectés."
Les grosses collectivités interrogées par le JDN estiment toutes que le RGPD n'est pas un changement insurmontable, notamment parce que la loi informatique et libertés française offrait déjà un haut niveau de protection des données personnelles. Mais elles reconnaissent qu'une conséquente mise en conformité, ainsi qu'un travail de sensibilisation des équipes (formation, communication interne) est nécessaire. Des inquiétudes subsistent en revanche quant à la capacité des plus petites villes, qui s'y sont pris sur le tard, à être prêtes pour le 25 mai. Plusieurs métropoles ont d'ailleurs reçu des demandes de leurs homologues plus modestes qui souhaitaient que le DPO de la métropole devienne le leur. Mais comme l'explique Tammam Hannouche, il est difficile d'endosser cette responsabilité sans avoir réalisé un inventaire complet de leurs traitements de données, car "le DPO est garant de la fiabilité des systèmes qui sont en place." Impossible donc avant le RGPD. Mais Lyon, comme Lille et Nice, ne ferment pas la porte à une mutualisation future.
La mutualisation au secours des petits
"La Cnil ne lancera pas une chasse aux sorcières le 26 mai au matin."
Consciente du problème, la Cnil a écrit en juillet aux têtes des différents réseaux de petites collectivités, comme l'association des maires de France, l'assemblée des départements de France et les structures départementales de mutualisation des moyens informatique, pour qu'elles informent leurs membres. Une vague de relances auprès des communes qui ne sont pas rapprochées de la Cnil est prévue dans les semaines à venir. Parmi les solutions à disposition de ces communes aux moyens plus modestes : le DPO mutualisé. Le règlement européen permet en effet à des communes de s'associer pour partager le même délégué à la protection des données personnelles. Selon la Cnil, la moitié des structures de mutualisation informatiques en France vont proposer un service de DPO mutualisé. Autre option, avancée par Patrick Chambet, pour de petites communes n'ayant pas besoin d'un poste à temps plein : le recours à des services de DPO externes, proposés par des entreprises, comme ActeCil, ou des cabinets tels qu'Haas Avocats.
Que les communes qui ne seront pas prêtes à l'entrée vigueur du RGPD se rassurent : "Il ne faut pas voir cette date du 25 mai comme un couperet", rappelle Alice de La Mure. "La Cnil est consciente de la marche à gravir. Nous n'allons pas lancer une chasse aux sorcières le 26 mai au matin. Ce qui compte, c'est que les villes nous montrent qu'une démarche a été engagée." D'autant qu'un certain nombre d'inconnues demeurent, puisque des dizaines de dispositions du RGPD renvoient au droit national. Or la nouvelle loi informatique et liberté est toujours en cours d'examen au Parlement. Il n'y a pas que les petites villes qui prennent leur temps.