22 000 communes françaises ne respectent pas le RGPD
Le RGPD est entré en vigueur en mai 2018, soit il y a bientôt un an et demi. Mais pour la majorité des collectivités françaises, c'est comme si rien n'avait changé. D'après des données fournies par la Commission nationale informatique et libertés (Cnil) au JDN, 22 257 communes françaises sur environ 35 000 n'ont pas encore nommé de délégué à la protection des données (DPO). La nomination d'un DPO, nouvelle obligation du RGPD, est pourtant le premier pas vers une mise en conformité, puisque c'est cette personne qui doit mener toute la politique de protection des données personnelles d'une organisation et devenir le point de contact de la Cnil en la matière.
Ce sont donc plus de 60% des villes françaises qui ne respectent pas la disposition la plus élémentaire du règlement européen sur la protection des données personnelles. Ainsi, qu'elle abrite 500 ou un million d'âmes, toute collectivité doit disposer d'un DPO. Les plus petites peuvent mutualiser ce poste avec des communes voisines, ou avec l'échelon supérieur comme l'intercommunalité ou le département. "13 100 communes ont tout de même nommé un DPO, c'est quatre fois plus qu'en septembre 2018", pondère Emilie Seruga-Cau, qui dirige le service des affaires régaliennes et des collectivités territoriales à la Cnil.
"Les collectivités ont un devoir d'exemplarité"
Il y a donc du progrès, mais le compte n'y est pas. Pourtant, les collectivités gèrent quantité de données personnelles cruciales émanant de services publics comme l'état civil, les listes électorales ou encore les inscriptions scolaires. Auxquelles s'ajoutent les données gérées par les villes en tant qu'employeur : RH, badges de sécurité, vidéosurveillance… "Si ces données ne sont pas sensibles au sens de la réglementation, elles revêtent tout de même une sensibilité particulière. Et les collectivités ont un devoir d'exemplarité qui participe au développement de la transparence et de la confiance avec leurs administrés," rappelle Emilie Seruga-Cau.
Alors, que fait la Cnil ? Interrogée par le JDN en février 2018 sur l'application du RGPD dans les collectivités, le gendarme des données personnelles expliquait qu'une période de tolérance prévaudrait après l'entrée en vigueur du texte en mai. L'essentiel pour les collectivités étant de montrer qu'elles avaient initié une démarche en nommant un DPO et en adoptant une feuille de route pour se mettre en conformité. Et cette période n'a pas encore pris fin. "A ma connaissance, aucune procédure contentieuse n'a été engagée contre une collectivité pour non application des nouvelles dispositions du RGPD", déclare Emilie Seruga-Cau.
Les municipales dans le viseur
La Cnil continue de prôner l'accompagnement, l'une de ses missions principales, rappelle-t-elle. Il faut dire qu'une petite collectivité, dénuée d'équipes techniques et de département juridique, est bien mal équipée pour se mettre en conformité avec ce texte complexe. D'autant plus que ces nouvelles exigences impliquent des dépenses non compensées par une augmentation des dotations de l'Etat.
Et comme les entreprises, les collectivités gèrent leurs obligations réglementaires en priorisant les dispositions entraînant des pénalités financières si elles ne sont pas respectées. Théoriquement, une collectivité pourrait être sanctionnée jusqu'à 20 millions d'euros pour les manquements les plus graves au RGPD (à l'exception des traitements mis en œuvre par l'Etat). Mais Emilie Seruga-Cau n'est pas en mesure de dire "si la Cnil sortira un jour de cette logique d'accompagnement". Du moins pour les nouvelles dispositions du RGPD. Car d'autres principes du texte existent depuis 1978 dans le droit français, rappelle-t-elle. "Nous pouvons être tolérants au sujet de nouveaux principes comme la portabilité des données, mais nous sommes plus nuancés sur le non-respect de pratiques élémentaires de sécurité". La Cnil compte engager de nouvelles actions d'accompagnement une fois les élections municipales passées. Elle assure d'ailleurs qu'elle se montrera vigilante sur l'utilisation des données pendant la campagne. Car les données des villes sont aussi une mine d'or électorale.