Question de M. DÉRIOT Gérard (Allier - Les Républicains-R) publiée le 31/05/2018

M. Gérard Dériot attire l'attention de Mme la garde des sceaux, ministre de la justice, sur le projet de loi relatif à la protection des données personnelles, adopté en lecture définitive par l'Assemblée nationale le 14 mai 2018. En effet, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données - RGPD) suscite de nombreuses difficultés pour les collectivités locales qui doivent se mettre en conformité, avant le 25 mai 2018, date de l'entrée en vigueur du texte, avec les nouvelles règles.

Les petites collectivités territoriales sont les plus touchées et les plus désemparées face à la rapidité avec laquelle elles doivent se mettre à niveau. Aujourd'hui près de 50 % des collectivités sont incapables d'appliquer ces nouvelles règles dans les temps.

Nos collectivités, qui ne bénéficient d'aucun traitement spécifique, outre les informations adaptées de la commission nationale de l'informatique et des libertés (CNIL), doivent répondre aux différentes formalités exigées par le Gouvernement : mise en place appropriée de mesures de sécurité en fonction du risque du traitement, clarification d'objectifs strictement définis afin de déterminer les données pouvant être collectées et traitées, information des personnes concernées des droits qu'elles peuvent faire valoir et répondre à l'exercice de ces droits.

Cependant, face à ces nouvelles responsabilités, l'Assemblée nationale, ainsi que le Gouvernement, n'ont pas autorisé l'exonération d'amendes administratives pour les collectivités locales, ainsi que la juste distribution de ces recettes vers nos collectivités afin de les aider à se mettre à niveau.

Ainsi, l'État, qui lui même s'exonère de toutes sanctions, ne réserve pas le même sort aux collectivités territoriales qui peuvent être condamnées jusqu'à 20 millions d'euros en cas de mauvaise gestion et de fuite des données personnelles, et cela sans aide financière notable.
Il lui demande donc, au-delà des conventions permettant de mutualiser les moyens des collectivités, quel accompagnement financier et matériel le Gouvernement compte mettre en place pour soulager les collectivités locales.

- page 2600


Réponse du Ministère de la justice publiée le 27/09/2018

Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ne comporte pas de dispositions particulières pour tenir compte de la situation des collectivités territoriales. Dans le cadre de la mise en conformité de la loi n°  78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés avec le règlement général, le législateur a toutefois prévu plusieurs dispositions en faveur des collectivités territoriales. Ainsi, la loi n°  2018-493 du 20 juin 2018 relative à la protection des données personnelles a confié de nouvelles missions à la Commission nationale de l'informatique et des libertés (CNIL). D'une part, le 1° de l'article 11 de la loi du 6 janvier 1978 permet à la CNIL d'« apporter une information adaptée aux collectivités territoriales » quant à leurs droits et leurs obligations en tant que responsables de traitements. D'autre part, afin de « faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et [de] procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants », le a bis) du même article prévoit que la CNIL encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement, compte tenu notamment « des besoins spécifiques des collectivités territoriales, de leurs groupements (…) ». Ces codes de conduites peuvent donc être portés par des associations telles que l'Assemblée des départements de France ou l'Association des Maires de France. De même, la CNIL doit, dans le cadre de sa mission de certification, également prendre en considération, les besoins spécifiques des collectivités territoriales, de leurs groupements (art. 11 2° f bis). Enfin, le 3 de l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 prévoit que : « Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. ». L'article 42 du décret n°  2005-1309 du 20 octobre 2005 pris pour l'application de la loi n°  78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n°  2018-687 du 1er août 2018, rappelle cette possibilité, pour les collectivités territoriales et leurs groupements notamment, de mutualiser la fonction de délégué à la protection des données. Cet article prévoit qu'en pareil cas, « une convention détermine les conditions dans lesquelles s'exerce la mutualisation. ». Le délégué à la protection des données permettra de faciliter la mise en conformité des traitements grâce à ses missions d'information et de conseil. Plus largement, l'article 31 de la loi du 20 juin 2018 précitée prévoit que les collectivités territoriales peuvent conclure « des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données » et se doter « d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées ». Par ailleurs, il convient de rappeler que, conformément à la nouvelle logique de responsabilisation portée par le règlement général, la loi du 20 juin 2018 a supprimé la plupart des formalités préalables à la mise en œuvre des traitements de données, en particulier le régime de déclaration auprès de la CNIL ou du régime d'autorisation par arrêté des traitements destinés à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique. Ces nouvelles dispositions sont de nature à alléger considérablement les charges administratives des collectivités territoriales qui traitent chaque jour de nombreuses données à caractère personnel, que ce soit pour assurer la gestion administrative de leur structure (fichiers de ressources humaines), la sécurisation de leurs locaux (contrôle d'accès par badge, vidéosurveillance) ou la gestion des différents services publics et activités dont elles ont la charge. Si la loi du 20 juin 2018 n'a pas prévu d'exonérer les collectivités territoriales des amendes administratives prévues à l'article 83 du règlement général afin de garantir un niveau élevé de protection des données personnelles de nos concitoyens, il convient de rappeler que celles-ci doivent restées « proportionnées », la CNIL, en tant qu'autorité de contrôle, devant prendre en compte un grand nombre de critères dont celui du caractère délibéré ou non de la violation, ainsi que de toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce. Indépendamment de ces dispositions, la CNIL a conduit plusieurs actions en faveur des collectivités territoriales dès l'adoption du règlement général pour les accompagner dans la mise en œuvre de leurs nouvelles obligations, applicables depuis le 25 mai 2018. Elle a, par exemple, signé une convention de partenariat avec l'Assemblée des Départements de France en octobre 2017, ou établi une liste de recommandations aux maires en matière de vidéoprotection des communes. Comme tout responsable de traitement, les collectivités territoriales sont accompagnées dans leur mise en conformité par les lignes directrices des autorités de protection des données de l'Union européenne réunies au sein du Comité européen de la protection des données. En effet, les mêmes risques existent et donc les mêmes besoins d'adaptation sont nécessaires pour tous les responsables de traitement en matière de ressources humaines, de sécurisation des locaux, de gestion de services ou site web. L'ensemble de ces actions sont de nature à aider les collectivités territoriales dans la mise en œuvre du règlement général de protection des données qui s'impose à chacun.

- page 4921

Page mise à jour le