L’exploitation des données personnelles des citoyens européens est régie par le règlement général sur protection des données ou RGPD. Ce règlement a été mis en place pour consolider les droits des personnes (droit à l’oubli, portabilité…), responsabiliser tous les acteurs réalisant du traitement de données personnelles et améliorer la régulation des données surtout sur le plan international.
Les dispositions du RGPD ont vocation à s’appliquer à toute organisation manipulant des données personnelles de résidents européens ou de personnes sur le territoire de l’UE. Et les collectivités territoriales n’échappent pas à cette règle. Pourtant, les derniers chiffres mettent en relief qu’un bon nombre de communes ne respectent pas encore le RGPD.

Plus de la majorité des communes dans l’illégalité

Toutes les dispositions du RGPD sont pleinement applicables depuis mai 2018. Malgré tout, si l’on en croit une étude récente de la CNIL, plus de la moitié des communes françaises sont encore dans l’illégalité. En effet, les chiffres de cette autorité de contrôle montrent que 60 % des communes n’ont pas encore nommé de DPO. Il s’agit plus précisément de 22 257 communes sur 35 000.
Pourquoi ces chiffres ? D’une part, bon nombre d’élus considèrent cette obligation comme anodine. Pourtant, c’est le premier pas à franchir pour une mise en conformité. Il faut rappeler qu’au sein des organisations où sa nomination est obligatoire, le DPO a pour principales missions d’encadrer la politique de protection des données personnelles et d’assurer la communication avec la CNIL. D’autre part, force est de constater que la mise en application du RGPD nécessite desfonds. Budget que bon nombre de communes n’ont pas encore prévus !

Les communes, particulièrement concernées par le RGPD

Malgré ces chiffres décevants, les communes restent particulièrement concernées par les dispositions du RGPD. Et pour cause, elles génèrent au quotidien une quantité importante de données personnelles (état civil, listes électorales, inscriptions scolaires, vidéoprotection…). En outre, avec le développement de l’administration électronique, les collectivités recourent de plus en plus aux technologies et aux usages numériques (open data, compteurs communiquants, lecture automatique de plaques d’immatriculation…).
Or, ce phénomène implique une exposition plus importante au risque de cyberattaque et donc aux abus et aux fuites de données. Dans une certaine mesure, le RGPD tombe à point nommé. Tout d’abord, il augmente les responsabilités des communes en matière de traitement et de protection des données personnelles. Ensuite, il les oblige à intégrer les principes de protection des données dès la conception des traitements de ces dernières. Enfin, il rend plus facile et plus simple la gouvernance des données en supprimant le régime déclaratif.

Les municipales, soumises à un encadrement spécifique du RGPD

D’après le calendrier électoral, les élections municipales se tiendront le 15 et 22 mars 2020. À l’approche de ces dates, la gestion des données des électeurs constitue une question cruciale. Il est important de garder à l’esprit qu’aucune campagne électorale ne peut se faire sans traitement de données (utilisation des listes électorales précédentes, gestion de base de données de sympathisants, prospection en ligne…).
Si c’était avant, récupérer le nom ou le prénom d’un électeur au cours d’un meeting ou d’un porte-à-porte ne serait pas un grand problème. Aujourd’hui, avec l’application du RGPD, de telles pratiques doivent se faire dans le respect de certaines règles. Par exemple, si l’on se base sur l’article 12 du RGPD, les candidats doivent au moment de récupérer des données personnelles auprès des personnes concernées mentionner l’objectif pour lequel ces données ont été collectées et surtout respecter cette finalité.

Position de la CNIL

Pour rappel, en France, la CNIL est le régulateur des données personnelles. Sa mission s’articule autour de 4 points : informer et protéger les droits, accompagner et conseiller les organisations dans le processus de mise en conformité, anticiper et innover, contrôler et sanctionner en cas d’écart.
Face à la passivité des communes, la CNIL n’a pas encore engagé de procédure contentieuse contre les collectivités en illégalité. Elle prône au contraire l’accompagnement. Toutefois, dans ses dernières communications, la CNIL a affirmé se « montrer vigilante sur l’utilisation des données pendant les campagnes municipales ». Une forte sensibilisation des nouveaux élus est aussi en prévision après la tenue des élections.

1 réponse

Les commentaires sont désactivés.