Droit & Institutions
>
RGPD et protection des donnees
2018
Entree en application du RGPD (25 mai 2018)
1978
Loi Informatique et Libertés (loi n. 78-17, modifiee en 2018)
20 M
Amende maximale CNIL (ou 4% du CA pour les entreprises)
1.
Application directe du RGPD
Le RGPD (Règlement UE 2016/679) est d'application directe dans tous les États membres depuis le 25 mai 2018. Il renforce les droits des personnes et responsabilise les organismes traitant des donnees personnelles.
2.
Loi Informatique et Libertés refondue
La loi Informatique et Libertés (loi n. 78-17 du 6 janvier 1978), refondue par la loi du 20 juin 2018, complete le RGPD en droit francais. Elle fixe notamment les règles spécifiques pour les traitements regaliens (police, justice).
3.
7 principes fondamentaux
Principes fondamentaux du RGPD : licéité, loyaute, transparence ; limitation des finalites ; minimisation des donnees ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; responsabilité (accountability).
4.
DPO obligatoire dans les collectivités
Le DPO (Délégué a la Protection des Donnees) est obligatoire dans toutes les collectivités territoriales et leurs établissements publics (art. 37 RGPD). Il peut être mutualise (via le CDG par exemple).
5.
6 droits des administres
Droits des administres : droit d'acces (art. 15), de rectification (art. 16), d'effacement/droit a l'oubli (art. 17), de limitation (art. 18), de portabilite (art. 20), d'opposition (art. 21).
6.
Registre et AIPD obligatoires
Chaque collectivité doit tenir un registre des activités de traitement (art. 30 RGPD) et réaliser une AIPD (Analyse d'Impact relative a la Protection des Donnees) pour les traitements a risque élevé (art. 35 RGPD).
|
Avant le RGPD (régime déclaratif) |
Depuis le RGPD (accountability) |
| Formalites |
Déclaration ou autorisation préalable aupres de la CNIL |
Pas de déclaration : le responsable de traitement doit démontrer sa conformité a tout moment |
| Responsabilité |
Respect formel des formalites suffisant |
Principe de responsabilité (accountability) : documentation, registre, AIPD |
| Sanctions |
Sanctions limitees (300 000 euros max) |
Amendes jusqu'a 20 M euros ou 4% du CA mondial |
| DPO |
CIL facultatif (Correspondant Informatique et Libertés) |
DPO obligatoire pour les autorités publiques |
*
Fichiers RH -- donnees des agents
Les donnees des agents (bulletins de paie, évaluations, arrets maladie) sont des donnees personnelles soumises au RGPD. La duree de conservation doit être définie et respectee.
*
État civil -- donnees sensibles
Les actes d'état civil contiennent des donnees sensibles. Leur dématérialisation impose des mesures de sécurité renforcées et un encadrement strict des acces.
*
Vidéoprotection -- AIPD obligatoire
L'installation de cameras sur la voie publique nécessité une AIPD, une information du public et une duree de conservation limitee (30 jours en general).
*
Listes electorales -- communication encadrée
La communication des listes electorales est encadrée. Depuis 2019, les listes sont transmises sous forme dématérialisée avec des obligations de confidentialité.
Question flash
Quelle est la base legale la plus fréquente pour les traitements de donnees personnelles dans les collectivités territoriales ?
Le consentement de la personne concernee
La mission de service public (art. 6.1.e RGPD)
L'intérêt légitime du responsable de traitement
Exact ! Pour les collectivités territoriales, la base legale la plus fréquente n'est pas le consentement mais la mission de service public (art. 6.1.e) ou l'obligation legale (art. 6.1.c). L'intérêt légitime (art. 6.1.f) n'est pas utilisable par les autorités publiques dans le cadre de leurs missions. C'est un piege classique a l'oral.
*
Croire que le RGPD ne concerne que les entreprises privees
FAUX. Les collectivités territoriales sont pleinement concernees par le RGPD et doivent impérativement désigner un DPO. Toute donnee personnelle traitee par une collectivité (fichiers RH, état civil, listes electorales) est soumise au règlement.
*
Confondre anonymisation et pseudonymisation
L'anonymisation est irréversible : les donnees anonymisees ne sont plus soumises au RGPD. La pseudonymisation est réversible : les donnees pseudonymisees restent des donnees personnelles soumises au RGPD. La confusion est fréquente et severement sanctionnee a l'oral.
*
Réduire le RGPD au seul consentement
Le consentement n'est qu'une base legale parmi six. Pour les collectivités, la base legale la plus fréquente est la mission de service public (art. 6.1.e) ou l'obligation legale (art. 6.1.c). Le jury attend que vous ne réduisiez pas le RGPD au seul consentement.
*
Penser que la CNIL ne sanctionne pas les collectivités
FAUX. Plusieurs mises en demeure et sanctions ont ete prononcees contre des collectivités (ex. : communes pour vidéoprotection non conforme). La CNIL dispose de pouvoirs de controle, de mise en demeure et de sanction.
Les 6 points a retenir absolument
RGPD = 7 principes fondamentaux + accountability (responsabilisation)
DPO obligatoire dans toutes les collectivités (mutualisable via CDG)
6 droits des personnes : acces, rectification, effacement, limitation, portabilite, opposition
Base legale des collectivités : mission de service public ou obligation legale (rarement le consentement)
CNIL : autorité independante, pouvoirs de controle, mise en demeure, sanction
Registre des traitements + AIPD = outils de conformité obligatoires
A placer a l'oral : Le RGPD impose un changement de paradigme pour les collectivités territoriales : on passe d'un régime déclaratif aupres de la CNIL a un principe de responsabilité (accountability), ou chaque collectivité doit être en mesure de démontrer sa conformité a tout moment, grâce a un registre des traitements, un DPO désigne et des analyses d'impact pour les traitements les plus sensibles.