Droit & Institutions
>
RGPD et protection des donnees
2018
Entree en application du RGPD (25 mai 2018)
1978
Loi Informatique et Libertes (loi n. 78-17, modifiee en 2018)
20 M
Amende maximale CNIL (ou 4% du CA pour les entreprises)
1.
Application directe du RGPD
Le RGPD (Reglement UE 2016/679) est d'application directe dans tous les Etats membres depuis le 25 mai 2018. Il renforce les droits des personnes et responsabilise les organismes traitant des donnees personnelles.
2.
Loi Informatique et Libertes refondue
La loi Informatique et Libertes (loi n. 78-17 du 6 janvier 1978), refondue par la loi du 20 juin 2018, complete le RGPD en droit francais. Elle fixe notamment les regles specifiques pour les traitements regaliens (police, justice).
3.
7 principes fondamentaux
Principes fondamentaux du RGPD : liceite, loyaute, transparence ; limitation des finalites ; minimisation des donnees ; exactitude ; limitation de la conservation ; integrite et confidentialite ; responsabilite (accountability).
4.
DPO obligatoire dans les collectivites
Le DPO (Delegue a la Protection des Donnees) est obligatoire dans toutes les collectivites territoriales et leurs etablissements publics (art. 37 RGPD). Il peut etre mutualise (via le CDG par exemple).
5.
6 droits des administres
Droits des administres : droit d'acces (art. 15), de rectification (art. 16), d'effacement/droit a l'oubli (art. 17), de limitation (art. 18), de portabilite (art. 20), d'opposition (art. 21).
6.
Registre et AIPD obligatoires
Chaque collectivite doit tenir un registre des activites de traitement (art. 30 RGPD) et realiser une AIPD (Analyse d'Impact relative a la Protection des Donnees) pour les traitements a risque eleve (art. 35 RGPD).
|
Avant le RGPD (regime declaratif) |
Depuis le RGPD (accountability) |
| Formalites |
Declaration ou autorisation prealable aupres de la CNIL |
Pas de declaration : le responsable de traitement doit demontrer sa conformite a tout moment |
| Responsabilite |
Respect formel des formalites suffisant |
Principe de responsabilite (accountability) : documentation, registre, AIPD |
| Sanctions |
Sanctions limitees (300 000 euros max) |
Amendes jusqu'a 20 M euros ou 4% du CA mondial |
| DPO |
CIL facultatif (Correspondant Informatique et Libertes) |
DPO obligatoire pour les autorites publiques |
*
Fichiers RH -- donnees des agents
Les donnees des agents (bulletins de paie, evaluations, arrets maladie) sont des donnees personnelles soumises au RGPD. La duree de conservation doit etre definie et respectee.
*
Etat civil -- donnees sensibles
Les actes d'etat civil contiennent des donnees sensibles. Leur dematerialisation impose des mesures de securite renforcees et un encadrement strict des acces.
*
Videoprotection -- AIPD obligatoire
L'installation de cameras sur la voie publique necessite une AIPD, une information du public et une duree de conservation limitee (30 jours en general).
*
Listes electorales -- communication encadree
La communication des listes electorales est encadree. Depuis 2019, les listes sont transmises sous forme dematerialisee avec des obligations de confidentialite.
Question flash
Quelle est la base legale la plus frequente pour les traitements de donnees personnelles dans les collectivites territoriales ?
Le consentement de la personne concernee
La mission de service public (art. 6.1.e RGPD)
L'interet legitime du responsable de traitement
Exact ! Pour les collectivites territoriales, la base legale la plus frequente n'est pas le consentement mais la mission de service public (art. 6.1.e) ou l'obligation legale (art. 6.1.c). L'interet legitime (art. 6.1.f) n'est pas utilisable par les autorites publiques dans le cadre de leurs missions. C'est un piege classique a l'oral.
*
Croire que le RGPD ne concerne que les entreprises privees
FAUX. Les collectivites territoriales sont pleinement concernees par le RGPD et doivent imperativement designer un DPO. Toute donnee personnelle traitee par une collectivite (fichiers RH, etat civil, listes electorales) est soumise au reglement.
*
Confondre anonymisation et pseudonymisation
L'anonymisation est irreversible : les donnees anonymisees ne sont plus soumises au RGPD. La pseudonymisation est reversible : les donnees pseudonymisees restent des donnees personnelles soumises au RGPD. La confusion est frequente et severement sanctionnee a l'oral.
*
Reduire le RGPD au seul consentement
Le consentement n'est qu'une base legale parmi six. Pour les collectivites, la base legale la plus frequente est la mission de service public (art. 6.1.e) ou l'obligation legale (art. 6.1.c). Le jury attend que vous ne reduisiez pas le RGPD au seul consentement.
*
Penser que la CNIL ne sanctionne pas les collectivites
FAUX. Plusieurs mises en demeure et sanctions ont ete prononcees contre des collectivites (ex. : communes pour videoprotection non conforme). La CNIL dispose de pouvoirs de controle, de mise en demeure et de sanction.
Les 6 points a retenir absolument
RGPD = 7 principes fondamentaux + accountability (responsabilisation)
DPO obligatoire dans toutes les collectivites (mutualisable via CDG)
6 droits des personnes : acces, rectification, effacement, limitation, portabilite, opposition
Base legale des collectivites : mission de service public ou obligation legale (rarement le consentement)
CNIL : autorite independante, pouvoirs de controle, mise en demeure, sanction
Registre des traitements + AIPD = outils de conformite obligatoires
A placer a l'oral : Le RGPD impose un changement de paradigme pour les collectivites territoriales : on passe d'un regime declaratif aupres de la CNIL a un principe de responsabilite (accountability), ou chaque collectivite doit etre en mesure de demontrer sa conformite a tout moment, grace a un registre des traitements, un DPO designe et des analyses d'impact pour les traitements les plus sensibles.