Depuis 2018, toutes les collectivités locales et territoriales doivent intégrer les obligations du RGPD à leur mode de collecte, de traitement et de sécurisation des données à caractère personnel. En considérant la spécificité des collectivités et le manque d’expertise en matière de protection des données qu’elles peuvent rencontrer avec leurs effectifs internes, Nouvel Horizon Conseil, cabinet spécialisé dans la protection des données à caractère personnel, offre un accompagnement personnalisé à toutes les structures concernées. Autorités communales, départementales, régionales… toutes peuvent donc solliciter l’expertise de nos consultants pour réaliser leur conformité au RGPD.
Pourquoi recourir à un DPO pour la mise en place de la conformité au RGPD d’une collectivité territoriale ?
Depuis l’entrée en vigueur du Règlement général pour la protection des données, les entités concernées, dont les collectivités territoriales et locales, se hâtent de s’y conformer. Le règlement s’appesantit particulièrement sur la collecte et le traitement des données, mais aussi sur leur protection et leur sécurité.
En réalité, il se révèle depuis quelques années qu’avec la digitalisation des services au sein des collectivités, le traitement des données à caractère personnel requiert un savoir-faire et une expertise précis. Pour les orienter dans la mise en conformité au RGPD, la CNIL a publié un guide de mise en conformité en mettant l’accent sur ces points :
-
désigner un délégué à la protection des données DPD .
-
recenser tous les traitements effectués par leurs services .
-
privilégier l’accompagnement d’un DPO pour garantir la mise en conformité continuelle des collectivités au RGPD .
-
encadrer la sous-traitance des traitements .
-
notifier à la CNIL, voire aux personnes concernées, les violations ou failles de sécurité éventuelles de données personnelles .
-
procéder à des analyses d’impact sur la protection des données à caractère personnel pour les traitements avec un risque accru pour les droits et les libertés.
Ainsi, la collaboration avec un expert du domaine est une garantie pour les collectivités d’un gain de temps considérable. Certes, celles-ci peuvent désigner un DPO interne, mais c’est toujours plus prudent de faire intervenir un prestataire externe pour vérifier que tout fonctionne régulièrement selon les exigences du règlement.
Les missions d’un DPO au sein d’une collectivité locale
Les missions et avantages d’un DPO externalisé sont multiples et peuvent être ainsi résumés .
-
informer et conseiller le responsable du traitement et ses équipes impliquées dans le traitement de données sur leurs obligations .
-
assurer la sensibilisation des salariés sur les enjeux du RGPD .
-
contrôler le respect du RGPD au sein de l’organisation et de son environnement de travail, puis veiller à son maintien
-
coopérer avec la CNIL et être son point de contact .
-
gérer les demandes des personnes concernées et être leur point de contact en cas de besoin .
-
assister le Responsable de Traitement dans la réalisation des analyses d’impact.
En somme, toutes les missions d’un DPO concourent à la mise en conformité d’une collectivité au RGPD.
Quels sont les avantages de désigner un DPO externe ?
Si vous souhaitez désigner un DPO pour vous accompagner dans votre démarche de mise en conformité au RGPD de la collectivité que vous administrez, nous vous suggérons de faire appel à un DPO externe. Prestataire indépendant et neutre, il sera à même d’user de la rigueur nécessaire dans le processus de mise en conformité. Opérant régulièrement dans le secteur, il possède les qualifications et l’expérience requises pour assurer avec expertise cette fonction. Faire appel à un DPO externe, c’est préserver sa collectivité locale de tous conflits d’intérêts.
Les DPO de Nouvel Horizon Conseil au service des collectivités locales territoriales
Choisir Nouvel Horizon Conseil pour désigner un DPO externe pour une collectivité vous garantit une prise en charge intégrale de votre projet de mise en conformité au RGPD. Nos consultants séniors présentent le profil parfait pour vous faire bénéficier d’un service irréprochable.
Les avalages de notre DPO pour les collectivités locales et territoriales sont multiples. En effet, il va procéder, étape par étape, si ce n’est pas encore fait, à la mise en conformité au RGPD, en commençant par une cartographie de l’ensemble des traitements des données à caractère personnel. Cela peut nécessiter la conduite d’un audit portant sur l’ensemble des processus de la collectivité afin d’identifier les manquements et les démarches à mettre en place pour atteindre la conformité.
L’inventaire des données et le modèle de pilotage établis, il définit à présent le niveau de protection approprié pour sécuriser les données en tenant compte des risques associés à chaque typologie. Par la suite, notre expert va procéder, en collaboration avec les différentes directions, à la rédaction des politiques et procédures et à la documentation nécessaire au dossier d’accountability. Chez Nouvel Horizon Conseil, nos professionnels se sont accoutumés aux mesures techniques et organisationnelles qu’exige la mise en conformité au RGPD.
Par ailleurs, notre cabinet de conseil vous garantit un accompagnement sur-mesure et une prestation clé en main pour la mise en conformité au RGPD de la collectivité. N’hésitez pas à nous contacter pour en savoir plus sur nos prestations.
FAQ RGPD Collectivités territoriales
Une collectivité territoriale est-elle vraiment obligée de désigner un DPD ?
Oui, la désignation d’un DPD (Délégué à la Protection des Données) est une obligation légale pour toutes les collectivités territoriales, sans exception de taille. L’article 37 du RGPD impose cette désignation à toute autorité publique, qu’il s’agisse d’une commune de 300 habitants ou d’une région. La CNIL contrôle activement ce point. En 2022, elle a mis publiquement en demeure 22 communes pour absence de désignation de DPD. La mutualisation quant à elle est autorisée : plusieurs collectivités peuvent partager un même délégué, via un EPCI, un centre de gestion, ou un prestataire externe comme Nouvel Horizon Conseil. C’est souvent la solution la plus rationnelle pour les petites structures.
Sources : CNIL, désigner un DPD dans une collectivité, article 37 RGPD.
Qu’est-ce que le registre des traitements d’une collectivité territoriale doit contenir ?
Au même titre que toute autre entité privée, Lle registre des traitements d’une collectivité recense l’ensemble des traitements de données personnelles mis en œuvre dans le cadre de ses missions de service public : état civil, listes électorales, cantine scolaire, vidéoprotection, fichier du personnel, inscriptions périscolaires, fiscalité locale, action sociale, gestion du cimetière. Pour chaque traitement, il précise la finalité, la base légale (souvent la mission d’intérêt public), les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité. Ce document, tenu par le responsable de traitement sous la supervision du DPD, doit être présenté à la CNIL en cas de contrôle. Son absence constitue un manquement caractérisé.
Référence : Modèle de registre CNIL.
Quand une AIPD est-elle obligatoire pour une commune ?
L’AIPD (Analyse d’Impact relative à la Protection des Données) s’impose dès qu’un traitement présente un risque élevé pour les droits et libertés des administrés. A titre d’exemples, pour une collectivité : vidéoprotection sur la voie publique, dispositifs biométriques d’accès aux écoles, géolocalisation des véhicules de service, fichiers de signalement social, applications de « smart city » collectant des données de déplacement. La CNIL publie une liste des traitements soumis obligatoirement à AIPD, complétée par une liste des traitements qui en sont exemptés. Réaliser cette analyse avant la mise en production relève de l’accountability. Un DPD expérimenté sécurise la démarche et produit un livrable recevable en cas de contrôle.
Que faire en cas de violation de données dans une collectivité ?
R : Toute violation de données (ex : cyberattaque ayant permis l’exfiltration de données, perte d’un ordinateur portable, envoi d’un mail avec en copie de destinataires visible, accès non autorisé à un fichier) doit être notifiée à la CNIL dans les 72 heures via la téléprocédure dédiée. Si la violation présente un risque élevé pour les personnes concernées, ces dernières doivent également être informées individuellement. Le DPD pilote cette gestion de crise : qualification de l’incident, rédaction de la notification, documentation dans un registre interne des violations. Les communes sont massivement ciblées par les rançongiciels depuis plusieurs années.
Une collectivité est-elle responsable des données traitées par ses prestataires ?
Oui, et c’est un point régulièrement sous-estimé. Dès qu’un éditeur logiciel (gestion de cantine, facturation de l’eau, plateforme de démarches en ligne, solution de sauvegarde) traite des données pour le compte de la commune, il devient sous-traitant au sens du RGPD. La collectivité, responsable de traitement, doit encadrer cette relation par un contrat conforme aux dispositions de l’article 28 du RGPD : obligations de sécurité, localisation des données, sous-traitance ultérieure, assistance en cas de violation. Un audit des contrats fournisseurs révèle souvent des clauses absentes ou obsolètes. Nouvel Horizon Conseil intervient sur ce volet contractuel, fréquemment négligé lors des renouvellements de marchés publics.
Pourquoi externaliser le DPD plutôt que de désigner un agent en interne ?
Désigner un agent territorial comme DPD pose plusieurs difficultés récurrentes. D’abord le risque de conflit d’intérêt : la CNIL cite expressément le DGS, le directeur financier et le responsable informatique parmi les fonctions susceptibles de créer une incompatibilité, appréciée au cas par cas selon leur participation réelle à la détermination des finalités des traitements. Ensuite la compétence : le RGPD exige une expertise juridique et technique qu’un agent non formé ne peut acquérir seul. Enfin le temps : entre les AIPD, les demandes d’exercice de droits, la formation des agents et le suivi réglementaire, la charge dépasse souvent ce qu’un mi-temps tolère. Un DPD mutualisé externe apporte indépendance, expertise à jour et disponibilité opérationnelle.
Quelles sanctions la CNIL peut-elle prononcer contre une collectivité ?
Contrairement à une idée reçue, les collectivités territoriales encourent bien des sanctions financières. Elle dispose également de la mise en demeure publique, du rappel à l’ordre, de l’injonction de mise en conformité et de la publication des décisions. Depuis 2023, la CNIL a sanctionné financièrement plusieurs communes n’ayant pas répondu à ses mises en demeure. S’ajoutent l’impact réputationnel auprès des administrés et la responsabilité pénale potentielle du maire pour négligence caractérisée. Anticiper un contrôle coûte toujours moins cher que le subir. C’est précisément l’objet d’un accompagnement structuré.
Source : Sanctions prononcées par la CNIL.
