Dans un contexte de développement exponentiel des nouvelles technologies, d’utilisation croissante de la donnée numérique, l’enjeu de la protection des données personnelles devient primordial pour les collectivités.
Les actions quotidiennes des personnes entrainent un stockage des données et une traçabilité générant des risques en matière de protection de la vie privée.
Dans le même temps, l’augmentation des menaces et des nouvelles formes d’attaques numériques en Europe et dans le monde, fait que les États et les administrations doivent concevoir une défense globale à la fois juridique, organisationnelle et technique pour protéger leurs systèmes d’information et les données dont ils sont les dépositaires.
Le règlement général de la protection des données (RGPD) : un nouveau mode de régulation obligatoire depuis le 25 mai 2018
En France, la réglementation "informatique et libertés" protégeant les données à caractère personnel existe depuis plus de 40 ans.
Le RGPD, adopté par le Parlement européen le 14 avril 2016 et obligatoire depuis le 25 mai 2018, unifie le cadre et la régulation du traitement des données personnelles dans l’Union. Il prévoit également un niveau de sanction plus élevé en cas de non-conformité, avec des amendes allant jusqu’à 20 millions d’euros pour une administration.
Désormais le principe de responsabilité issu du RGPD s’applique au Département.
Jusqu’à présent, le régime de protection des données, sur le plan réglementaire, s’appuyait sur l’obligation qu’avaient les entreprises ou les administrations de déclarer leurs fichiers à la CNIL. Le principe de responsabilité modifie ce paradigme. Il n’y a plus de déclaration préalable (sauf exception prévue par le règlement ou la loi). Elle est désormais remplacée dans la plupart des cas par une obligation d’étudier chaque traitement, de mener une analyse d’impact et de documenter sa conformité en interne.
Le Département s’organise pour vérifier qu’en interne, dans sa structure métier, la mise en œuvre de ses procédures, de ses règles, de ses cadres, les données collectées sont traitées de manière respectueuse vis-à-vis du cadre réglementaire.
A l’échelle départementale, la prise de conscience de la valeur de la donnée est aujourd’hui à l’œuvre. Le Département s’est en effet lancé dans des démarches de mise en conformité sur cette nouvelle réglementation.
La protection des données personnelles vise non seulement la vie privée des agents au travail, vis-à-vis de l’employeur, mais également la vie privée des usagers dans leur quotidien.
Le Département s’engage à respecter les droits des personnes lorsqu’une collecte d’informations est organisée et notamment le droit à l’information, au consentement dans certains cas, le droit à l’accès, à la rectification, à la limitation du traitement, à l’opposition...
La mise en œuvre de tous ces droits donne lieu au sein du Département à la rédaction de procédures internes pour être sûr que le jour où la personne exerce ces droits, l’administration soit en mesure de répondre correctement.
La mise en œuvre de traitements numériques nécessaires à l’accomplissement des missions départementales de service public s’accompagne d’obligations à respecter pour tous ces traitements de données, notamment en matière de proportionnalité, de sécurisation des données et de fixation des durées de conservation.
Pour mener à bien la mise en conformité au RGPD, le Département a lancé trois chantiers :
- l’inventaire et la cartographie des traitements des directions, en s’appuyant sur les agents relais RGPD et les chefs de service garants des traitements mis en œuvre,
- la gestion des risques et des actions de mise en conformité,
- la prise en compte du RGPD dans les nouveaux projets.
Ces chantiers sont des opportunités pour renforcer la protection des données personnelles liées à l’activité des directions. Les personnels départementaux participant aux opérations de traitement sont informés et sensibilisés sur la nouvelle réglementation de la protection des données personnelles, notamment aux nouvelles obligations et aux nouveaux droits des usagers. Certaines règles internes sont ajustées pour tenir compte des évolutions.
Les agents « relais RGPD » nommés dans les directions sont les pilotes internes des directions pour mener à bien cette transformation nécessaire de la gestion des données personnelles.
Le délégué à la protection des données leur apporte un soutien méthodologique, la formation nécessaire, l’aide pour initier, accompagner la démarche et améliorer leurs connaissances. Un site collaboratif est mis à leur disposition pour échanger les bonnes pratiques ou retrouver des informations de référence (guide, fiches pratiques…)
Cette démarche s’inscrit aussi dans le cadre des travaux d’urbanisation du système d’information qui a pour vocation d’aligner le système d’information sur les processus métiers.
En résumé, la mise en conformité départementale s’appuie sur l’implication et la mobilisation des directions sur les activités suivantes :
- la mise à jour de l’inventaire et la cartographie des traitements,
- l’information des usagers sur leurs droits notamment les mentions légales et affichage (y compris les sites internet travaillés avec la Direction de la communication),
- l’organisation de la gestion de l’exercice des droits (agents et usagers) travaillées par les directions métiers avec l’appui de la Direction l’innovation numérique et des systèmes d’information,
- la sensibilisation et l’implication des agents en commençant par la hiérarchie (cycles de conférences et sessions de sensibilisation internes),
- la formalisation des processus internes et la production de documentations « auditables » par les directions métiers.
- la protection des données dès la conception des projets entrainant des analyses d’impact menées et formalisées par les métiers pour les traitements à « risques ».
Contact pour plus d’information :
Fabrice IDIER - fidier@seinesaintdenis.fr
Responsable de la sécurité des systèmes d’information (RSSI) & Délégué à la protection des données (DPO) du Département de la Seine Saint-Denis