RGPD : la nouvelle gouvernance des données dans le secteur public

Le Règlement Général sur la Protection des Données (RGPD) entrera en application le 25 mai 2018. Ce nouveau texte européen marque un tournant majeur pour les organismes publics puisque ceux-ci sont désormais considérés comme des responsables de traitement de données personnelles au même titre que les entreprises privées.

Si le RGPD peut représenter une source d’inquiétudes pour les organisations publiques du fait des nombreuses obligations qu’il implique, il s’inscrit surtout comme l’opportunité de procéder à un examen précis des données en sa possession – qu’elles soient sensibles ou non – pour mieux se structurer et renforcer la confiance avec ses administrés.

Les données, aussi variées soient-elles (urbanisme, logement, mobilité, budget, fonctionnement démocratique, équipements et usages culturels, etc.), occupent une place centrale dans le pilotage d’un territoire ou d’une administration. Leur bonne gestion, leur bonne compréhension et leur bonne circulation dans l’entité aident à produire une réponse plus précise et adaptée aux problématiques qui touchent de près les citoyens (comment mieux se déplacer à l’intérieur du territoire, où inscrire ses enfants à l’école, quelles sont les mesures de sécurité mises en place par sa commune dans les lieux publics, etc.).

Nombre de ces données revêtent un caractère personnel, dès lors que celles-ci apportent une information permettant de reconnaître les citoyens. Listes électorales, emprunts d’ouvrages à la bibliothèque municipale, consommation énergétique dans les habitations, occupation des logements sociaux, bénéficiaires d’aides de l’État… de telles données comportent des éléments d’identification des administrés. Cette détention de données à caractère personnel rend les organismes publics, et de facto les citoyens, hautement vulnérables à des attaques visant à récupérer ces données. Il est donc plus que nécessaire de se prémunir contre ces usages malveillants en prenant diverses mesures prescrites par le RGPD.

Le Règlement requiert en effet un certain nombre d’obligations que les organismes publics devront respecter avant le 25 mai 2018. Vous pourrez parcourir ces obligations en détails dans ce livre blanc et en retrouver un condensé ci-dessous :

Désigner un délégué à la protection des données (DPD ou DPO en anglais – Data Protection Officer) : il veille au respect du droit à la protection des données et fait en sorte que le traitement des données personnelles effectué par l’organisme public soit en conformité juridique. Le DPD peut être désigné en interne (un salarié) ou être extérieur à l’organisme public (un cabinet d’avocats par exemple).

Cartographier les traitements des données personnelles : l’organisation devra établir un registre des traitements, lequel mentionne notamment le nom et les coordonnées de l’organisme responsable des traitements, les finalités desdits traitements, les personnes tierces pouvant y avoir accès (prestataires, sous-traitants, administrations), les types de données, la durée de conservation de ces données, les flux de données et l’existence de flux transfrontaliers.

Mener une étude d’impact sur la vie privée (PIA) : cette étude a pour objectif de déterminer quels impacts les traitements des données personnelles peuvent avoir sur la vie privée des personnes physiques. Le responsable des traitements pourra alors déterminer quelles mesures techniques et organisationnelles il devra prendre pour assurer la pleine protection de ces données.

Notifier les failles de sécurité à la CNIL (Commission nationale de l’informatique et des libertés) : toute faille de sécurité devra être notifiée auprès de la CNIL dans les 72 heures dès la connaissance d’une telle faille, sauf si celle-ci est insusceptible de porter atteinte aux droits des personnes.

Les mesures à déployer pour se mettre en conformité avec le règlement européen constituent des leviers puissants de structuration de la donnée à l’intérieur de l’organisme public. Ils encouragent à la rigueur et à l’examen minutieux de ses données pour en déceler le caractère personnel et les risques potentiels pour les administrés.

En outre, un programme open data déjà initié ou en projet peut tout à fait venir soutenir la mise en conformité avec le RGPD. Il offre la possibilité à l’entité publique de mener un processus d’identification et de localisation de toutes les données (et de leurs sources) qu’elle détient, pour ensuite décider quelles données pourront être ouvertes et réutilisées. Cet inventaire permet de dresser un panorama complet de l’ensemble des données qui circulent dans l’organisme et d’établir un référentiel commun pour chacun des collaborateurs de l’entité. La construction d’un tel référentiel peut s’inscrire comme une aide précieuse pour baliser l’établissement du registre des traitements des données personnelles requis par le RGPD.

La loi pour une République numérique du 7 octobre 2016 a largement intensifié le mouvement open data en France. De plus en plus de collectivités et d’administrations ont donné un accès public à un certain nombre de leurs données, devenant ainsi plus transparentes vis-à-vis de leurs administrés. Un telle initiative permet aussi l’essor de nouveaux services basés sur les données ouvertes.

La législation ne doit donc pas être une contrainte mais au contraire représenter une opportunité : celle de mieux penser sa stratégie de gestion des données pour que celles-ci ne présentent aucun risque pour les droits et libertés des citoyens, et qu’elles leur permettent même d’améliorer leur relation au service public et leur vie sur le territoire.