RGPD : QUEL IMPACT POUR LES POUVOIRS PUBLICS ?

Le récent scandale Facebook vient une fois de plus de démontrer à quel point la gestion et l’usage des données personnelles est un sujet de préoccupation majeur à l’heure de l’informatisation toujours plus grande de notre société.

Les pouvoirs publics sont des acteurs très importants dans la gestion de ces données, puisqu’ils en collectent un grand nombre, dont une part non négligeable revêt un caractère extrêmement sensible. Ils sont dès lors pleinement concernés par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, appelé le « RGPD », qui entre en vigueur dès le 25 mai 2018.

Il existe déjà un grand nombre de commentaires, d’analyses et de sources sur le sujet[1]. Dans le cadre de la présente analyse, nous nous limiterons donc à envisager les principales mesures qui doivent être rapidement mises en place par les pouvoirs publics.

L’objectif visé par le RGPD est ainsi d’établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données (article 1er du RGPD). En tant que Règlement européen, il a un effet direct, en ce sens qu’il ne doit pas être transposé par une loi nationale dans chacun des Etats membres pour être applicable.

Le RGPD s’applique à tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (article 3.1). La conformité aux dispositions du RGPD s’impose au responsable du traitement qui peut être une autorité publique, un service ou un autre organisme « qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (article 4,7)).

Les pouvoirs publics doivent donc, d’ici au 25 mai prochain, remplir toute une série d’exigences, sous peine de se voir infliger de lourdes amendes et de voir leur responsabilité mise en cause devant les tribunaux.

Parmi les obligations à mettre rapidement en œuvre, relevons celle de désigner un délégué à la protection des données chargé de vérifier le respect du RGPD, de fournir des informations et des conseils et d’assurer le lien avec l’autorité de contrôle. Il doit en outre bénéficier d’une totale indépendance dans l’exercice de sa mission.

Les pouvoirs publics doivent également établir un registre de l’ensemble des activités de traitement des données afin de déterminer quelles données sont traitées, par qui et à quelles fins. Il importe donc de lister l’ensemble des personnes ayant accès aux données à l’intérieur de l’administration et de prendre les mesures adéquates pour sécuriser et limiter cet accès (modification des mots de passe, traçabilité des accès, renforcement de la sécurité informatique…).

En outre, les pouvoirs publics doivent mettre en place des procédures claires et efficaces permettant de répondre dans un délai très court aux demandes des citoyens qui souhaiteraient exercer les droits qui leur sont accordés par le RGPD (droit d’accès aux données, droit de rectification, droit à l’oubli, droit à la portabilité…).

Enfin, des procédures doivent être établies afin d’être en mesure de réagir rapidement et efficacement en cas de fuite de données, d’intrusion non souhaitée dans le système interne ou de risques de fuite.

Il n’est sans doute pas aisé pour toutes les entités publiques de suivre et de mettre en œuvre un tel dispositif contraignant (qui vaut aussi bien pour la grande entreprise que pour la plus petite des communes), mais une sensibilisation à l’importance de ces mesures et à l’objectif poursuivi par le Règlement nous semble particulièrement indiquée à la veille de la mise en application du RGPD. Il s’agit en outre d’une occasion unique de repenser tout le système de traitement de l’information au sein des pouvoirs publics, ce qui ne peut être que bénéfique pour l’administration et le citoyen.

 

[1] Pour une présentation exhaustive des principes du dispositif, nous vous renvoyons notamment à la plateforme de la Commission européenne : https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_fr.