Le RGPD est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Les entreprises s’appuient sur ces informations, parfois sensibles, pour proposer des services et des produits individualisés.
Le Règlement général sur la protection des données (RGPD), a été voté en 2016, et sera appliqué à tous les résidents de l’Union européenne à partir du 25 mai 2018.
Quels sont les objectifs du RGPD ?
Les objectifs du RGPD sont multiples. De prime abord, il apparaissait nécessaire d’actualiser le texte de référence de l’UE datant de 1995, rendu obsolète par des avancées technologiques telles que le Big Data, les objets connectés ou l’Intelligence Artificielle (IA).
Il s’agit ensuite de créer un cadre solide et d’harmoniser la protection des données pour faire face aux nouveaux défis de la protection individuelle des libertés.
L’individu est placé au cœur du dispositif légal et voit ainsi ses droits renforcés par des mesures plus drastiques : consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.
Qui est concerné par le RGPD ?
Toute entité manipulant des données personnelles concernant des Européens doit se conformer au RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou d’une association. L’ensemble du secteur public se trouve en première ligne, même si les premiers visés restent les fameux GAFA (Google, Amazon, Facebook, Apple), très friands de ces informations individuelles.
D’autre part, le texte ne s’applique pas uniquement aux organisations établies sur le territoire européen. Tous les organismes qui collectent et exploitent des données personnelles européennes doivent aussi s’y assujettir.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
Certaines données sont considérées sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés, telle qu’une opinion politique, une obédience religieuse ou une situation médicale…
RGPD : quels impacts dans les collectivités ?
Les collectivités traitent de nombreuses données à caractère personnel. Que ce soit celles des agents ou celles des administrés pour assurer la gestion administrative des différents services publics et activités dont la structure à la compétence.
Les collectivités doivent veiller à respecter les 5 piliers suivants :
- Finalité du traitement
- Pertinence des données collectées
- Limitation de la conservation
- Droit d’accès aux données
- Sécurité, protection des données collectées
Le délégué de la protection des données
Dans le cadre du RGPD, un délégué de la protection des données doit être désigné. Ce référent aura une mission d’information, de conseil et de contrôle en interne.
Pour mesurer concrètement l’impact du Règlement européen, il est nécessaire de cartographier et de recenser de manière précise les traitements de données personnelles, puis d’en élaborer un registre.
Sur la base de l’inventaire réalisé, il convient d’identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Prioriser certaines opérations au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.
En vue d’assurer un respect permanent du RGPD, des procédures internes doivent être mises en place afin de garantir la prise en compte de la protection des données à tout moment. L’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement doivent être pris en compte, comme par exemple une faille de sécurité ou encore une modification des données collectées…
Pour prouver la conformité de la collectivité au Règlement, il est conseillé de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.
La mise en application du RGPD va bouleverser et obliger les collectivités à revoir leurs procédures de collecte des données personnelles. Nul doute qu’il va s’agir pour elles d’un travail considérable compte tenu de la multitude de domaines d’intervention les concernant.