Données des citoyens : s'atteler au chantier RGPD
Le règlement général sur la protection des données personnelles - le fameux RGPD - entre en vigueur le 25 mai 2018. Une échéance qui impacte aussi les collectivités locales au même titre que les acteurs économiques ou les associations. Et qui appelle les communicants publics à faire évoluer la manière dont ils collectent et utilisent les données pour communiquer avec les citoyens. Le chantier de mise en conformité est vaste et de nombreuses collectivités ne seront pas prêtes pour le 25 mai. La Commission nationale informatique et liberté (CNIL), en charge du contrôle de cette conformité, le rappelle depuis quelques jours : ce ne sera pas une date couperet pour les sanctions. Pour autant, il faut s’y atteler. Faisons un rapide tour du sujet et des enjeux pour les communicants.
RGPD, de quoi parle-t-on ?
Le « Règlement général sur la protection des données » ou RGPD constitue le nouveau cadre juridique de l'Union européenne pour la gestion des données à caractère personnel. Il s’applique à tous les traitements (collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification) de données à caractère personnel, c’est-à-dire « toute information se rapportant à une personne physique identifiée ou identifiable » (nom, numéro d’identification, données de localisation, identifiant en ligne, etc.). En cas de non-respect, les organismes risquent des sanctions financières pouvant aller jusqu’à 20 millions d’euros et 4% du chiffres d’affaires annuel mondial pour les entreprises.
Pour aider les organismes à avancer, la Cnil a identifié 6 étapes préliminaires à l’arrivée du RGPD :
- Désigner un pilote : le délégué à la protection des données qui exercera une mission d’information, de conseil et de contrôle en interne
- Cartographier les traitements de données personnelles : les recenser de façon précise et élaborer un registre des traitements
- Hiérarchiser les actions à mener : identifier les actions prioritaires au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées
- Gérer les risques : analyser l’impact pour les traitements de données sensibles (à haut risque)
- Organiser les processus internes : établir des procédures internes afin d’assurer un haut niveau de sécurité
- Documenter la conformité : réaliser les documents visant à prouver la conformité au règlement
Cette harmonisation européenne des règles s’inscrit dans la continuité de la loi française « informatique et libertés de 1978 », vise à redonner aux citoyens le contrôle de leurs données individuelles et à responsabiliser les organismes publics et privés qui traitent leurs données au quotidien.
Elle s’articule autour de quatre grands principes :
- le droit des personnes : droit d’accès à leur données, droit à l’oubli, droit à la limitation du traitement dans certains cas et droit à la portabilité des données
- la responsabilité : les organismes doivent garantir le droit des personnes et la sécurité des données par la mise en place de mesures, d’outils et de process appropriés
- le consentement : la collecte et le traitement des données à caractère personnel ne peut s’opérer qu’avec le consentement explicite et « positif » des individus concernés
- la transparence : condition du consentement explicite et éclairé, elle se traduit dès la phase de collecte par la mise à disposition d’informations claires et sans ambiguïté sur la manière dont les données seront traitées
Le rôle des communicants : informer, obtenir, garantir
Ces principes imposent de repenser la relation à l’usager dont l’administration traite les données pour lui fournir des services. Un travail transversal à mener dans les collectivités impliquant les services juridiques, ressources humaines, informatiques et communication. Pour ce dernier, plusieurs enjeux. Informer d’abord. Le RPGD impose à l’organisme de fournir des informations complètes aux personnes concernées lors de la collecte de leurs données personnelles sur le traitement, la finalité, la durée de conservation et les modalités de retrait des données. Obtenir ensuite. L’un des points principaux de ce nouveau règlement consiste en l’obtention du consentement explicite des personnes concernées par le traitement des données. Garantir enfin : la proportionnalité d’une part, c’est à dire que la récolte des données est en adéquation avec l'objectif recherché, la sécurité et la portabilité des données d’autre part, en conversant avec les sous-traitants ou les interlocuteurs techniques.
Quelques actions à mener pour commencer
- Recenser les traitements concernés : faites le tour de vos supports de communication pour identifier les traitements de données personnelles. Cela alimentera le registre des traitements de la collectivité
- Mettre en conformité vos formulaires : ils doivent informer sur les données collectées, la durée de conservation, la finalité du traitement, et les droits de l’usager. Ils doivent également permettre de recueillir le consentement explicite de l’internaute pour chaque finalité. Utilisez un langage clair, facilement compréhensible et sans tournure négative et supprimez les cases précochées. De la même manière, il faudra adapter vos bandeaux d’information sur les cookies collectés sur votre site web
- Revoir vos mentions légales pour le rendre conforme au nouveau règlement
- Faites le point avec vos sous-traitants avec qui vous collectez, traitez ou stockez des données (comme par exemple les fournisseurs de solutions d'envoi de newsletter). Vous devez veillez à ce qu’ils respectent les disposition du RPGD
- Sensibiliser à l’interne : documenter et former les agents au respect de cette nouvelle réglementation, mais aussi de leurs propres droits
- Adopter le développement en mode « Privacy by design » : désormais, il faudra prévoir d’intégrer les principes du RGPD dès la conception d’un projet, d’un service ou de tout autre outil lié à la manipulation de données personnelles