04 91 33 79 23
Espace client
Les actualités
Dématérialisation et conformité numérique : De nouveaux enjeux pour les collectivités territoriales

Dématérialisation et conformité numérique : De nouveaux enjeux pour les collectivités territoriales

Publié le : 09/12/2021 09 décembre déc. 12 2021

Le rôle central de la dématérialisation au sein des collectivités territoriales

Pour mener à bien leurs missions, les collectivités territoriales n’ont de cesse de développer des outils innovants et ancrés dans l’évolution numérique actuelle. Cette adaptation est d’autant plus nécessaire à l’ère numérique qui engendre une modernisation accrue de tous les secteurs. Les collectivités territoriales se saisissent alors de ces outils numériques afin d’augmenter l'efficacité de leurs actions ainsi que de proposer des services plus performants à leurs usagers, citoyens et administrés. 

Le recours au numérique présente de nombreux avantages, aussi bien pour le public que pour les collectivités elles-mêmes. Il permet d’optimiser la gestion des documents, de fluidifier le trafic, de proposer des nouveaux services, ou encore de dématérialiser et centraliser les formalités. Cet élan de modernisation touche également l’organisation interne des collectivités territoriales tant sur le plan décisionnaire que sur le volet ressources humaines 

Le large spectre couvert par l’évolution numérique des collectivités territoriales voit alors naître un enjeu double : la transparence et la confiance dues tant à l’égard des citoyens que des agents territoriaux. 

Ces enjeux de transparence et de confiance sont mis en exergue par la sensibilisation accrue qu’ont induit les nouvelles réglementations en matière de données personnelles dans l’esprit collectif. Les citoyens sont désormais attentifs aux traitements et au sort de leurs données personnelles. La bonne conformité aux règles édictées en cette matière devient aujourd’hui gage de sérieux et de confiance.

Une nécessaire mise en conformité aux réglementations en matière de données personnelles

Il est plus que jamais primordial que les collectivités territoriales se forment et se conforment aux réglementations en la matière, afin de préserver leurs relations avec leurs agents, usagers et administrés tout en continuant de développer et d’enrichir leurs services. 

La sensibilisation aux problématiques soulevées par la gestion des données personnelles est indispensable. 

Les collectivités territoriales sont aujourd’hui pleinement concernées par les apports majeurs du règlement général sur la protection des données (RGPD) du 27 avril 2016.

Le RGPD a tout d’abord acté la disparition de l’obligation de déclaration préalable de la plupart des traitements au profit des nouveaux principes de responsabilisation (ou accountability) et de privacy by design. Désormais, les responsables de traitement doivent concevoir des outils et recourir à des moyens respectueux de la vie privée des personnes concernées. La déclaration préalable n’étant plus d’actualité, les responsables de traitement sont seuls maîtres de la conformité des solutions développées, ce qui passe notamment par le choix des prestataires sous-traitants de données personnelles en conformité. En cas de contrôle par les autorités compétentes, il leur appartiendra alors de démontrer les démarches entreprises en vue de respecter la réglementation applicable, et de justifier les choix opérés en ce sens. Ce processus passe par la réalisation d’analyses d’impacts, la tenue de registres de traitement, l’argumentation autour du choix du DPO et bien d’autres. Une riche documentation en interne et la démonstration de la maîtrise des traitements opérés seront gages des démarches de conformité entreprises et du respect de la réglementation par la collectivité. 

Il est donc essentiel que les agents des collectivités territoriales soient informés de ces différents sujets lors de l’exercice de leurs fonctions. En effet, un traitement de données personnelles peut intervenir à bien des niveaux, qui ne sauraient être soupçonnés de prime abord sans cartographie des données et sans formation préalable. Des failles et manquements aux obligations édictées par le RGPD se trouvent souvent en amont, dès la collecte réalisée par les agents de terrain. 

S’il peut paraître évident que la numérisation des dossiers des agents territoriaux constitue un traitement de données personnelles, cela le sera peut-être moins s’agissant de la mise en place d’équipements intelligents dans la ville (smart city). Pourtant, ces équipements peuvent mener à des traitements de données personnelles par regroupement, et rendent donc nécessaire une mise en conformité à la réglementation relative à la protection des données personnelles. 

Les collectivités territoriales doivent donc, d’autant plus avec le recours croissant au numérique, inclure les problématiques relatives aux données personnelles dans les cahiers des charges encadrant les services qu’elles mettent à la disposition de leurs usagers. 

Une autre nouveauté apportée par le RGPD concerne précisément la personne à qui il incombera de veiller à cette mise en conformité. En effet, les autorités publiques et les organismes publics ont désormais l’obligation de désigner un délégué à la protection des données (DPD ou DPO) en vertu de l’article 37 a) du RGPD. Ce délégué à la protection des données doit être désigné sur la base de ses qualités professionnelles, en particulier de « ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». Selon l’article 39 du même texte, il a pour mission d’informer et conseiller le responsable de traitement ou le sous-traitant, contrôler le respect de la réglementation relative aux données personnelles, ou encore coopérer avec l’autorité de contrôle et faire office de point de contact. 

Les collectivités territoriales se trouvent donc dans l’obligation de désigner un délégué à la protection des données. Elles doivent alors identifier ou former une personne capable de remplir les missions susmentionnées. Cette personne doit être à même d’évaluer les risques inhérents à un traitement compte tenu de sa nature, de sa portée, du contexte et de ses finalités. Son rôle est essentiel, elle est la clé de voûte de la bonne conformité des traitements entrepris par la collectivité. 

Les collectivités territoriales doivent également être attentives à la conformité des différents prestataires auxquels elles ont recours. La question de la conformité de ces prestataires est essentielle, car la conformité du traitement opéré par la collectivité en dépendra. La collectivité doit donc être en mesure de choisir des prestataires de confiance et d’évaluer l’alignement de ceux-ci aux réglementations en vigueur. 

La conciliation entre l’open data et les réglementations en matière de données personnelles

Outre le RGPD, les innovations législatives en matière d’ouverture des données publiques (open data) soulèvent également des problématiques liées aux données personnelles et concernent directement les collectivités territoriales. En effet, la loi n°2016-1321 du 7 octobre 2016 pour une République numérique est venue consacrer une logique, déjà amorcée depuis plusieurs années, de diffusion automatique de certains documents détenus par les administrations, dans le but que ceux-ci soit exploités et valorisé par ceux qui y auront accès.   

La mise en œuvre de cet open data est régie aussi bien par les dispositions relatives à l’accès aux documents administratifs que par celles relatives à la protection des données personnelles. En effet, puisque les documents concernés peuvent être amenés à contenir des données personnelles, leurs modalités de diffusion doivent être strictement encadrées et contrôlées par les collectivités territoriales. Elles doivent identifier les documents comportant des données personnelles et prendre des mesures adéquates préalablement à leur diffusion en ligne, en procédant par exemple à une anonymisation. Les collectivités doivent également être en mesure d’identifier les circonstances dans lesquelles la diffusion sera licite, notamment par le recueil du consentement des personnes concernées, ou encore si le document relèvent de ceux dont la publication est expressément autorisée par la loi. 

Si la diffusion des documents contenant des données personnelles est permise, la collectivité territoriale devra nécessairement prendre en compte les obligations découlant du RGPD, leur diffusion constituant bien un « traitement » au sens de ce texte. La collectivité devra en particulier informer les personnes concernées, leur permettre d’exercer leur droit d’opposition au traitement, ou encore rectifier des données qui seraient inexactes.  
Les collectivités territoriales doivent donc disposer des moyens leur permettant d’identifier ces différentes problématiques. En effet, sans connaissance de ces obligations et sans formation préalable, il leur sera difficile de répondre aux obligations prévues par les textes. 
Ces questions sont pourtant essentielles, notamment au vu des sanctions encourues et des risques réputationnels engendrés. En effet, la Commission Nationale de l’Informatique et des Libertés (CNIL) se montre vigilante et n’hésite pas à contrôler indifféremment les organismes publics et privés. La publicité des sanctions prononcées a alors un impact direct sur l’image renvoyée, et pourrait s’avérer préjudiciable pour le lien de confiance établi entre la collectivité et ses administrés. 

Fort de ses expertises en droit des données personnelles et en droit public, les équipes du Cabinet Manenti & Co accompagnent les collectivités territoriales et établissements publics dans leurs besoins liés à cet essor numérique, aussi bien pour l’appréhension des normes, grâce à des actions de formation, que dans la rédaction d’actes et l’assistance en cas de contentieux. 


Kamila Crisan, Avocat 
Certifiée DPO Afnor

Amalia GAYDON, juriste,
Titulaire d’un Master 2 Droit des médias électroniques

Olivier Manenti, Avocat 
Docteur en droit public
 

Historique

<< < 1 2 3 4 5 6 7 ... > >>