Collectivité, êtes-vous conforme au RGPD ?

  • 08 Février 2019
  • Aucun commentaire

RGPD et conservation des documents administratifs

 

L'objectif du RGPD (Règlement Général sur la Protection des Données) est de renforcer les droits des personnes et de protéger au mieux les données personnelles. Pour une collectivité cela concerne aussi bien les administrés que tous les agents eux-même. Quand on parle de ''données'' cela peut être par exemple : nom, prénom, adresse postale, date de naissance, adresse mail, téléphone ...

Vous comprenez qu'à travers les activités même d'une collectivité, les informations collectées sont très nombreuses. Sevice d'état civil, sevice d'urbanisme, élections ... De plus, les informations collectées peuvent être particulièrement sensibles, comme par exemple avec les fichiers de l'aide sociale.

 

 

Une obligation et des responsabilités

Depuis le 25 mai 2018, toute organisation, et donc toute collectivité, doit être en conformité avec le RGPD. Les grands principes du RGPD sont relativement simples. Sa mise en oeuvre ne l'est pas.

Avec l'entrée en vigueur du RGPD, la CNIL a vu son pouvoir de sanction renforcé. Elle peut faire des avertissements publics mais aussi donner des amendes administratives pouvant aller jusqu'à 20 millions d'euros (ou 4% du chiffre d'affaires mondial pour les entreprises). Et ce n'est peut être pas le pire. Parcequ'une collectivité peut faire l'objet d'un recours individuel, voire même d'une action de groupe.

Les collectivités sont entièrement responsables de l'ensemble des données collectées. Elles doivent adopter des mesures techniques et organisationnelles pour garantir la protection de ces données tout au long de leur cycle de vie au sein de la collectivité. 

Si jusqu'à présent c'était à la CNIL de prouver la non-conformité des usages des collectivités, c'est dorénavant à la collectivité de prouver qu'elle respecte l'ensemble des mesures du RGPD.

 

Les grands principes

Il faut identifier au sein de la collectivité, de façon exhaustive, toutes les données collectées qui ont un caractère personnel. Il faut en identifier l'emplacement, l'usage, la durée de conservation et le sort final. Il faut pouvoir dire comment ces données sont protégées, si elles sont transférées à des tiers, comment elles sont détruites ...

Il faut désigner un Délégué à la Protection des Données (DPD ou DPO en anglais) qui aura accès à l'ensemble des données traitées par la collectivité. Il pourra faire des audit et contrôler le respect du règlement. Ce poste peut être mutualisé sur plusieures collectivités. Il pourra intervenir dans le choix de tout logiciel ou de tout processus organisationnel nouveau susceptible d'impacter la gestion des données personnelles des administrés mais aussi des agents.

 

La toute première étape

Une des premières choses à faire pour le DPD est de répertorier de façon exhaustive toutes les données personnelles que votre collectivité collecte, stocke et utilise dans le cadre de son activité. Cette étape est primordiale, je dirais même que c'est au coeur du RGPD.

Un outil de GED (Gestion Electronique des Données) vous y aidera à la condition qu'un plan de classement adapté à votre collectivité ait été mis en place.

Si vous n'avez pas de GED, parce que votre budget ne vous le permet pas ou que vous n'avez pas encore pu dégager le temps nécessaire pour un tel projet, il existe une solution rapide et non coûteuse pour pouvoir réaliser le travail indispensable d'audit.

La solution la plus simple et la plus rapide est de commencer par mettre en place un plan de classement adapté à votre collectivité (voir la définition d'un plan de classement). Un plan de classement identique pour le classement numérique et le classement papier. Il va concerner tous vos agents administratifs. Ses avantages vont d'ailleurs bien au-delà du RGPD. Il va vous aider dans la gestion documentaire de votre collectivité.

  • Non seulement il va permettre au DPD d'identifier l'emplacement des données collectées,
  • Il va permettre d'harmoniser le classement de vos différents services,
  • Faire regagner du temps aux agents administratifs qui peuvent perdre jusqu'à 7h30 par semaine en recherche et en recompilation de documents (voir notre article à ce propos). 

 

Sans plan de classement, comment votre DPD va-t-il identifier l'emplacement des données personnelles ? Si aujourd'hui le système de classement au sein de votre collectivité est confié à chacun des agents administratifs, il est alors impossible de garantir la conformité avec le RGPD. Car cela signifie que vous ne pouvez pas maitriser l'emplacement des données personnelles. Chaque personne, chaque service va classer ses documents selon sa propre logique et selon ses propres besoins. Le système de classement peut être différent selon qu'il s'agit d'un document papier ou numérique. Vous pouvez avoir des données personnelles un peu partout. Un changement d'agent sur un poste (secrétaire de mairie, référent archives, ressources humaines) ? Son remplaçant va peut être modifier le système de classement en place pour le modeler à sa propre logique... La situation devient complexe et personne ne maitrise plus la traçabilité des données personnelles des administrés ou des agents eux-même.

La solution est un plan de classement basé sur les circulaires officielles. Un plan de classement qui ne change pas au grès des mouvements de personnels. Un plan de classement utilisé par tous vos agents administratifs et qui s'applique quelque soit le type de document.

Sans cela, il va être impossible à votre DPD de cartographier les données et les traitements. Ni de garantir leur traçabilité.


 

La CNIL propose une formation

Pour aller plus loin sachez que la CNIL a ouvert une formation gratuite, ouverte à tous sur le RGPD. Vous y accédez à cette adresse ICI. Vous avez 4 modules et environ 5h de cours sur la mise en conformité des organismes.
C'est très intéressant mais si vous travaillez en collectivité, sachez qu'il va falloir aller plus loin puisqu'il y a des particularités.

 

 

RGPD et gestion de l'archivage des documents administratifs

En collectivité le RGPD concerne les documents administratifs mais aussi certains documents privés d'intérêt historique. Si elle devait respecter strictement le RGPD, une collectivité devrait détruire les registres d'état civill, tous les documents avec des données nominatives ... Il faut donc prendre un peu de recul. 

En fait, la particularité d'une collectivité, notamment ses archives historiques, est gérée par l'article 89 du RGPD.

Pour avoir une vision globale de la gestion du RGPD au sein de la collectivité, il est important de s'attarder en particulier sur cet article qui traite une exception. Car si le RGPD oblige à détruire toute donnée personnelle qui n'est plus utilisée. Il est inimaginable de détruire des données personnelles qui ont un caractère historique par exemple.

C'est pour cette raison que le code du patrimoine se substitue au RGPD pour des cas bien précis.

Si vous souhaitez plus d'informations à ce sujet, nous traitons ce point essentiel au sein de notre programme dédié aux collectivités. Nous proposon un accompagement dans la mise en place notamment d'un plan de classement. Vous pouvez regarder le détail de ce programme sur cette fiche de synthèse ICI.

 

Dans tous les cas, si ce n'est pas encore fait, ne tardez pas. La tâche est importante et le délai déjà passé...