Les relations entre l’administration et ses administrés n’ont de cesse d’évoluer grâce aux avancées technologiques intervenues ces dernières années (prélèvement à la source, dématérialisation…).
Afin d’anticiper les risques liés à ces évolutions numériques, l’Union Européenne a adopté un règlement général sur la protection des données le 14 avril 2016. Le RGPD (ou GDPR en anglais) est applicable depuis le 25 mai 2018. Ce texte unifie la protection des données pour les individus sur l’ensemble du territoire de l’UE. Qu’en est-il vraiment de ce nouveau cadre juridique appelé « paquet européen de protection des données » ?
La protection des données garantie par le RGPD
Les dispositions du RGPD renforcent les droits des usagers européens en responsabilisant les acteurs à l’origine du traitement et de la gestion des données.
Sauf exception, le RGPD a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel. Il concerne différents types d’entités : les entreprises (privées comme publiques), les administrations, les associations ainsi que leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication etc…) établis dans l’Union Européenne, peu importe le lieu de traitement des données.
Le RGPD concerne également les responsables et leurs sous-traitants établis hors de l’UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou à les cibler. En pratique, dès qu’un résident européen est directement visé par un traitement de données, le règlement tendra à s’appliquer.
Le règlement renforce également les droits des administrés. Ils disposent désormais du droit d’accès à leurs données et peuvent demander à ce que ces données soient modifiées. Chaque citoyen peut également s’opposer à ces données en usant du droit à l’effacement.
Les risques de sanction pesant sur les collectivités territoriales
Les conséquences de l’entrée en vigueur du RGPD sur le secteur public sont très importantes puisque les différents services des collectivités (notamment les services RH) doivent répondre aux exigences imposées par le règlement. Or, il s’avère que les collectivités ne semblent pas tout à fait prêtes à faire face à celles-ci, le risque de sanction est donc réel.
D’autant plus que la loi relative à la Protection des données personnelles datant du 20 juin 2018 a renforcé la législation nationale en matière de protection des données personnelles afin de l’adapter au RGPD et d’autre part, de transposer la directive2016/680 dite directive « police justice ».
La commission nationale de l’informatique et des libertés, chargée du contrôle de l’application de la réglementation, dispose d’un large panel de sanctions pouvant être prononcées à l’encontre des collectivités. Ainsi la CNIL pourra non seulement infliger des sanctions financières allant jusqu’à 20 millions d’euros aux administrations n’ayant pas satisfait aux exigences du règlement, mais elle pourra également prononcer des sanctions portant atteintes à la réputation de la collectivité (mise en demeures, rappel à l’ordre…).
Si vous souhaitez obtenir plus d’informations sur le sujet, rejoignez-nous lors de la prochaine conférence EFE organisée le 22 novembre 2018 et cliquez sur ce lien pour télécharger le programme !
