Mettre en œuvre le RGPD dans les collectivités À compter du 25 mai 2018, toutes les collectivités doivent se mettre en conformité avec le nouveau règlement sur la protection des données personnelles, transposé dans la nouvelle loi informatique et libertés.
À la différence des nombreuses publications juridiques sur le sujet, il se veut une approche synthétique et pratique qui s'adresse aussi bien aux élus locaux qu'aux équipes fonctionnelles. Basé sur l'expérience de plusieurs praticiens, c'est un outil irremplaçable de mise à niveau accélérée sur cette réglementation complexe, de sensibilisation des acteurs et de mise en place des fondations du projet. Le RGPD s'inscrit dans la logique novatrice d'un nouveau service public de la donnée en collectivité. L'ambition de ce guide pratique est aussi de vous permettre de construire le socle solide de votre action de demain.
Laurent Charreyron est consultant sur les problématiques d'identité numérique et de protection des données personnelles. Praticien, de sensibilité à la fois juridique et technologique, il privilégie une approche pragmatique de la gestion des projets transversaux, axée sur les usages et la gouvernance. Animateur du cycle « identité numérique » de l'association Villes Internet, il publie régulièrement sur ces sujets dans le blog inuq.eu et participe régulièrement à des conférences en France et à l'étranger. laurent.charreyron@inuq.eu
LES ESSENTIELS
L. Charreyron
LES ESSENTIELS
Mettre en œuvre le RGPD dans les collectivités
Ce guide vous permettra d'en comprendre les dispositions essentielles et de découvrir les grandes étapes du projet de mise en conformité.
Mettre en œuvre le RGPD dans les collectivités
Laurent Charreyron
www.territorial-editions.fr ISSN : 2553-5803 – ISBN : 978-2-8186-1429-7
Mettre en œuvre le RGPD dans les collectivités LES ESSENTIELS Laurent Charreyron
Consultant, spécialiste des questions d’identité numérique et de protection des données personnelles laurent.charreyron@inuq.eu
CS 40215 - 38516 Voiron Cedex Tél. : 04 76 65 87 17 - Fax : 04 76 05 01 63 Retrouvez tous nos ouvrages sur http://www.territorial-editions.fr
Référence BK 324 Avril 2018
Vous souhaitez être informé de la prochaine actualisation de cet ouvrage ?
C’est simple ! Il vous suffit d’envoyer un mail nous le demandant à : jessica.ott@territorial.fr Au moment de la sortie de la nouvelle édition de l’ouvrage, nous vous ferons une offre commerciale préférentielle.
Avertissement de l’éditeur : La lecture de cet ouvrage ne peut en aucun cas dispenser le lecteur de recourir à un professionnel du droit.
Il est interdit de reproduire intégralement ou partiellement la présente publication sans autorisation du Centre Français d’exploitation du droit de Copie. CFC 20, rue des Grands-Augustins 75006 Paris. Tél. : 01 44 07 47 70
© Territorial, Voiron ISBN : 978-2-8186-1429-7 ISBN version numérique : 978-2-8186-1430-3 Imprimé par Reprotechnic, à Bourgoin Jallieu (38) - Mai 2018 Dépôt légal à parution
Sommaire Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.9 Préface Données personnelles et propriété : question d’identité du citoyen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.11 Introduction Une nouvelle gouvernance de la donnée en collectivité. . . . . . . . . . . . p.15 Les enjeux de la donnée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.15 Le défi des données pour la collectivité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.16 Exploiter et partager les données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.18 Protéger les données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.18 Tout le monde est partie prenante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.19
Partie 1 Comprendre le RGPD Chapitre I Plus qu’une réglementation : une nouvelle attitude. . . . . . . . . . . . . . . . . . . . . p.23 A - Les grands principes du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.23
Chapitre II Qu’appelle-t-on « données personnelles et traitements ». . . . . . . . . . . . . p.26 A - Qui est concerné ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.26 B - Qu’est-ce qu’une donnée personnelle ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.26 C - Qu’est-ce qu’une donnée sensible ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.27 D - Qu’est-ce qu’un traitement ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.28 E - Qui est responsable ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.28 1 Le responsable du traitement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.29 2. Le sous-traitant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.31 3. Le destinataire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.32 4. Les tiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.32
Sommaire
Mettre en œuvre le RGPD dans les collectivités
B - L’esprit du RGPD : des acteurs « redevables » . . . . . . . . . . . . . . . . . . . . . . . . . . . p.24
3
Chapitre III Les grands principes du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.33 A - Le principe de responsabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.33 B - « Privacy by Design » et « Privacy by Default » (art. 25). . . . . . . . . . . . . . . p.33 1. Le « Privacy by Design » (art. 25). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.34 2. Le « Privacy by Default » (art. 25) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.35
C - Licéité, loyauté et transparence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.35 D - Limitation de la finalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.38 E - Minimisation des données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.38 F - Exactitude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.39 G - Limitation de la durée de conservation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.39 H - Sécurisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.40
Chapitre IV Les droits garantis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.42 A - Le droit d’accès (sect. 2 et cons. 63) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.42 1. De quoi s’agit-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.42 2. Son champ d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.42 3. Comment le mettre en œuvre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.43 4. Justifier vis-à-vis de la Cnil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.44
B - Le droit à rectification (art. 16 et 19, cons. 65). . . . . . . . . . . . . . . . . . . . . . . . . . p.44 1. De quoi s’agit-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.44 2. Son champ d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.44 3. Pratiquement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.44
Mettre en œuvre le RGPD dans les collectivités
C - Le droit à l’effacement (art. 17) (dit « droit à l’oubli ») . . . . . . . . . . . . . . p.45
4
1. De quoi s’agit-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.45 2. Comment s’applique-t-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.45 3. Facile à dire, pas facile à réaliser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.46
D - Le droit à la portabilité des données (art. 20) . . . . . . . . . . . . . . . . . . . . . . . . . p.47 1. De quoi s’agit-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.47 2. Quel est son champ d’application ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.47 3. Quelles obligations ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.48 4. En pratique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.48
E - Le droit à la limitation des traitements (art. 18) . . . . . . . . . . . . . . . . . . . . . . . . p.49 1. De quoi s’agit-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.49 2. Quand s’applique-t-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.49
Sommaire
3. En pratique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.49 4. Fonctionnellement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.49
F - Le droit d’opposition (art. 21, cons. 69-70) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.50 1. De quoi s’agit-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.50 2. Comment se conformer ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.50 3. Peut-on s’y opposer ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.50
G - Le cas des décisions individuelles automatisées (art. 22, cons. 71, 73). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.51 1. De quoi s’agit-il ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.51 2. Ce qu’il faut faire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.51
H - Face aux usagers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.52 I - La charte pour la protection des données personnelles . . . . . . . . . . . . p.52
Chapitre V Recueillir et gérer le consentement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.53 A - Bonnes pratiques pour s’assurer qu’un consentement est « valide/adéquat » ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.55 B - Comment va-t-on gérer pratiquement le consentement ? . . . . . . . . . p.55 C - Quand demander le consentement ? Le cas du recrutement . . . p.56 D - Portails citoyens : l’authentification via les réseaux sociaux ou d’autres fournisseurs d’identité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.57 E - Retirer son consentement (art. 7, cons. 42). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.58 F - Le cas des cookies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.58
Le projet RGPD et les outils Chapitre I Se mettre en mode RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.63 A - Recommandations de la Cnil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.63 B - La gouvernance (les élus et la hiérarchie). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.64 C - Impliquer les métiers et les utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.65 D - L’équipe projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.66
Sommaire
Mettre en œuvre le RGPD dans les collectivités
Partie 2
5
Chapitre II Le DPD, sa vie, son œuvre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.67 A - Le DPD, un mouton à 5 pattes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.67 B - Le DPD : une autorité indépendante dans la collectivité. . . . . . . . . . . . p.68 C - Modalités de nomination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.69 D - Temps plein ou temps partiel, y a-t-il un bon seuil pour mutualiser ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.70 E - Son coût – Solutions externalisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.71
Chapitre III Cartographier les données et les traitements (art. 30) . . . . . . . . . . . . . . . . p.75 A - Qu’est-ce qu’une cartographie ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.75 B - Pourquoi il est important d’avoir un référentiel de données à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.75 C - Le projet de cartographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.76 1. Étape 1 : Inventorier les données : la vue statique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.76 2. Étape 2 : Cartographier l’usage des données : la vue dynamique . . . . . . . . . . . . . . . . . . p.79 3. Étape 3 : Constituer le registre des traitements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.80
Chapitre IV Les sous-traitants et la revue des clauses contractuelles (art. 24, 28, 29, cons. 74-77, 81, 83). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.83 A - Les principales obligations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.83
Mettre en œuvre le RGPD dans les collectivités
B - Sous-traitance informatique : le cas du SaaS et du cloud. . . . . . . . . . p.84
6
C - Un exemple de mise en action de la revue contractuelle au CD des Alpes-Maritimes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.87 1. Le plan d’action contractuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.87 2. Obligations et vérifications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.87
Chapitre V Anticiper et gérer les risques (art. 32, 35). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.88 A - L’approche par les risques est au cœur du RGPD. . . . . . . . . . . . . . . . . . . . p.88 B - Le PIA : prendre en compte les risques très en amont (art. 35). . . . p.89 1. Passe 1 : Déterminer si le risque est élevé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.90 2. Passe 2 : L’analyse d’impact sur la protection des données . . . . . . . . . . . . . . . . . . . . . . . p.91
Sommaire
C - Comment réaliser un PIA ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.92 1. Comment capturer les bonnes informations via le questionnaire. . . . . . . . . . . . . . . . . . p.92 2. S’adapter à l’organisation en place . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.93 3. Choisir un outil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.93
D - Focus : la gestion des risques fournisseurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.94 E - Focus : les téléservices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.95
Chapitre VI Quelques aspects techniques : la sécurisation des données (art. 32) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.98 A - Rappel : les principaux chantiers techniques du RGPD. . . . . . . . . . . . . p.98 B - Anonymisation, pseudonymisation et obfuscation . . . . . . . . . . . . . . . . . . . p.99 C - Confidentialité et intégrité : le chiffrement des données personnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p.100
D - Garantir une bonne hygiène du système d’information. . . . . . . . . . .
p.100
Partie 3 Faire vivre le RGPD
A - Ce qu’il faut faire, pratiquement…. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p.105
B - L’importance de la formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p.107
Chapitre II Anticiper et gérer la crise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.108 A - Les obligations du RGPD sur les violations de données personnelles (art. 33, cons. 75, 85, 87, 88). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p.108
B - Préparer la gestion de crise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p.109
Chapitre III Mettre en place les processus de gestion des demandes utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.111
Sommaire
Mettre en œuvre le RGPD dans les collectivités
Chapitre I Sensibiliser les parties prenantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.105
7
Chapitre IV La boîte à outils du DPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.112 A - L’application de tenue du registre des traitements. . . . . . . . . . . . . . . . .
p.112
B - Les outils de cartographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p.113
C - Les outils d’analyse de risques (analyses d’impact). . . . . . . . . . . . . . .
p.113
D - Sensibilisation et formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p.114
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.115
Annexes Annexe I Ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.119 Annexe II Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.122 Annexe III Le RGPD en pratique : exemples et retours d’expérience. . . . . . . . . . . . p.124 Annexe IV FAQ et autres exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.127
Mettre en œuvre le RGPD dans les collectivités
Annexe V Les réseaux sociaux et la collectivité plate-forme. . . . . . . . . . . . . . . . . . . . . . p.129
8
Annexe VI Clauses contractuelles types en cas de marché mettant en œuvre ou impactant un (des) traitement(s) de données à caractère personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.133 Remerciements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.136
Sommaire
Voici maintenant plus de vingt ans qu’Internet évolue et que le numérique en général prend une place tellement plus importante dans nos activités que certains évoquent cette période comme une mutation au moins aussi essentielle que celle qui jadis apporta l’électricité dans tous les foyers. L’Internet, qui est en fait le principal outil mondial de communication, a été développé à partir de logiciels libres de droits. Le protocole IP ainsi réalisé et évolutif permet aux objets, aux hommes et aux femmes de se connecter. Une adresse de départ et une adresse d’arrivée du message, et voilà que l’information va vers sa destination. Le protocole IPv6 permet déjà de pouvoir connecter tout ce petit monde avec une adresse unique possible pour chaque individu, pour chaque objet sur notre planète. Alors, la tentation est grande d’associer nos identités avec ces adresses IP. Patrick McGoohan, l’acteur principal (numéro 6) de la célèbre série télévisée Le prisonnier y déclarait souvent comme un cri qu’il n’était pas un numéro mais un homme libre. L’identité est une notion qui s’est construite peu à peu depuis le début de l’humanité. Or, réduire sa propre humanité à un chiffre ou bien à quelques mots qui me caractérisent subjectivement, est inexorablement réducteur. Nous sommes des êtres complexes et multiples qui ne sauraient être réduits dans un tableur ou une base de données. Vous l’avez compris, nous touchons là à l’essentiel. Le règlement général de protection des données (RGPD) issu d’un règlement européen a pour vocation de mettre en œuvre une sécurisation de nos données personnelles. En effet, nous vivons désormais dans un monde où des acteurs mondiaux sont susceptibles peut-être de nous connaître mieux que nous ne nous connaissons nous-mêmes. Il est heureux que l’Europe se préoccupe de ce sujet et que ses institutions construisent une souveraineté protectrice. Pour l’heure, il nous faut mettre massivement en conformité nos actes avec nos pensées. Les collectivités locales doivent prendre leur part au chantier. La mutation numérique est en cours et va durer probablement encore quelques dizaines d’années. Pour autant, il est vital de ne pas se laisser déborder et de mettre en place les processus d’humanisation de nos organisations. L’action publique doit se renouveler et maîtriser la mutation en cours. À ce titre, la gestion des données des citoyens devient désormais un enjeu national qui ne saurait être délégué aux forces du marché. Les collectivités locales doivent se positionner comme des tiers de confiance dans ces domaines. C’est là toute l’acuité du travail de Laurent Charreyron qui propose un recueil très précis sur les obligations issues du RGPD à respecter et sur les étapes à suivre pour les mettre en œuvre. C’est à n’en pas douter, pour les acteurs publics locaux, le début de l’appropriation de la
Avant-propos
Mettre en œuvre le RGPD dans les collectivités
Avant-propos
9
Mettre en œuvre le RGPD dans les collectivités
gestion des données et de sa gouvernance. Si vous êtes dans cette démarche, cet ouvrage construit avec rigueur sera pour vous un compagnon précieux. Jean-Luc SALLABERRY Chef du département numérique de la FNCCR www.fnccr.asso.fr
10
Avant-propos
Préface
« Je suis française, majeure et vaccinée. » Cette phrase prononcée la tête haute revendique une identité : je suis femme, émancipée et responsable. Je porte mon identité comme ma liberté. Simplement, ces quelques mots informent mes interlocuteurs sur mon pays d’origine, mon âge et ma santé. Pourtant, est-ce bien la vérité ? En France en 2018, pour le prouver je dois fournir des informations vérifiables par l’administration publique : lieu et date de naissance, numéro de Sécurité sociale ou attestation fiscale. Cette preuve de l’« état de civilité » d’une personne reste en 2018 à fournir sur support physique (papier ou numérique). Le plus souvent imprimées, lisibles et tenues en main, ces déclarations signées nous donnent accès à nos droits aux moments clés de nos histoires de vie : naissance, décès, élection, emménagement, études, soins vitaux… Ces données me permettent de renaître régulièrement dans l’espace public pour exercer mes droits et devoirs de citoyen. Et ces droits me sont « donnés » par celui qui détient l’autorité. Le propriétaire des supports matériel de ces « données » personnelles doit être « de confiance ». L’ordinateur1 n’est qu’une machine intermédiaire des ordres qui lui sont donnés, en l’occurrence par l’État et ses administrations, centrales ou locales. Pour autant, mes droits me sont dus et personne ne doit en tirer un pouvoir commercial, idéologique ou politique. Dématérialisation de l’identité : une révolution de la liberté ou du contrôle ? Dans les années soixante, les scientifiques chercheurs en mathématiques et en informatique inventaient l’Internet. Sur ces réseaux numériques, une information est chiffrée puis découpée en morceaux dans un ordinateur2 avant de circuler dans des câbles pour être reconstituée dans celui du destinataire. Une sécurité inédite pour la circulation de l’information, que les organisations internationales de défense ont immédiatement plébiscitée. On y voit l’outil du secret, clé de la victoire dans une guerre froide qui n’en finissait pas. Quelques philosophes français3, à l’approche d’une autre révolution, de rue celle-là, ont exploré la part « copernicienne » de cette innovation technique. Ils y ont vu son impact sociétal immense sur les démocraties
1. O rdinateur : au XVIIe siècle, il s’agissait des religieux qui ordonnaient les règles de la vie commune et produisaient l’ordre social. 2. 1 969 Réseau Arpanet : 4 laboratoires universitaires américains connectent 4 ordinateurs distants. 3. L es philosophes des processus : Michel Serres, Gilles Deleuze, Pierre Lévy.
Préface
Mettre en œuvre le RGPD dans les collectivités
Données personnelles et propriété : question d’identité du citoyen
11
Mettre en œuvre le RGPD dans les collectivités 12
vivantes, par définition instables. Très vite les chercheurs en droit4 les ont suivis en exprimant la question fondamentale de l’appartenance. « À qui appartient l’objet numérique ? » Les débats et les règles se percutent : droit de l’auteur, droit de l’hébergeur, droit de l’éditeur. On laisse à l’utilisateur le droit à l’oubli et à l’État une curieuse concurrence, la souveraineté numérique. Les lois sont publiées, les décrets pas toujours suivis. Les conseillers diplomatiques se font prospectivistes : « Il est vraisemblable qu’on va assister à une victoire du droit privé sur le droit public, les réseaux correspondant plus au domaine du contrat privé qu’au domaine du contrat social. Ils accoucheront d’une société de marché. Le système judiciaire sera remplacé par des arbitres. Même le politique disparaîtra, puisque le contrat sera individuel et non plus social. »5 Le joli mois de mai Ce 25 mai 2018, c’est la naissance d’un règlement européen qui s’inscrit pour les Français dans l’histoire républicaine. Qu’en sera-t-il, outre un vaste marché de nouveaux experts ? Le début de la propriété des données par le citoyen ? Ou un meilleur outil de contrôle, marchés d’un côté, État de l’autre ? Ce règlement est un grand cadre dans lequel chaque élu, chaque décideur public doit peindre le tableau de ses responsabilités. Et pour le moins à haute voix exiger la transparence et la connaissance, car la complexité n’est pas synonyme d’ignorance pour les béotiens. Souhaitons que les nombreux délégués à la protection des données, rendus obligatoires par la Cnil, aient pour première mission l’éducation à la défense des droits numériques des citoyens. Mai 2018 : une révolution citoyenne plus que numérique ? Vigiles pour changer d’attitude Au milieu du XVIIe siècle, Spinoza a affirmé que si l’État veut se maintenir, il ne doit exercer aucun contrôle sur les pensées et les idées de ses habitants. Suivons ce grand guide et continuons de produire de la démocratie avec le respect des identités et des données qui en sont la preuve. S’éduquer pour protéger son identité et débattre pour en construire collectivement les défenses. Oui, Internet et les technologies sont sources d’émancipation des individus. Une source qui ne doit pas tarir quand on nous invite à redéfinir encore la vie privée. La vigilance est un principe pour les élus et décideurs publics, membres de l’association Villes Internet. Vigiles pour saisir le meilleur de la technologie et savoir limiter ses excès, raisonnablement sans la diviniser ni la diaboliser. Comme un produit des
4. L awrence Lessig : spécialiste en droit de la propriété intellectuelle, fondateur de l’organisation Creative Commons : « Nous sommes tellement obnubilés par l’idée que la liberté est intimement liée à celle de gouvernement que nous ne voyons pas la régulation qui s’opère dans ce nouvel espace, ni la menace qu’elle fait peser sur les libertés. » 5. J acques Attali, Libération, juin 1998.
Préface
Mettre en œuvre le RGPD dans les collectivités
intelligences humaines dont les motivations diverses n’autorisent aucun évitement. Tout abus en matière d’identité abuse la société collectivement. Commençons avec cet ouvrage, exercice délicat mené par Laurent Charreyron, coconcepteur des premiers débats ouverts sur ce sujet, le Cycle d’assises de l’identité numérique du citoyen que Villes Internet a produites de 2015 à 2016. Conscient des controverses qui ne vont pas manquer d’émerger, des usages qui poseront de nouvelles questions, Laurent éclaire les opportunités pour les libertés personnelles. Il rappelle la genèse et décrit des méthodes, toujours soucieux de la place à protéger, celle du citoyen. Il nous invite à « changer d’attitude ». Suivons-le… Florence DURAND-TORNARE Fondatrice et déléguée générale de l’association Villes Internet http://www.villes-Internet.net
Préface
13
Introduction Une nouvelle gouvernance de la donnée en collectivité Attention Par convention et facilité de lecture de cet ouvrage, nous utilisons le genre masculin comme un genre « neutre » pour parler des acteurs du RGPD.
La protection des données personnelles est un enjeu fondamental de la société de demain. Il concerne chacun de nous, dans toutes nos capacités : individu, citoyen, agent ou partenaire des collectivités. Il est aussi perçu comme une dimension économique importante face aux excès de la mondialisation. C’est pourquoi rarement législation européenne n’aura bénéficié d’un tel consensus. Pour autant, ce n’est pas une révolution : l’essentiel des principes que le RGPD affirme était déjà défini en France dans la loi informatique et libertés de 1978. Il faut aussi se replacer dans le mouvement actuel de régulation du monde virtuel et la modernisation de l’action publique, avec la loi pour une République numérique, la loi NOTRe, le Code des relations entre le public et l’administration, la loi Sapin, la loi sur la modernisation de la justice, les textes sur la sécurisation des infrastructures informatiques, sur la signature électronique, etc. Derrière des affirmations de principe parfois monolithiques, le RGPD est truffé d’exceptions (pas moins de 56), qui renvoient au droit national. La nouvelle loi LIL (en cours d’examen à la date de rédaction de ce guide) en module les obligations – à la hausse comme à la baisse. Voyez le RGPD comme une nouvelle règle du jeu. Un jeu très sophistiqué ! Ses dispositions sont souvent sujettes à interprétation. Elles sont parfois contradictoires avec d’autres législations. En attendant l’inévitable jurisprudence, les autorités nationales réunies au sein du Comité européen à la protection des données (aussi appelé le « G29 ») publient des « lignes de conduite » et des avis permettant de clarifier certains points. En France, le rôle de la Cnil est déterminant et il faudra toujours se référer à elle en cas de doute.
Les enjeux de la donnée Dans un monde presque entièrement informatisé, où le virtuel fusionne à grande vitesse avec le réel, la maîtrise des données est devenue essentielle pour le bon fonctionnement de nos sociétés.
Introduction
Mettre en œuvre le RGPD dans les collectivités
15
L’Internet et les infrastructures informatiques normalisées sont désormais capables de capturer et d’analyser des masses énormes de données en temps réel, dans tous les domaines. Le big data et la mobilité ouvrent tous les jours des horizons nouveaux sur nos modes de fonctionnement. D’où l’engouement pour le concept de la « ville intelligente ». Les données sont devenues le nerf de la guerre des grandes économies financières modernes. Les entreprises qui font l’objet des plus importantes valorisations boursières sont celles dont le cœur de métier est de traiter l’information. La donnée est désormais considérée comme un actif financier, au même titre que les infrastructures traditionnelles. La donnée générée sur le territoire a une valeur d’usage très concrète pour les citoyens, les acteurs locaux, et pour l’attractivité économique du territoire. Mais cette valeur est aussi l’objet de toutes les convoitises, ce qui soulève la question fondamentale de la protection des données et des systèmes informatiques dans lesquels elles « vivent ». C’est un changement de paradigme, qui remet aussi en cause les rôles et les missions traditionnels de tous les acteurs économiques et sociaux, privés et publics.
Mettre en œuvre le RGPD dans les collectivités
Le défi des données pour la collectivité
16
Le territoire est un lieu stratégique de production de l’information. S’y imbriquent les nombreuses infrastructures physiques vitales (eau, électricité, télécommunications, assainissement, transports, voirie, etc.) qui permettent à la collectivité de fonctionner, et celles-ci génèrent en permanence des flux de données d’usage ou de performance. Une fois que l’organisation de l’espace physique est assurée, l’essentiel des activités des collectivités est de fournir des services qui sont autant de flux d’informations à traiter, permettant à nos sociétés complexes de fonctionner. Le croisement des données d’infrastructure et des données d’organisation et d’usage représente un enjeu majeur pour leur avenir. C’est un des challenges de la ville intelligente et d’un nouvel urbanisme. Améliorer les outils de pilotage Dans un contexte économique tendu, il est vital de pouvoir collecter et analyser les données afin d’optimiser la valeur d’usage des infrastructures et d’améliorer le service rendu aux citoyens. Le mode de gouvernance des collectivités va ainsi évoluer, passant d’une gouvernance patrimoniale (axée sur le développement des infrastructures physiques), à une Introduction
gouvernance de services (où c’est la capacité de délivrer rapidement des services aux utilisateurs qui prime). Cette nouvelle orientation s’inscrit par ailleurs dans une logique de développement durable, qui souhaite minimiser l’impact écologique. Elle implique de capturer toutes les interactions pour comprendre finement les comportements des utilisateurs afin de : - mieux modéliser les investissements et anticiper les évolutions ; - optimiser l’usage des infrastructures existantes ; - mutualiser les services et simplifier les organisations ; - réagir rapidement aux situations de crise et assurer la sécurité. C’est toute la difficulté de la transformation numérique, qui impose de décloisonner et de croiser les données pour affiner les outils de pilotage et d’aide à la décision.
Créer de la valeur pour tous Dans la logique du service public, la mise en valeur et l’exploitation des données générées par le territoire doivent se faire au bénéfice de tous. Cela implique : - d’ouvrir l’accès aux données (open data) ; - de garder la maîtrise sur les conditions d’exploitation, notamment dans les relations avec les exploitants des infrastructures matérielles, ou les sous-traitants ; - de gérer activement ce nouveau patrimoine en le partageant avec les acteurs des autres dimensions territoriales. La collectivité doit s’emparer de cette nouvelle mission, notamment pour favoriser l’attractivité économique et jouer son rôle d’aménagement du territoire numérique.
Cette valorisation de la donnée implique la mise en place de toute une chaîne de services et d’applications informatiques (stockage, sécurité, traçabilité, conformité, etc.), c’est pourquoi on parle de plus en plus de la collectivité comme d’une « plateforme » de services, à l’usage de tous les acteurs du territoire. Attention L’open data est devenue une obligation réglementaire : - c’est une obligation pour les collectivités de plus de 3 500 habitants : loi NOTRe, loi Valter, loi Macron, loi pour une République numérique ; - à compter d’octobre 2018, les données essentielles de la commande publique devront être mises à disposition ; - depuis le 1er août 2017, les données essentielles des conventions de subvention sont rendues publiques.
Introduction
Mettre en œuvre le RGPD dans les collectivités
Il s’agit d’un nouveau « service public de la donnée » visant à garantir l’accès des données à tous, et à s’assurer que la donnée est collectée, traitée et conservée dans le respect des obligations légales de chaque activité.
17
Exploiter et partager les données Exploiter la donnée territoriale, c’est créer des entrepôts de données, monter des systèmes d’information géographique, mettre en place des outils analytiques et de visualisation, affiner les outils décisionnels et les tableaux de bord. Il s’agira de gérer activement les données dans le système d’information : - savoir où elles résident, faire des cartographies ; - s’assurer de leur qualité : comment sont-elles saisies, sont-elles correctement décrites ? - en organiser le cycle de vie : collecte, anonymisation, suppression, backup, archivage ; - puis penser la mise à disposition des informations via des portails dédiés (plateforme d’information géographique, portails thématiques, etc.), des applications mobiles ou des API6 documentées ; - enfin organiser l’utilisation et le partage des connaissances en interne via le réseau social d’entreprise. Attention La coordination de l’information géographique est une compétence régionale (loi NOTRe).
Mettre en œuvre le RGPD dans les collectivités
Protéger les données
18
La mission de protection des données est fondamentale. La collectivité doit s’imposer comme un tiers de confiance impartial et être le garant de la qualité de cette « matière première numérique » auprès des usagers et des partenaires. Il y va de sa légitimité politique. Elle devra donc : - vérifier la conformité juridique et technique des traitements, dans une démarche d’amélioration continue ; - s’assurer régulièrement de la sécurité à tous les niveaux de l’infrastructure infor7 matique et des applications, en conformité avec le RGS et les réglementations sectorielles ; - porter une attention particulière à l’application du RGPD pour la protection des données à caractère personnel. Les deux derniers points impliquent de passer à un mode de gestion « par les risques », c’est-à-dire de tenter d’avoir une vue analytique sur l’activité, afin d’anticiper et de se concentrer sur les informations sensibles.
6. Application Programing Interface : ce sont les briques du lego applicatif qui permettent d’accéder directement aux fonctions des applications. 7. L e référentiel général de sécurité (RGS) est le cadre réglementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens.
Introduction