Source : Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016

 

1. LES ENJEUX DE L’APPLICATION DU RGPD AUPRES DES PERSONNES PUBLIQUES

 

1.1. L’e-administration

1.2. Système d’information géographique

1.3. L’open data

 

2. ACTEURS DE LA SPHERE PUBLIQUE CONCERNES PAR L’APPLICATION DU RGPD

 

3. MISSIONS DU DELEGUE A LA PROTECTION DES DONNEES

 

3.1. Devoir d’information, de conseil, et contrôle

3.2. Garanties à l’effectivité de la mission dpo

 

L’adoption du RGPD à partir du 25 mai 2018 marque un point de non-retour dans la gouvernance des données qui prévalaient au sein des autorités et organismes publics.

 

En application du nouveau règlement européen, l’administration sera en effet tenue de délaisser l’instrument de l’autorisation et de la déclaration préalable en matière de protection des données, institué par la loi Informatique et Liberté[1] au profit du mécanisme de conformité prescrite par le RGPD.

 

Cette substitution constitue un changement culturel profond dans le mécanisme de la gouvernance de la protection des données par les autorités publiques.

 

La conformité impliquera la responsabilisation du traitement des données à l’échelle de la structure qui en assure la maitrise d’œuvre. Le responsable du traitement qui agit pour le compte de la collectivité devra adopter des mesures et dispositifs assurant l’optimal en matière de protection des données tout en tenant compte des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

 

La migration du contrôle et traitement des données réalisés au plus près des acteurs publics et privés à la fois collecteur et producteur de données s’inscrit dans une logique de subsidiarité. Pour être efficient, le contrôle et le traitement des données doivent être pourvus à une échelle pertinente.

 

A ces propos introductifs, il importe d’apporter quelques éclaircissements succincts quant à la l’application du RGPD à l’encontre des entités publiques, le périmètre de leurs obligations en matière de protection des données et la nature des missions dévolues aux délégués à la protection des données (DPO).

 

On esquissera ces premiers développements, tout en gardant à l’esprit que ses dispositions opèrent près d’une cinquantaine de renvois à la législation nationale. Les ellipses du législateur européen, et les multiples renvois du texte européen sont donc en l’attente d’un éclairage du législateur national.

 

1. Les enjeux de l’application du RGPD auprès des personnes publiques

 

Pour les collectivités et entités publiques, le terreau du RGPD sera celui de l’e-administration qui implique la dématérialisation des données et informations, des systèmes d’information géographique, enrichi par l’ouverture des données publiques.

 

1.1. l’e-administration

 

Avatar digital, l’e-administration poursuit l’objectif de favoriser l’accès à l’ensemble des citoyens aux modes de fonctionnement des services publics, par la circulation de l’information ascendante et/ou descendante, entre l’usager et l’administration.

 

La Direction générale de la Modernisation de l’État (DGME), distingue plusieurs niveaux de dématérialisation pouvant être mis en œuvre par les entités publiques[2].

 

Simple information en ligne ;

 

Téléchargement de formulaire à imprimer (sans remplissage possible en ligne) ;

 

Formulaire remplissable en ligne ;

 

Demande ou déclaration en ligne (avec envoi dématérialisé du formulaire) ;

 

Dématérialisation complète, via l’offre d’un compte et d’un espace personnel de suivi et la possibilité de transaction, d’historique, et échange.

 

De façon proportionnelle, le degré de protection des données devra être adapté aux différents paliers franchis de dématérialisation des données.

 

1.2. Système d’information géographique

 

Les systèmes d’information géographique constituent des instruments privilégiés par les autorités publiques en ce qu’ils permettent d’éclairer une prise de décision publique par rapport à un espace donné présentant des informations localisées géographiquement.

 

Les exemples de SIG sont pléthores et fleurissent dans des domaines de la planification territoriale très divers  : Tourisme (gestion des infrastructures, itinéraires touristiques) ; Planification urbaine (cadastre, PLU, SCOT, voirie, réseaux assainissement), Protection civile (gestion et prévention des catastrophes) ; Transport (planification des transports urbains, optimisation d’itinéraires) ; Hydrologie, Forêt, Faune (cartographie pour aménagement, gestion des coupes et sylviculture, études du déplacement des populations animales), Géologie (prospection minière).

 

Les différentes strates de SIG peuvent contenir des informations personnelles (nom des propriétaires au sein du cadastre) ou réservées (localisation des d’antennes et réseaux communications électroniques à usage militaire).

 

La consultation de ces systèmes peut également faire l’objet de profilage de leurs utilisateurs.

 

1.3. L’Open data

 

Au sens de la loi pour la République numérique les « données publiques » correspondent génériquement aux données contenues dans les « documents administratifs » et « d’informations publiques » des administrations générées dans le cadre de leurs missions de service public.

 

L’open data implique par ailleurs que les administrations et entités publiques soient tenues d’assurer une diffusion proactive des données qu’elles produisent.

 

A l’aube de cette obligation, il n’est pas improbable que le DPO soit amené à opérer des arbitrages sur le périmètre de diffusion des données.

 

Séparer le bon grain de l’ivraie digital au sein des données publiques pourrait se révéler être un exercice de réglementation acrobatique tant la question de l’open data est également fonction de réglementations éparses.

 

2. Détermination des acteurs de la sphère publique concernés par l’application du RGPD

 

Après la première lecture du règlement, il faut se résoudre au constat que les notions d’autorité et d’organisme publics sont orphelines de définition.

 

La question du périmètre d’application du RGPD trouve un point d’ancrage au sein des explications fournies par le groupe G29[3] dans les directrices afférentes au règlement[4].

 

Ce groupe de travail considère en effet que cette notion relève du droit national mais renvoie également à la définition de la notion par la Directive 2003/98/CE[5] laquelle entend par organismes du secteur public : « l’État, les collectivités territoriales, les organismes de droit public et les associations formées par une ou plusieurs de ces collectivités ou un ou plusieurs de ces organismes de droit public ».

 

Outre l’inclusion des autorités publiques déconcentrées et collectivités locales, la directive précitée rattache à la notion d’organisme public les entités :  

 

– créées pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial, et

 

– dotées de la personnalité juridique, et

 

– dont soit l’activité est financée majoritairement par l’État, les collectivités territoriales ou d’autres organismes de droit public, soit la gestion est soumise à un contrôle par ces derniers, soit l’organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les collectivités territoriales ou d’autres organismes de droit public.

 

Par ailleurs, il importe de relever que les autorités et les organismes publics n’ont pas le monopole dans l’exercice de missions de service public ou de prérogatives de puissances publiques. Les concessionnaires[6] ou organismes privés agissant pour le compte des personnes publiques ou les organes disciplinaires pour les professions réglementées sont également visés par cette obligation.

 

Si les prémisses initiales du Règlement partent sur une hypothèse d’application transversale très étendue de la sphère publique, il y a lieu de rappeler la position du groupe G29 selon laquelle la notion d’organisme public doit en tout état de cause être définie en fonction du droit national. Un possible droit d’inventaire venant restreindre le périmètre des obligations incombant aux personnes publiques est donc envisageable, car à ce jour il n’existe aucun critère ou seuil de population permettant d’exclure une collectivité.

 

Profitons enfin des développements relatifs à l’individualisation des acteurs du RGPD dans la sphère publique pour faire un sort à la seule l’exception explicitement actée par le règlement. L’article 34 du RGPD écarte l’obligation de désignation d’un DPO dans le ressort aux juridictions agissant « dans l’exercice de leur fonction juridictionnelle ».

 

Gageons que cette exception n’aura pas voix au chapitre pour les autres missions ou activités para juridictionnelle[7], formative, universitaire, organisées par ou au sein des juridictions, les dispositions prescriptives du règlement auront à nouveau droit de cité.

 

3. Missions du délégué à la protection des données (DPO)

 

3.1. devoir d’information, de conseil, et contrôle

 

Au sein de l’entité publique de référence, le DPO devient le responsable des problématiques de traitement des données de la collectivité ou le sous-traitant, ainsi que les agents. Il a sa charge la diffusion de la culture informatique et liberté au sein de la collectivité.

 

Le devoir conseil s’articule également avec une mission de contrôle du respect du règlement et du droit national en matière de protection des données. Il y a donc un bilan de l’actif immatériel de la collectivité à accomplir par la réalisation d’audit des services et des compétences mis en œuvre par l’organisme public via la réalisation d’audit de l’existant et par l’analyse d’impact des projets futurs.

 

Nécessairement le DPO devient un maillon essentiel de la coopération avec la CNIL.

 

3.2. Garanties à l’effectivité de la mission du DPO

 

Dans l’exercice de ses missions, le délégué devra bénéficier d’une certaine latitude pour donner corps à un exercice proactif de la protection des données. Cette démarche suppose une forme d’indépendance qui doit en amont être garantie par une position statutaire à même de le protéger des conflits d’intérêts.

 

L’absence de filtre quant au rendu de son travail, se traduisant en aval par une diffusion de ses recommandations ou prescriptions à un rang hiérarchique élevé semble également être un pré requis.

 

Harald MIQUET

Vivaldi-Avocats


[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[2]

[3] Institué par l’article 29 de la directive 95/46/CE. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée

[4] Ce groupe de travail a été institué par l’article 29 de la directive 95/46/CE. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l’article 30 de la directive 95/46/CE et à l’article 15 de la directive 2002/58/CE

[5] Directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public

[6] Notamment les services publics en réseau (eau, énergie, réseau de chaleur, communications électroniques)

[7] Mise à jour des listes d’experts, traducteurs assermentés près les Cours d’appel.

 

 

 

 

Partager cet article