RGPD : « Un quart des contrôles de la CNIL concerne le secteur public »

Didier Seban
Le 17 janvier 2020

Les collectivités territoriales sont amenées à traiter de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web.

 

La transformation numérique de l’action publique ne fera que renforcer ce mouvement. Dans un tel contexte, assurer la protection des données personnelles est aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents. C’est aussi une manière de protéger les élus responsables des dites données et des utilisations qui pourraient en être faites. Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978.

 

Mais leur mise en œuvre peut paraître complexe. La CNIL, consciente de cette complexité, a même publié récemment un guide de sensibilisation. Un an après, où en est-on de la mise en œuvre de la RGPD dans les collectivités ?

 

Didier Seban, avocat à la cour, associé gérant du cabinet « Seban et associés », a répondu à nos questions.

Un an après la mise en œuvre de la RGPD, peut-on tirer un premier bilan pour la sphère locale ?

La CNIL a récemment sorti un guide à l’attention des collectivités territoriales qui était attendu depuis longtemps mais qui s’avère extrêmement décevant et qui n’aidera très faiblement que les plus petites collectivités dépourvues de tout service juridique. Il a un caractère très général et théorique et aucune solution concrète n’est apportée aux questions complexes auxquelles les collectivités territoriales sont confrontées quotidiennement. La CNIL a adopté récemment deux positions importantes. Elle s’est opposée à la volonté de la ville de Saint-Etienne d’installer des micros dans la rue, ce qui posait problème car il était également possible d’identifier par les caméras de vidéoprotection les auteurs des propos, ce qui caractérisait une disproportion manifeste entre l’intrusion dans la vie privée et les objectifs poursuivis et l’efficacité du dispositif. Elle a agi de la même manière concernant la Région Sud qui souhaitait mettre en œuvre un dispositif de reconnaissance faciale à l’entrée des lycées pour sécuriser et fluidifier les entrées. Là encore, la CNIL a pointé la disproportion entre les objectifs du dispositif et le risque d’intrusion dans la vie privée.

D’autres décisions ont-elles été prises par la CNIL ?

De façon un peu plus ancienne, on a en mémoire la fameuse polémique Wauquiez à la rentrée scolaire 2018 qui, en sa qualité de président de la région Auvergne-Rhône-Alpes, s’était servi du fichier des lycéens pour leur envoyer des sms pour leur souhaiter une bonne rentrée dans un message aux arrières pensées politiques assez claires. Ce détournement de finalité du fichier a fait l’objet d’un rappel à l’ordre en juillet 2019. Enfin, une présidente d’OPH a été condamnée par la CNIL pour avoir envoyé à tous les locataires un texte manifestant son opposition au projet de loi Elan, concernant notamment la baisse des APL. D’une façon générale, la CNIL a considérablement augmenté le nombre et le montant de ses sanctions en 2018, mais le plus souvent sur la base de l’ancien état du droit.

2019 n’a donc pas marqué un tournant dans la RGPD ?

La CNIL a été moins sévère qu’on pourrait le croire. On recense cinq sanctions pécuniaires publiques cette année pour un montant en super total de 51,1 M€ mais 50 M€ concernent le seul Google en février, pour manque de transparence, défaut de consentement valide et défaut d’information satisfaisante. La CNIL est la deuxième autorité de contrôle en termes de sanctions mais loin derrière l’ICO, son homologue anglais, qui est à 315 M€. Les champions des sanctions, en nombre, sont l’Espagne (21) et l’Allemagne (14), mais toujours sur des petits montants. Il peut paraître surprenant que l’entrée en vigueur du RGPD ait diminué le nombre de sanctions. Mais beaucoup d’affaires sont aujourd’hui en instruction et la CNIL privilégie pour le moment des sanctions moins visibles et dures, comme des mises en demeures ou des injonctions qui déboucheront progressivement sur des sanctions financières plus nombreuses. La CNIL a même affiché la couleur à la mi-2019 en annonçant que la période de tolérance sur les implications nouvelles issues du RGPD était terminée.

Il n’y a donc pas de mansuétude de la CNIL vis-à-vis des organismes publics au sens large…

Loin s’en faut ! Un quart des contrôles, 84 sur 322 en 2018 précisément, concerne le secteur public et certains organismes investis de missions de service public ont été lourdement sanctionnés financièrement, mais sur le fondement de l’ancienne loi informatique et liberté et pas encore du RGPD. Très souvent, ce sont des failles de sécurité qui sont en cause, comme des données personnelles accessibles depuis le site internet en quelques manipulations, mais ça peut être aussi du détournement de finalité ou un défaut de proportionnalité des données recueillies. Difficile de savoir si un usager a déjà saisi la CNIL du fait des pratiques d’une collectivité territoriale, mais on peut imaginer que, sur près de 40 000 collectivités et autres EPCI, sans oublier les établissements publics locaux, il y a forcément eu de nombreuses saisines, qui n’ont été pas rendues publiques par la CNIL. On peut imaginer que les cas récents de St-Etienne et de la Région Sud dont nous avons parlé proviennent de saisines d’administrés.

×

A lire aussi