RGPD – Par où commencer ?

La mise en application du RGPD suscite de nombreuses questions. L’occasion de refaire le point sur les démarches à initier et les aides que l’on peut trouver.

Le 25 mai 2018, sera d’application le nouveau règlement européen relatif à la protection des données à caractère personnel (RGPD). Ce règlement apporte de nombreuses nouveautés qui s’inscrivent toutefois dans la continuité de la directive qu’il remplace^[1].

De nombreux pouvoirs locaux (et pas uniquement) s’inquiètent à l’approche de l’échéance et il est utile de rappeler les différentes démarches à mettre en œuvre ainsi que les aides qu’ils peuvent trouver notamment auprès de l’UVCW. En effet, nos membres peuvent faire appel à l’assistance-conseil habituelle de notre association et contacter nos conseillers selon leur(s) spécialisation(s)^[2].

En ce qui concerne les démarches à entreprendre, de nombreux articles et commentaires les retracent et sont disponibles sur la grande toile. Ces démarches peuvent être résumées dans les grandes lignes par les étapes suivantes :

Création d’une équipe pluridisciplinaire

La particularité des actions à mener en vue de la mise en conformité au RGPD est sans doute la multidisciplinarité des matières touchées et des services concernés. Il ne s’agit pas d’une problématique uniquement informatique, mais à la fois juridique, managériale et de gestion des risques. Il paraît donc nécessaire de créer une équipe composée des personnes disposant de ces compétences et missions (informatique, direction, juridique et gestion des risques), mais aussi des différents métiers pratiqués au sein de votre administration (responsables de services).

Désignation (et formation) d’un délégué à la protection des données

Le RGPD prévoit explicitement l’obligation pour les autorités publiques ou pour les organismes publics de désigner un délégué à la protection des données^[3].

Il ne semble faire aucun doute que les communes, les CPAS, les SLSP, les intercommunales, les zones de police et les zones de secours vont être considérés comme tels et sont donc visés par cette obligation.

Ses missions sont^[4] :

• d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur leurs obligations ;
• de contrôler le respect du RGPD et notamment les règles internes du responsable du traitement, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel et les audits;
• de dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci;
• de coopérer avec l'autorité de contrôle;
• de faire office de point de contact pour l'autorité de contrôle.

Nous espérons pouvoir délivrer d’ici peu une note sur les possibilités de mutualisation de la fonction de délégué à la protection des données. La désignation en interne ou en externe via marché public ou la mutualisation de la fonction dépendra essentiellement des possibilités et contraintes de l’administration.

Le Groupe de travail « Article 29 », qui est un organe consultatif européen en matière de protection des données a adopté des lignes directrices concernant les déléguées à la protection des données^[5] que l’on pourra utilement consulter.

Sensibilisation des fonctions dirigeantes et du personnel en général

La sensibilisation des fonctions dirigeantes et du personnel en général aux obligations découlant du RGPD apparaît primordiale dès lors que la protection des données à caractère personnel concerne tout le monde dans l’administration. L’organisation d’une ou de plusieurs séances d’informations permet dans un premier temps une conscientisation des personnes concernées au sein de l’administration. Dans un second temps, la mise en place de nouveaux processus internes devra aussi faire l’objet d’une information du personnel (cf. infra).

Afin d’aider au mieux ses membres, l’UVCW organise deux types d’atelier. Le premier atelier vise à préciser la portée du cadre réglementaire nouveau ainsi que les nouvelles obligations dans la gestion des données^[6]. Le second atelier vise à déterminer les rôles et responsabilités du délégué à la protection des données ainsi que d’identifier les grands chantiers qui l’attendent^[7]. Ces ateliers peuvent être organisés au sein de votre administration à des conditions avantageuses. N’hésitez pas à nous contacter^[8].

En outre, en collaboration avec le Cabinet De Bue, l’UVCW est heureuse de vous annoncer l’organisation prochaine de matinées d’étude sur le thème du RGPD. Vous recevrez plus de détails sur ces matinées d’étude via notre newsletter.

Par ailleurs, la Fédération des CPAS organisera, dans le courant du premier trimestre de cette année, un colloque spécifiquement tourné sur les réalités de travail des CPAS, visant à informer sur le RGPD : cadre légal, normes minimales de sécurité, présentation d’outils pratiques, …

Classification des données à caractère personnel et établissement d’un registre de traitement des données à caractère personnel

Le RGPD remplace la notification préalable des traitements par la tenue d’un registre des activités de traitements. Dans le cadre d’une approche générale de mise en conformité, il paraît utile de faire « clicher » la situation connue par l’administration afin de déterminer :

• les catégories de données à caractère personnel traitées par l’administration et particulièrement les données à caractère personnel sensibles ;
• les différents traitements des différentes catégories de données à caractère personnel ;
• la ou les bases légales autorisant le traitement ;
• la ou les finalités de traitement ;
• leur durée de conservation ;
• les transferts de données ;
• l’identification des personnes (y compris les sous-traitants) pouvant effectuer un traitement.

En fonction de la situation de chaque administration, il conviendra de déterminer les actions à mener et leur degré de priorité.

Réalisation d’un ou de plusieurs audit(s) de sécurité

La réalisation d’un audit de sécurité devrait permettre de connaître le degré de sécurité informatique des données à caractère personnel et les mesures organisationnelles et informatiques nécessaires.

Analyse et/ou mise à jour des documents internes/externes

Compte tenu de l’établissement d’un registre de traitement des données à caractère personnel et des résultats en découlant, il conviendra d’identifier tous les documents internes ou externes qui doivent faire l’objet d’une mise à jour. À titre d’exemple, le règlement de travail pourra rappeler les obligations qui incombent aux travailleurs de l’administration. Les cahiers de charges relatifs à certains marchés publics devront également faire l’objet d’une mise en conformité afin de garantir contractuellement la sécurité des données à caractère personnel.

Notre association entend mettre à disposition certains documents types dans le courant du premier semestre 2018. N’hésitez pas à nous contacter pour exprimer vos besoins en la matière[9].

Mise à jour des processus internes

Il s’agit d’organiser les processus internes afin

• d’une part de garantir la protection des données à caractère personnel dès la conception d’un projet,
• d’autre part, de permettre une réaction adéquate en cas de violation des données,
• enfin, de permettre aux personnes concernées dont les données personnelles sont traitées de jouir de leurs droits.

À titre d’exemple, il faudra concevoir les mesures organisationnelles et informatiques afin qu’une personne dont les données
personnelles sont traitées puisse avoir accès à ses données et à certaines informations^[10].

Gestion des risques et établissement d’une analyse d’impact sur la protection des données

Le RGPD impose la réalisation d’une analyse d’impact sur la protection des données dans certaines conditions^[11]. Cette analyse contient : « une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une appréciation des risques sur les droits et libertés des personnes concernées les mesures envisagées pour traiter ces risques et se conformer au règlement »^[12].

Le Groupe de travail « Article 29 » a adopté des lignes directrices notamment concernant l’analyse d’impact relative à la protection des données[13]. Ces lignes s’efforcent de clarifier les situations dans lesquelles une analyse de risque est obligatoire et les critères relatifs à la méthodologie à suivre pour la réalisation d’une analyse de risque.

Documentation de la conformité

D’après la Commission Nationale Informatique et Libertés (autorité de contrôle française)^[14], cette documentation comprendra notamment :

• le registre des traitements ;
• les analyses d’impact sur la protection des données ;
• l'encadrement des transferts de données hors de l'Union européenne ;
• les mentions d’information, les modèles de recueil du consentement des personnes concernées et les procédures mises en place pour l'exercice des droits ;
• les contrats avec les sous-traitants, adjudicataires des marchés publics ;
• les procédures internes en cas de violations de données ;
• les preuves de ce que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Pour plus d’informations, il est indispensable de consulter le site de la Commission de Protection de la vie privée (rebaptisée « Autorité de protection des données »)^[15] ainsi que les nombreuses fiches utiles et pratiques de la Commission Nationale Informatique et Libertés^[16].

Outre notre assistance-conseil habituelle et nos ateliers au profit de ses membres, notre association s’est également érigée centrale d’achats pour un projet pilote de mise en conformité au RGPD[17]. Les documents de marché utilisés pour ce projet devraient être prochainement mis à disposition des membres de l’UVCW.

Renseignements : Marie-Laure Van Rillaer

[1] Pour une analyse plus détaillée, consultez : http://www.uvcw.be/actualites/3,724,2,0,6908.htm.
[2] Marie-Laure Van Rillaer pour les aspects généraux « vie privée », Isabelle Dugailliez pour les relations de travail, Judith Duchêne pour la connexion des CPAS à la BCSS, John Robert pour l’état civil et la population et Ambre Vassart pour le stationnement : http://www.uvcw.be/union/141.cfm
[3] Art. 37.1, a) du RGPD.
[4] Art. 39 du RGPD.
[5] https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf
[6] « La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales » : http://www.uvcw.be/formations/1618.
[7]« Mise en conformité au RGPD : le rôle-clé du DPO » : http://www.uvcw.be/formations/1619
[8] http://www.uvcw.be/no_index/formations/Tarifs.pdf
[9] Par mail à marie-laure.vanrillaer@uvcw.be.
[10] Art. 15 du RGPD.
[11] Art. 35 du RGPD.
[12] https://www.cnil.fr/fr/gerer-les-risques
[13] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp209_fr.pdf
[14] https://www.cnil.fr/fr/documenter-la-conformite
[15] https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0
[16] https://www.cnil.fr/professionnel
[17] http://www.uvcw.be/actualites/2,129,1,0,7336.htm