RGPD et secteur public : quels enjeux et obligations pour les services publics ?

Les collectivités ont de plus en plus recours aux technologies du numérique mais, dans le même temps, le nombre de cyberattaques a été multiplié, tandis que les citoyens sont de plus en plus regardants sur la manière dont leurs données sont utilisées par les acteurs du public. Afin de garantir la réussite de la politique de transformation du secteur public, les nouveaux services publics numériques doivent, de ce fait, répondre aux exigences de protection des données, de manière à créer de la confiance auprès des citoyens.

Comment s’articule alors la mise en œuvre du RGPD au sein des services publics et comment les collectivités sont-elles préparées à ces nouvelles exigences ?

RGPD : ce que cela change au niveau du rôle des services publics dans la gestion des données

Depuis la loi Informatique et Libertés (1978), les collectivités sont familières avec le traitement des données personnelles et ce que cela induit en termes de droits vis-à-vis des citoyens.  

Toutefois la mise en place du RGPD conduit à une logique de responsabilisation nouvelle, qui amène à un véritable changement de culture pour les collectivités et acteurs du service public.

En effet, au-delà d’une logique de contrôle précédemment exercée avant l’adoption du RGPD, les collectivités sont désormais responsables de l’usage des données des citoyens et doivent ainsi garantir une mise en conformité permanente.

Cela se traduit notamment par l’adoption et l’application de mesures organisationnelles pour garantir une protection tout au long du cycle de vie des données mais également démontrer qu’elles sont en mesure d’offrir un niveau optimal de protection des données traitées.

Par conséquent, les collectivités doivent à présent assurer la protection des données dès la conception, d’un site, d’une application, d’un service par exemple, et garantir le plus haut niveau de protection de façon constante. C’est ce que l’on appelle respectivement le Privacy by design et le Privacy by default.

Plus généralement, le RGPD nécessite que les collectivités mettent en place une véritable gouvernance des données personnelles.

Une gouvernance des données nécessaire à définir

Cette gouvernance des données s’illustre notamment par la mise en œuvre d’une documentation précise des démarches menées par les collectivités et acteurs du service public, pour être en capacité de piloter et de témoigner de la conformité de leurs services.

À ce titre, la Commission nationale de l’informatique et des libertés (CNIL) précise que les collectivités doivent pour ce faire :

• Tenir un registre de leurs activités de traitement ;
• Effectuer des analyses d’impact sur la vie privée et les libertés pour certains traitements à risques ;
• Encadrer les opérations sous-traitées dans les contrats de prestation de services ;
• Organiser la prise en charge des demandes d’exercice des droits ;
• Organiser la détection et la gestion des incidents de sécurité.

L’ensemble de ces actions, bien qu’exhaustives, impliquent elles-mêmes de définir des rôles précis concernant l’ensemble des acteurs et partenaires avec lesquels les collectivités travaillent.

Le RGPD impose par exemple à tout organisme public de nommer un délégué à la protection des données (DPO) dont la mission première est d’informer, conseiller et contrôler les collectivités sur leurs obligations RGPD et de la conduite à tenir.  

Pour faciliter la mise en place de leur gouvernance des données, la CNIL permet aux petites structures de mutualiser leur délégué à la protection des données, afin de limiter les coûts budgétaires et la potentielle difficulté de recruter quelqu’un avec l’ensemble des compétences juridiques et techniques requises. À titre d’exemple, les collectivités de la région Aquitaine se sont engagées dans une préparation conjointe de leur conformité au RGPD.

Le RGPD : un accélérateur de confiance et un tremplin pour la transformation des services publics ?

La garantie de la conformité des organismes publics au RGPD permet de renforcer la confiance entre le citoyen et les services publics, dans la mesure où les citoyens ne disposent pas vraiment d’alternatives si les services publics sont défaillants dans le respect de leurs données personnelles. Cette situation positionne ainsi le service public au centre de cette relation de confiance avec l’usager et l’oblige à une vigilance et une responsabilité accrues dans la gestion des données. Elle est d’autant plus primordiale qu’avec la transformation du secteur public, les nouveaux services numériques déployés doivent susciter un sentiment de confiance chez les citoyens, qui seront plus à même de les utiliser et donc d’assurer une transformation positive des services publics.

Outre cette relation entre les usagers et les services publics, le RGPD peut également devenir un accélérateur dans la transformation numérique des services publics. Il conduit en effet les collectivités à revoir et transformer leur organisation, tant au niveau de leur système d’information que leur plan d’investissement afin d’assurer un haut niveau de sécurité et l’expertise nécessaire dans le traitement et la protection des données de leurs usagers.

L’enjeu des collectivités est donc de réussir à déployer des outils adaptés et résilients pour l’utilisation des données personnelles, que ce soit au niveau de la collecte, du stockage, du traitement que de la restitution, voire suppression, et ce, afin d’assurer une protection des données efficace.

La Société a le droit de demander compte à tout agent public de son administration.

Article 15 de la Constitution de 1958

Cet article 15 de la Constitution de 1958 résume bien les enjeux auxquels les services publics sont confrontés aujourd’hui. Il ne reste plus aux collectivités et acteurs du service public, que de prendre le virage du digital à 180 degrés et garantir aux citoyens une sécurisation et protection de leurs données personnelles ; bien évidemment cela ne sera pas une mince affaire.