Le Règlement Général sur la Protection des Données (RGPD) entre en application le 25 mai 2018 dans tous les États membres de l’Union Européenne, aussi bien pour les structures publiques que les structures privées. La course pour la mise en conformité est lancée, mais quelles sont les conséquences et pratiques à adopter après la date butoir ?

Responsabilisation et sanction : un changement à ne pas négliger

L’ambition du RGPD consiste à canaliser les potentielles dérives de la circulation des données personnelles. Pour cela, celui-ci exige dans un premier temps la mise en place d’une cartographie des risques dans le traitement des données personnelles, puis la mise en place de process visant à limiter leur utilisation et leur diffusion. La mise en œuvre du RGPD s’opère dansune logique de responsabilisation (« accountability »). Il appartient désormais au responsable du traitement de données de prendre toutes les mesures requises pour garantir la conformité des traitements qu’il opère. Il doit par ailleurs être en mesure de le démontrer, en cas de plainte ou de contrôle de la CNIL par exemple.

Pour de nombreuses structures publiques, la mise en place du RGPD reste donc un défi de taille. Malgré une législation existante depuis la loi du6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, peu de personnes ou d’organismes étaient réellement sensibilisés ou engagés dans une démarche de protection des données personnelles. Cette problématique est pourtant de plus en plus prégnante compte-tenu de l’accélération de la révolution numérique et d’une production toujours plus importante de données.

Le DPO[1] : un recrutement obligatoire, à la base d’une refonte organisationnelle

Compte tenu de cette nouvelle charge et de son importance, un responsable devra être nommé pour mettre en œuvre ce travail et son suivi dans le temps : le DPO (ou DPD), c’est-à-dire un délégué chargé de la protection des données personnelles. Peu importe sa taille, chaque organisme public a l’obligation d’en recruter un. Ce dernier pourra être rattaché à une seule structure ou être mutualisé entre plusieurs structures, pour réduire les coûts dans une volonté de rationalisation des deniers publics. Le DPO sera chargé de veiller au respect des nouvelles règles établies par le RGPD, d’informer et de conseiller le responsable de traitement dans sa structure mais aussi, le cas échéant, un sous-traitant et ses employés. De plus, il sera le lien entre sa ou ses structures de rattachement et la CNIL[2]. Le DPO récupère en réalité une grande partie des missions du Correspondant en Informatique et Libertés (CIL), un profil peu répandu et dont il n’existe pas encore de cursus de formation spécifique, ajoutant ainsi une certaine complexité à la fonction. Toutefois la création de cette fonction n’est que la partie émergée de l’iceberg de la refonte des organisationset des processusque nécessite le RGPD.

Le principe de « privacy by design » : une nouvelle organisation des processus à adopter

La mise en conformité avec le RGPD des outils et processus existants n’est en réalité que la première obligation que ce dernier implique. Les personnes publiques, une fois le traitement des données personnelles sécurisé, devront s’interroger à chaque nouveau processus qu’elles souhaitent mettre en œuvre. Ces activités « post mise en conformité » ne pourront sûrement pas toutes être assumées par le DPO qui devra se faire assister en interne ou en externe par des experts. La première étape – si cela n’a pas été engagé lors de la phase de mise en conformité – sera de sensibiliser les agents des structures publiques. La finalité sera ensuite, pour la création de toutes nouvelles procédures ou tout nouvel outil, de s’assurer en amont de sa conformité avec les principes du RGPD : c’est le principe de « privacy by design ». Ce travail devra notamment s’opérer dans la conception ou l’optimisation des outils SIRH particulièrement concerné par la gestion des données personnellesdes agents rattachés aux structures publiques. Dans ce domaine, de nombreux principes ont été définis et devront être pris en compte comme le droit à la portabilité des données ou le droit à l’oubli. L’échéance de mise en conformité du 25 mai 2018 n’est donc qu’une étape du RGPD et de la révolution des données pour le secteur public. Les regards sont désormais tournés vers une autre échéance imminente pour la fonction publique : l’obligation légale d’open data pour octobre 2018.

[1] Data Protection Officer ou Délégué à la Protection des Données [2] Commission Nationale de l’Informatique et des Libertés Sources : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels Règlement n° 2016/679, dit Règlement Général sur la Protection des Données (RGPD)