Question de M. BABARY Serge (Indre-et-Loire - Les Républicains) publiée le 02/08/2018

M. Serge Babary attire l'attention de M. le ministre de l'action et des comptes publics sur les conséquences que pourrait engendrer l'application du règlement général de la protection des données (RGPD) sur les collectivités territoriales. Le RGPD, applicable depuis le 25 mai 2018 à toute entité manipulant des données personnelles, dont les collectivités territoriales, nécessite une mise en conformité, qui a potentiellement un coût.

Les collectivités territoriales, et tout particulièrement les communes et intercommunalités, ont besoin de soutien de l'État pour se mettre en conformité avec le RGPD, négocié par le Gouvernement au nom de la France. Alors que nombre d'entre elles étaient déjà loin d'être en mesure d'appliquer intégralement l'ancienne législation, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles leur impose de nouvelles obligations et les soumet en même temps à un aléa financier beaucoup plus considérables compte tenu du montant des sanctions pécuniaires encourues en cas de non-conformité au RGPD.

Il ne suffit pas de dire et de répéter que les collectivités bénéficieront d'un accompagnement de la commission nationale de l'informatique et des libertés (CNIL). Si elle est indispensable, cette mesure ne constitue en rien une réponse aux difficultés financières que pourront rencontrer certaines collectivités dans la mise en œuvre du RGPD.

À l'occasion de l'examen de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, le Sénat avait, contre l'avis du Gouvernement, introduit une disposition créant, par prélèvement sur les recettes de l'État, une dotation pour la protection des données à caractère personnel dont devaient être bénéficiaires les communes, les établissements publics de coopération intercommunale à fiscalité propre, ainsi que la métropole de Lyon.

Cette disposition a été supprimée par l'Assemblée nationale.

Aussi, il souhaite savoir si le Gouvernement entend apporter des solutions concrètes aux collectivités ayant des difficultés à financer la mise en œuvre du RGPD.

- page 3932


Réponse du Ministère de l'action et des comptes publics publiée le 27/12/2018

Le Gouvernement est très attentif à la maîtrise des normes et des charges pesant sur les collectivités territoriales. Mme la Garde des sceaux a rappelé que ces dernières étaient déjà soumises, en tant que responsables de traitements, à des obligations de protection des données, bien avant l'entrée en vigueur du règlement général sur la protection des données, le RGPD. Si le RGPD énonce bien de nouvelles obligations, comme la désignation d'un délégué à la protection des données, il entraîne également des simplifications permettant d'alléger les charges des collectivités qui traitent chaque jour de nombreuses données à caractère personnel. Dans le cadre de la mise en conformité de la loi informatique et libertés avec le RGPD et sur l'initiative de la Haute Assemblée, le législateur a prévu plusieurs dispositions en faveur des collectivités. Ainsi, la loi du 20 juin 2018 a confié de nouvelles missions à la CNIL pour mieux accompagner les collectivités. Il est prévu désormais que cette commission « apporte une information adaptée aux collectivités territoriales » quant à leurs droits et obligations en tant que responsables de traitements. Elle doit également encourager l'élaboration de codes de conduite qui définissent les obligations des responsables de traitements. Ces codes de conduite peuvent être fixés par des associations telles que l'Association des maires de France (AMF) ou l'Assemblée des départements de France (ADF). Si le RGPD impose effectivement aux collectivités, comme à toutes les autorités publiques, de désigner un délégué à la protection des données, il prévoit que ce délégué peut faire l'objet d'une mutualisation par plusieurs collectivités. Comme il s'y était engagé auprès du Conseil national d'évaluation des normes (CNEN), le Gouvernement a rappelé ce principe dans le décret. Plus largement, les collectivités et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données. L'article 31 de la loi du 20 juin 2018 prévoit que des conventions peuvent être conclues entre les collectivités et leurs groupements ayant pour objet la réalisation de prestations de services liées au traitement de données. La CNIL a publié des exemples de mutualisation qui montrent que les solutions juridiques retenues par les collectivités sont variées, et a mis à leur disposition un guide pratique très complet. Le Gouvernement demeurera attentif à ce travail d'accompagnement.

- page 6739

Page mise à jour le