Le 5 mai, la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure 22 communes pour ne pas avoir désigné un délégué à la protection des données (DPD) auprès de ses services. Pourtant, cette obligation s’applique à tout organisme public mettant en œuvre des traitements de données à caractère personnel suivant l’article 37 du règlement général sur la protection des données (RGPD). Stéphanie Berland, associée chez Steering Legal, passe en revue les enjeux liés à la mise en œuvre de cette disposition spécifique.
Ces rappels à l’ordre de la CNIL sur les devoirs incombant aux entités publiques sont-ils inquiétants ?
Ces décisions font suite à un contrôle réalisé en juin 2021 par la Commission auprès de communes de plus de 20 000 habitants, qui sont près de 500. Si celles ciblées par le régulateur dans sa décision ne représentent que 4 % de ce contingent, c’est néanmoins un signal. Désigner un délégué à la protection des données (DPD) est un devoir clairement établi par le RGPD dès sa rédaction en avril 2016. Il est surprenant que, depuis l’entrée en vigueur de ce texte en mai 2018, des acteurs publics soient encore en retard sur ce plan. Ces derniers peinent probablement à se mettre en ordre de marche à cause de difficultés opérationnelles liées notamment aux ressources budgétaires à allouer à ce chantier numérique d’envergure. La crise sanitaire n’a pas aidé à faire du RGPD une priorité. L’absence de DPD au sein de ces structures montre qu’il y a encore beaucoup d’efforts à faire pour maîtriser ces enjeux. Pourtant, les cyberattaques et les fuites de données personnelles se sont multipliées récemment. En mars, l’assurance maladie a ainsi confirmé avoir été victime d’une attaque compromettant les informations personnelles de 510 000 assurés. Les systèmes informatiques et organisationnels sont fragiles. Or, un DPD a pour mission de s’assurer, entre autres, que les contraintes de sécurité et sûreté liées au RGPD sont bien respectées dans les processus.
Quelles sont les contraintes organisationnelles liées à la nomination d’un DPD ?
Au-delà des limites financières avec lesquelles les acteurs publics sont obligés de composer, il y a aussi les difficultés liées aux ressources humaines. Les communes doivent déterminer à qui confier le rôle de DPD. Mais ce point n’est pas précisé par la réglementation. Certaines choisissent le directeur des systèmes d’information (DSI) ou du service juridique. D’autres optent pour le responsable du contrôle interne, des achats, voire de la qualité. Mais la CNIL a rappelé que les fonctions de directeur administratif et financier ou de responsable des ressources humaines étaient incompatibles avec le poste de DPD. Ce dernier, qui bénéficie d’un statut d’emploi protégé pour cette fonction, est censé être indépendant. Il arrive souvent que la solution choisie soit d’externaliser auprès d’une société de conseil ou d’un cabinet d’avocats spécialisé. L’analyse de la base légale des différents traitements de données ou du bien-fondé d’une demande d’exercice de droit est un volet complexe qui réclame l’aide de professionnels du droit.
Quelles sont les sanctions encourues par des entités publiques en cas de non-conformité ?
Sur les 22 communes incriminées, une a désigné un DPD séance tenante, ce qui a clôturé la procédure et deux autres ont transmis depuis leur déclaration, en cours d’instruction. La réglementation prévoit des sanctions pouvant aller jusqu’à 10 ou 20 millions d’euros en fonction de la gravité des manquements aux obligations applicables (dans le cas d’une entreprise jusqu’à 2 ou 4 % de son chiffre d’affaires). A ce jour, il n’y a pas d’exemples d’amendes prononcées contre des collectivités publiques françaises. Deux sanctions ont néanmoins été prises par la CNIL à l’encontre du ministère de l’Intérieur concernant l’utilisation illicite de drones et une mauvaise gestion du fichier automatisé des empreintes digitales. La CNIL reste au demeurant vigilante aux enjeux liés à la cybersécurité. Dans son rapport annuel 2021 publié le 11 mai, elle déclare avoir contrôlé 22 organismes dont 15 publics dans ce domaine. Elle a relevé à cette occasion « des suites cryptographiques obsolètes rendant des sites web vulnérables aux attaques, des insuffisances concernant les mots de passe et, plus généralement, des moyens insuffisants au regard des enjeux de sécurité actuels ».
Si l'on passe un jour au vote électronique, ces questions de respect et de bonne gestion des données personnelles vont-elles prendre plus d’importance ?
Le vote électronique existe dans de nombreux systèmes professionnels. Le bâtonnier ainsi que les membres du conseil de l’Ordre des avocats de Paris sont élus de cette façon, par exemple. Mais à l’échelle d’un Etat, cela n’a rien à voir. Les pouvoirs publics souhaitent amener les électeurs à voter davantage et notamment sur leurs lieux de villégiature. Des rapports ont été rédigés sur ce sujet et il y a même eu une initiative parlementaire en 2021 concernant le vote par anticipation. Mais pour voter de son smartphone, cela nécessite de disposer de technologies fiables et sécurisées. On en est loin.
