RGPD – Secteur public

LES SPECIFICITES DU SECTEUR PUBLIC FACE AU RGPD

Le RGPD représente un enjeu majeur pour les collectivités dans un contexte de multiplication des téléservices et d’un recours massif au télétravail, entrainant des risques élevés de cyberattaques.

Le RGPD s’applique à toute organisation publique et privée qui traite des données personnelles pour son compte ou le compte de tiers dès lors qu’elle est établie sur le territoire de l’Union Européenne, et que son activité cible directement des résidents européens.

Pour organiser, piloter et maintenir la conformité au RGPD, les collectivités ont l’obligation de désigner un DPO auprès de la CNIL.

En juin 2021, la CNIL concentrait son action de contrôle sur les communes de plus de 20000 habitants.

Désormais depuis juin 2022, toutes les collectivités sont visées quelle que soit leur taille. D’ores et déjà, 22 communes viennent d’être mises publiquement en demeure par la CNIL et disposent de 4 mois pour se mettre en conformité.

Les défis des collectivités face au secteur public

Une gestion fastidieuse du RGPD

  • Un volume très important de données personnelles traitées des agents et des administrés
  • Des traitements de données personnelles parfois « sensibles » (personnes vulnérables, données de santé, biométrie, vidéosurveillance..)
  • Un choix complexe : DPO interne, externe, mutualisé ?
  • Un DPO confronté à la diversité des activités de traitements (services administratifs : état civil, scolaire, …services internes : ressources humaines…), à la multitude des sous-traitants et des logiciels, face à une évolution des exigences de la CNIL

La sécurité des données au centre des préoccupations

  • Une multiplication des téléservices, de la dématérialisation des données et du télétravail
  • Des cyberattaques de plus en plus nombreuses
    • Le phishing piège près de 50 % des télétravailleurs
    • 20% des cyberattaques ont concerné des collectivités locales en 2021 (Sources :ANSSI)

Les risques pour les collectivités et pour les élus

Risque de sanction en cas de contrôle CNIL : amende pouvant aller jusqu’à 4% du budget ; publication des décisions de la CNIL

Responsabilité civile et pénale : dommages et intérêts, amendes pouvant aller jusqu’à 300K€ et 5 ans de prison

Risques en termes d’image et d’impact sur les financements : risque de cyberattaques impactant l’activité – l’effectivité du droit des personnes

Risques de plaintes (des agents, des administrés) : perte des données, non-respect du droit des personnes. 40% des contrôles CNIL sont déclenchés par une plainte

La conformité au RGPD, une obligation règlementaire et une opportunité

  • Gage de confiance entre les administrés, les élus, les agents, les partenaires
  • Renforcement de la sécurisation des données de la collectivité (données personnelles et autres données)
  • Sensibilisation des agents au RGPD, aux procédures et aux risques de cyberattaques
  • Responsabilisation de l’ensemble des équipes
  • Réduction des coûts liés à la non-conformité et aux impacts d’une violation de données
  • Optimisation de la gestion du cycle de vie de la donnée

Vous voulez en savoir plus sur la démarche de mise en conformité dans votre organisation ?

Vous avez besoin d’aide concernant le RGPD ?