Allez au contenu, Allez à la navigation

Coût de la mise en conformité au règlement général de la protection des données pour les collectivités territoriales

15e législature

Question écrite n° 08488 de Mme Isabelle Raimond-Pavero (Indre-et-Loire - Les Républicains)

publiée dans le JO Sénat du 17/01/2019 - page 217

Mme Isabelle Raimond-Pavero expose à Mme la ministre de la cohésion des territoires et des relations avec les collectivités territoriales les conséquences budgétaires de l'application du règlement général de la protection des données (RGPD) sur les collectivités territoriales.
À l'initiative du Sénat, dans le cadre de la mise en conformité de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés avec le RGPD, le législateur a prévu plusieurs dispositions en faveur des collectivités.
Néanmoins, le RGPD, applicable depuis le 25 mai 2018 à toute entité manipulant des données personnelles, dont les collectivités territoriales, nécessite une mise en conformité, qui a un coût potentiel.
La création d'une dotation visant à aider les collectivités à la mise en œuvre du RGPD a déjà été exclue par le Gouvernement, car contraire à l'article 40 de la Constitution ainsi qu'à la procédure budgétaire définie dans la loi organique n° 2001-692 du 1 août 2001 relative aux lois de finances, il n'en demeure pas moins que la question du financement, notamment par les communes les plus petites et dont les budgets sont déjà bouclés, est une réalité qui mérite une réponse.
Aussi, elle souhaite savoir si le Gouvernement entend apporter des solutions concrètes aux collectivités ayant des difficultés à financer la mise en œuvre du RGPD.



Réponse du Ministère de la cohésion des territoires et des relations avec les collectivités territoriales

publiée dans le JO Sénat du 28/02/2019 - page 1133

Le Gouvernement est très attentif à la maîtrise des normes et des charges pesant sur les collectivités territoriales. La garde des sceaux, ministre de la justice, a rappelé que ces dernières étaient déjà soumises, en tant que responsables de traitements, à des obligations de protection des données, bien avant l'entrée en vigueur du règlement général sur la protection des données, le règlement général de la protection des données (RGPD). Si le RGPD énonce bien de nouvelles obligations, comme la désignation d'un délégué à la protection des données, il entraîne également des simplifications permettant d'alléger les charges des collectivités qui traitent chaque jour de nombreuses données à caractère personnel. Le programme « développement concerté de l'administration numérique territoriale » (DcANT) 2018-2020, piloté par la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC), et auquel participe la direction général des collectivités locales, prévoit donc la mise en œuvre d'un accompagnement spécifique des collectivités territoriales à l'appropriation et à l'adaptation du cadre juridique et opérationnel du RGPD, dans une optique de partenariat État-collectivités territoriales. Une information à destination des préfectures a ainsi été diffusée via la Lettre du droit (LDD) de la Direction générale des collectivités locales (DGCL) le 18 janvier 2018, afin qu'elle soit relayée à leur réseau de collectivités territoriales. En outre, dans le cadre de la mise en conformité de la loi informatique et libertés avec le RGPD et sur l'initiative du Sénat, le législateur a prévu plusieurs dispositions en faveur des collectivités. Ainsi, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a confié de nouvelles missions à la commission nationale de l'informatique et des libertés (CNIL) pour mieux accompagner les collectivités. Il est prévu désormais que cette commission « apporte une information adaptée aux collectivités territoriales » quant à leurs droits et obligations en tant que responsables de traitements. Elle doit également encourager l'élaboration de codes de conduite qui définissent les obligations des responsables de traitements. Ces codes de conduite peuvent être fixés par des associations telles que l'association des maires de France (AMF) ou l'assemblée des départements de France (ADF). Si le RGPD impose effectivement aux collectivités, comme à toutes les autorités publiques, de désigner un délégué à la protection des données, il prévoit que ce délégué peut faire l'objet d'une mutualisation par plusieurs collectivités. Comme il s'y était engagé auprès du conseil national d'évaluation des normes (CNEN), le Gouvernement a rappelé ce principe dans le décret. Plus largement, les collectivités et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données. L'article 31 de la loi du 20 juin 2018 prévoit que des conventions peuvent être conclues entre les collectivités et leurs groupements ayant pour objet la réalisation de prestations de services liées au traitement de données. La CNIL a publié des exemples de mutualisation qui montrent que les solutions juridiques retenues par les collectivités sont variées, et a mis à leur disposition un guide pratique très complet. Le Gouvernement demeurera attentif à ce travail d'accompagnement.