Le Règlement Général sur le Protection des Données – RGPD – concerne tous les organismes, y compris les collectivités territoriales et les sites mairies. Le nombre de données personnelles traitées par les communes ne cesse d’augmenter. Avec les processus de dématérialisation et la gestion des services, il est plus qu’important de comprendre les enjeux et les impacts du RGPD sur les mairies, afin d’assurer sa conformité RGPD.
Quels sont les enjeux du RGPD pour les mairies et les collectivités ?
Depuis le 25 mai 2018, tous les organismes du secteur public – comme privé – doivent s’assurer de leur conformité RGPD. Le Règlement Général de la Protection des Données (RGPD) s’inscrit dans la continuité de la loi Informatique et Liberté de 1978. Il responsabilise les collectivités territoriales sur le traitement des données personnelles de leurs administrés.
Qu’est-ce qui change pour les collectivités avec le RGPD ?
Avant mai 2018, chaque organisme devait effectuer une déclaration auprès de la CNIL. Cette procédure a été supprimée. Désormais, les collectivités locales ont en charge le traitement des données personnelles. Ces nouvelles notions de protection des données personnelles doivent être prises en compte par défaut, le plus en amont possible. Notamment, lors de la création de nouveaux projets et services.
Les collectivités devront démontrer leurs aptitudes organisationnelle et technique, pour gérer et protéger les données personnelles durant tout leur cycle de vie. Elles devront également mettre à jour leur process, en fonction des évolutions de la règlementation.
RGPD Mairie : sécurisation des données personnelles des administrés
Tout d’abord, qu’est-ce qu‘une donnée personnelle ? Il s’agit d’une information qui permet d’identifier ou de rendre l’identification possible d’une personne physique, de manière directe (exemple : nom), indirecte (numéro de téléphone, adresse mail, photo, etc…) ou à partir d’un croisement de données.
Par exemple : fille de 8 ans, scolarisée dans telle école primaire, actuellement en CM1, a redoublé dans tel établissement scolaire, etc…
Le nombre de cyberattaque étant en constance évolution, vous aurez également la responsabilité de garantir la sécurité des données personnelles que vous récoltez. Si vous passez par un prestataire, assurez-vous également sa capacité à sécuriser les informations que vous lui confiez.
RGPD Mairie : 4 étapes pour effectuer la mise en conformité de votre collectivité locale
Pour assurer la démarche de conformité RGPD de votre mairie, la CNIL recommande de désigner un DPO et de suivre ces 4 étapes :
- Recenser les traitements de données personnelles
- Trier les données personnelles
- Respecter les droits des administrés
- Sécuriser les données personnelles
Désigner le DPO
Tous les organismes du secteur public doivent nommer un Délégué à la protection des données (DPO) et quel que soit leur taille. Le DPO peut être interne à la mairie ou bien être un prestataire extérieur. Si le DPO que vous choisissez n’a aucune compétence ou connaissance dans le RGPD, la CNIL fournit un cours en ligne qu’il pourra suivre, afin de vérifier qu’il est bien apte à effectuer le travail demandé.
Le DPO aura pour missions d’informer et de conseiller la Mairie, et notamment le Maire des dispositions mises en place pour respecter le RGPD. Il devra également former les différents agents de la commune à respecter le RGPD dans le cadre de leur mission. Notamment les agents en contact avec le public.
Le délégué à la protection des données personnelles devra également veiller au respect du RGPD, en actualisant le registre de traitement. Il sera également le référent à contacter pour que les administrés puissent exercer leurs droits et l’interlocuteur privilégié de la CNIL.
Étape 1 : Recenser les traitements de données personnelles
Afin de respecter le Règlement Général sur la Protection des Données (en anglais GDPR), le DPO devra mettre en place et actualiser le registre de traitement des données personnelles de votre structure publique. Ce registre recensera les différentes activités de traitement, afin d’avoir une vision nette et globale des données personnelles traitées par votre collectivité locale.
Étape 2 : Trier les données personnelles
Une fois ce travail de recensement effectué, vous pourrez mettre en place des actions, afin de limiter les données personnelles récoltées. En effet, grâce au registre de traitement, vous remarquerez que certaine données personnelles récoltées ne vous serviront pas à mener à bien la démarche administrative, l’inscription à la cantine d’un enfant, l’inscription à un établissement scolaire, la gestion des listes électorales, etc…
Le registre de traitement permettra également d’identifier les données personnelles dont la durée de conservation à expirer. Ces données devront donc être supprimées de vos bases de données.
Étape 3 : Respecter les droits des administrés
Les administrés sont de plus en plus sensibles aux données personnelles collectées et à l’usage faites par les organismes. Vous devrez donc informer vos citoyens des données personnelles traitées. Donnez-leur la possibilité de contacter le DPO, afin de traiter les demandes d’accès, de rectification, d’opposition, d’effacement, de portabilité et de limitation.
Étape 4 : Sécuriser les données personnelles
La collectivité devra démontrer de ses aptitudes organisationnelle et technique, afin de garantir la sécurité des données personnelles de ses administrés durant tout leur cycle de vie. Il existe trois risques important :
- L’accès délictueux aux données personnelles ;
- La modification des données personnelles sans le consentement de la personne concernée ;
- La disparition des données personnelles.
Le DPO devra mettre en place les procédures nécessaires pour sécuriser l’accès aux données personnelles.
Mise en conformité RGPD du site mairie
Dans le processus de mise en conformité RGPD de votre collectivité locale, il faut compter votre site mairie ! On a tendance à l’oublier, mais les sites internet doivent également être intégrés dans les étapes du RGPD. En effet, via ce levier de communication avec vos administrés, vous récoltez de nombreuses données personnelles. Il est d’ailleurs préférable d’effectuer la démarche de conformité RGPD dès la création du site mairie, la refonte du site internet de la mairie ou la migration du site de la commune.
Quelles sont les données personnelles recueillies par un site mairie ?
Pour commencer tous les sites internet utilisent des cookies fonctionnels. Ces cookies récoltent à minima les adresses IP des ordinateurs, smartphones et tablettes. Les IP peuvent permettre l’identification d’un internaute. C’est pourquoi, chaque site internet doit avoir un bandeau d’acceptation des cookies conforme au RGPD.
Via le site internet de la mairie, vous pouvez récolter notamment :
- des adresses mails dans le cadre d’une inscription à une newsletter ;
- le nom et prénom d’un administré via un formulaire de contact ;
- l’adresse postale, les informations fiscales, la date et lieu de naissance peuvent également être récoltés lors des démarches en ligne ;
- le sexe, l’âge peuvent être identifiés par les outils de statistique, tel que Google Analytics ou Matomo ;
- et bien d’autres encore.
D’autres services, comme les réseaux sociaux, un chatbot, les outils de statistiques, etc…, déposent des cookies sur les machines de vos internautes. Ces cookies participent à la récolte des données personnelles de vos internautes, mais également au bon fonctionnement de ces services. Avant d’être déposés sur la machine de l’internaute, l’internaute doit donner son consentement en les acceptants. S’il ne les accepte pas, les cookies ne devront pas être déposés et les données personnelles ne seront pas récoltées.
Comment gérer les cookies du site de la commune ?
Désormais, sur la grande majorité des sites internet que vous visitez, vous avez un bandeau ou un pop-up vous demandant d’accepter ou de refuser les cookies du site internet. Pour les sites internet que nous gérons, nous utilisons le module RGPD Joomla Advanced Cookies. Ce module affiche un bandeau de gestion de cookies personnalisable en fonction de chaque site internet. Facile et rapide à mettre en place, il vous permettra de gérer les différents services de votre site internet mairie.
RGPD Mairie : recueillir le consentement des internautes
De manière générale, chaque donnée personnelle que vous recueillez via le site internet de la commune doit demander le consentement explicite de l’internaute. Si le consentement n’a pas été demandé à l’internaute, les données personnelles ne devront ni être utilisées, ni stockées, sous peine de vous voir infliger une sanction par la CNIL. Sauf s’il s’agit d’une mission légale ou une mission d’intérêt public.
Le consentement peut par exemple être demandé via une case à cocher à la fin d’un formulaire de contact. À chaque fois, vous devrez mentionner la finalité de l’utilisation des données personnelles et leur durée de conservation. Vous pouvez également faire un lien vers votre politique de confidentialité.
Rédiger une politique de confidentialité pour le site web de votre commune
La mise en conformité RGPD du site mairie passe également par la rédaction d’une page Politique de Confidentialité. Dans cette page, vous devrez notamment indiquer les données personnelles que vous récoltez, dans quel but et leur durée de conservation. Chaque site internet doit avoir une politique de confidentialité qui lui est propre. Mentionnez également le DPO de votre commune et ses informations de contact, afin que l’internaute puisse demander facilement la transmission, la modification ou la suppression des données personnelles le concernant.
Vous avez besoin d’aide pour la mise en conformité RGPD de votre site mairie ? Contactez-nous au 09.54.43.67.20 (Numéro non surtaxé) ou via notre formulaire de contact. Nos équipes vous accompagnent dans ce processus.
Ressources :
https://www.cnil.fr/fr/RGPD-quel-impact-pour-les-collectivites-territoriales
https://www.cnil.fr/sites/default/files/atoms/files/cnil-guide-collectivite-territoriale.pdf
Découvrez quelques-uns de nos services aux sites mairie :
