Anne Renard anime une conférence Lexing « Comment assurer la conformité au RGPD dans le secteur public » le mercredi 28 février de 9h à 11h en visioconférence.
Le RGPD met en place une logique de responsabilisation de tous ceux qui traitent des données personnelles, entreprises comme organismes publics et acteurs intervenant à leurs côtés.
La conformité au RGPD des organismes publics
À ce titre, le RGPD impose de nombreuses obligations aux organismes publics notamment :
- l’accountability, c’est-à-dire, le fait d’être en mesure de démontrer qu’elles effectuent leurs traitements conformément aux exigences de la réglementation ;
- désigner un délégué à la protection des données (DPD) ;
- tenir un registre des activités de traitement ;
- encadrer contractuellement les relations avec les sous-traitants ;
- protéger les données dès la conception et par défaut ;
- assurer la sécurité des traitements de données et notifier les violations de données à la Cnil ;
- réaliser des analyses d’impact, etc.
Certaines de ces obligations font l’objet d’une attention particulière de la part de la Cnil.
La désignation d’un DPO
En effet, la désignation d’un délégué à la protection des données est obligatoire pour les autorités ou organismes publics (à l’exception des juridictions), quelle que soit leur taille.
Ainsi, le 12 décembre 2023, la Cnil a prononcé une amende et une injonction sous astreinte à l’encontre de la commune de Kourou pour ne pas avoir désigné de délégué à la protection des données, ni coopéré avec les services de la Cnil.
Cette condamnation fait suite à la mise en demeure adressée le 25 avril 2022 à l’encontre de 22 communes, dont la commune de Kourou. Celles-ci disposaient d’un délai de 4 mois pour désigner un délégué à la protection des données.
La commune de Kourou n’ayant pas régularisé sa situation, ni même répondu aux services de la Cnil, une procédure de sanction simplifiée a été prononcée à son encontre aboutissant à une première amende non publique de 5 000 euros et une injonction de se mettre en conformité sous un délai de trois mois.
En l’absence de régularisation à l’issue de ce nouveau délai, une procédure de sanction ordinaire a été initiée à son encontre concrétisée par une nouvelle amende de 5 000 euros et une injonction de se mettre en conformité dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.
Le respect du RGPD par le secteur public
La Cnil veille également au respect de l’obligation de traiter des données personnelles de manière compatible avec les finalités pour lesquelles elles ont été collectées.
Elle a ainsi rappelé à l’ordre, par délibération du 9 novembre 2023, le ministère de la Transformation et de la Fonction publiques et le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique pour avoir envoyé le 26 janvier 2023 un courriel intitulé « Réforme des retraites : Message de Stanislas Guerini aux agents de la Fonction publique », qui renvoyait à une vidéo visant à promouvoir la réforme des retraites, à 2 346 303 agents publics de l’État.
Pour envoyer ce courriel, l’administration avait utilisé le fichier des utilisateurs de la plateforme ENSAP qui sert notamment à l’envoi des bulletins de salaires des agents publics. La formation restreinte a relevé que le décret n°2022-1446 du 21 novembre 2022 régissant l’ENSAP n’avait pas été respecté, ce décret n’autorisant pas une utilisation du fichier nominatif pour une communication politique.
Les dispositifs « Bacs à sable » de la Cnil
La Cnil accompagne par ailleurs les acteurs publics dans le cadre de ses dispositifs « bacs à sable » dont l’objet est de permettre aux entreprises et organismes publics à l’initiative de projets innovants de bénéficier de son accompagnement et de son expertise sur des questions juridiques et techniques émergentes.
Dans le cadre de son troisième « bac à sable données personnelles », qui était dédié à l’intelligence artificielle au bénéfice des services publics, la Cnil a retenu les projets suivants :
- le projet « Albert » de la Direction Interministérielle du Numérique (DINUM) ayant pour objet d’assister les agents de la fonction publique dans la recherche d’information et à les aider à formuler des réponses précises aux usagers ;
- le projet « Conseils personnalisés d’Intelligence Emploi » consistant en la mise en place d’un outil conversationnel à destination des conseillers de Pôle Emploi pour les aider à proposer un parcours personnalisé et adapté aux besoins des demandeurs d’emploi ;
- le projet « Ekonom IA » de Nantes Métropole ayant pour objet de fournir aux usagers des informations et préconisations sur leur consommation d’eau ;
- le projet initié par la RATP de développement de nouvelles formes de captations vidéo basée sur l’utilisation d’une technologie de captation de données matricielles garantissant l’absence de récupération de données personnelles.
Collectivités territoriales et attaques informatiques
Concernant les collectivités territoriales, le dernier rapport du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) publié le 23 octobre 2023 confirme la forte sinistralité informatique visant les collectivités territoriales.
Ce rapport fait état d’une moyenne de dix incidents par mois affectant des collectivités entre janvier 2022 et juin 2023, représentant 17% des cas traités par l’Anssi sur cette période.
Le premier objectif poursuivi par les pirates est un objectif lucratif, mais les attaques peuvent aussi poursuivre une finalité de déstabilisation ou de compromissions liées à des opérations d’espionnage étatique.
Apports de la loi « JO 2024 »
La conformité au RGPD des acteurs publics doit également être effectuée en considération des nouvelles dispositions introduites par la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024.
Cette loi a permis une harmonisation entre le cadre légal de la vidéoprotection et la réglementation relative à la protection des données à caractère personnel, l’article L.251-1 du Code de la sécurité intérieure définissant à présent les systèmes de vidéoprotection comme des traitements de données à caractère personnel soumis à cette réglementation.
Le décret n° 2023-1102 du 27 novembre 2023 précise les règles de mise en œuvre des traitements de données à caractère personnel provenant de systèmes de vidéoprotection et des caméras installées sur des aéronefs. En particulier, la mise en œuvre d’un traitement de données à caractère personnel provenant de systèmes de vidéoprotection déployé par une autorité publique compétente est subordonnée à l’envoi préalable à la Cnil d’un engagement de conformité aux dispositions de ce décret.
La loi « JO 2024 » a en outre circonscrit les conditions de recours à l’intelligence artificielle dans les dispositifs de vidéoprotection. Son article 10 a en effet instauré un cadre expérimental permettant la mise en œuvre de traitements algorithmiques d’analyse automatisée des images provenant des dispositifs de vidéoprotection et de caméras installées sur des aéronefs afin de détecter et de signaler en temps réel des évènements prédéterminés.
Il en résulte que la mise en œuvre de traitements algorithmiques sur les images captées par des systèmes de vidéoprotection à des fins de prévention et de répression d’infractions n’est en l’état possible que dans le cadre de cette expérimentation.
La conformité au RGPD et les traitements algorithmiques
Ainsi, par ordonnance de référé du 22 novembre 2023, le tribunal administratif de Caen a enjoint à la communauté de communes Cœur Côte Fleurie d’effacer les données à caractère personnel issues de l’usage du logiciel de vidéosurveillance algorithmique Briefcam, ce logiciel étant utilisé en-dehors de tout cadre légal et portant une atteinte grave et manifestement illégale au respect de la vie privée.
En adoptant un raisonnement similaire, le tribunal administratif de Lille a au contraire estimé, par ordonnance de référé du 29 novembre 2023, que la ville de Roubaix n’utilisait pas la fonction de reconnaissance faciale de son logiciel de vidéoprotection Briefcam, la fonction de détection faciale étant désactivée.
Faites le point en vous inscrivant à la visioconférence « Assurer la conformité au RGPD dans le secteur public ». Elle aura lieu le mercredi 28 février 2024 entre 9h et 11h.