15ème législature

Question N° 8428
de Mme Sophie Beaudouin-Hubiere (La République en Marche - Haute-Vienne )
Question écrite
Ministère interrogé > Action et comptes publics
Ministère attributaire > Action et comptes publics

Rubrique > collectivités territoriales

Titre > Accompagnement des collectivités territoriales dans la mise en place du RGPD

Question publiée au JO le : 22/05/2018 page : 4120
Réponse publiée au JO le : 25/12/2018 page : 12045

Texte de la question

Mme Sophie Beaudouin-Hubiere attire l'attention de M. le ministre de l'action et des comptes publics au sujet des conséquences de l'application du règlement général de la protection des données (RGPD) sur les collectivités territoriales. En effet, le 25 mai 2018, le RGPD sera applicable. Ce nouveau règlement européen s'applique à toute entité manipulant des données personnelles, dont les collectivités territoriales. Or ceci nécessite une mise en conformité, mise en conformité qui a un coût. Sachant que la création d'une nouvelle dotation visant à aider les collectivités à mettre en œuvre le RGPD a déjà été écartée, car contraire à l'article 40 de la Constitution ainsi qu'à la procédure budgétaire définie dans la loi organique n° 2001-692, du 1er août 2001, relative aux lois de finances, il n'en demeure pas moins que la question du financement de la mise en conformité, notamment par les communes les plus petites et dont les budgets sont déjà ténus, est une réalité qui mérite d'être rapidement abordée. De même, il est régulièrement objecté aux collectivités qu'un accompagnement de la CNIL peut leur être apporté. Cette mesure, technique, est très utile, voire indispensable, il convient de le saluer. Cependant, elle ne constitue aucunement une réponse aux difficultés financières que pourront rencontrer certaines collectivités dans la mise en œuvre du RGPD. De ce fait, elle souhaite donc savoir s'il a des solutions concrètes à apporter aux collectivités territoriales afin de les aider à financer au mieux cette mise en conformité.

Texte de la réponse

Le Gouvernement est très attentif à la maîtrise des normes et des charges pesant sur les collectivités territoriales. Mme la Garde des sceaux a rappelé que ces dernières étaient déjà soumises, en tant que responsables de traitements, à des obligations de protection des données, bien avant l'entrée en vigueur du règlement général sur la protection des données, le RGPD. Si le RGPD énonce bien de nouvelles obligations, comme la désignation d'un délégué à la protection des données, il entraîne également des simplifications permettant d'alléger les charges des collectivités qui traitent chaque jour de nombreuses données à caractère personnel. Dans le cadre de la mise en conformité de la loi informatique et libertés avec le RGPD et sur l'initiative de la Haute Assemblée, le législateur a prévu plusieurs dispositions en faveur des collectivités. Ainsi, la loi du 20 juin 2018 a confié de nouvelles missions à la CNIL pour mieux accompagner les collectivités. Il est prévu désormais que cette commission « apporte une information adaptée aux collectivités territoriales » quant à leurs droits et obligations en tant que responsables de traitements. Elle doit également encourager l'élaboration de codes de conduite qui définissent les obligations des responsables de traitements. Ces codes de conduite peuvent être fixés par des associations telles que l'Association des maires de France (AMF) ou l'Assemblée des départements de France (ADF). Si le RGPD impose effectivement aux collectivités, comme à toutes les autorités publiques, de désigner un délégué à la protection des données, il prévoit que ce délégué peut faire l'objet d'une mutualisation par plusieurs collectivités. Comme il s'y était engagé auprès du Conseil national d'évaluation des normes (CNEN), le Gouvernement a rappelé ce principe dans le décret. Plus largement, les collectivités et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données. L'article 31 de la loi du 20 juin 2018 prévoit que des conventions peuvent être conclues entre les collectivités et leurs groupements ayant pour objet la réalisation de prestations de services liées au traitement de données. La CNIL a publié des exemples de mutualisation qui montrent que les solutions juridiques retenues par les collectivités sont variées, et a mis à leur disposition un guide pratique très complet. Le Gouvernement demeurera attentif à ce travail d'accompagnement.