Le récent scandale facebook a une fois de plus démontré que la gestion et l’usage des données personnelles est un sujet de préoccupation majeur à l’heure de l’informatisation toujours plus grande de notre société.
Les communes sont des acteurs très importants dans la gestion de ces données, puisqu’elles en collectent de très nombreuses et surtout d’extrêmement sensibles. Elles sont dès lors pleinement concernées par le nouveau Règlement général sur la protection des données (RGPD), qui entre en vigueur le 25 mai prochain.
D’ici là, les communes doivent ainsi remplir toute une série d’exigences, sous peine de se voir infliger d’importantes amendes (jusqu’à 20 millions d’euros) et de voir leur responsabilité mise en cause devant les tribunaux.
Dès lors, à un mois de l’entrée en vigueur du RGPD, nous interpellerons le Collège, lors du Conseil communal de ce 24 avril, afin de savoir comment la Ville se prépare concrètement à la mise en œuvre du RGPD.
Sera-t-elle en mesure de respecter l’ensemble de ses obligations dès le 25 mai ?
Parmi les obligations qui incombent à la Ville, relevons celle de désigner un délégué à la protection des données chargé de vérifier le respect du RGPD, de fournir des informations et des conseils et d’assurer le lien avec l’autorité de contrôle. Il doit en outre bénéficier d’une totale indépendance dans l’exercice de sa mission. La Ville a-t-elle déjà nommé un délégué à la protection des données ? Comment compte-t-elle assurer son indépendance ?
Par ailleurs, la Ville doit établir un registre de l’ensemble des activités de traitement des données afin de déterminer quelles données sont traitées, par qui et pour quoi faire. La Ville a-t-elle établi ce registre ? A-t-elle listé l’ensemble des personnes ayant accès aux données et a-t-elle pris des mesures pour sécuriser cet accès (modification des mots de passe, traçabilité des accès, renforcement de la sécurité informatique…) ?
En outre, la Ville doit mettre en place des procédures claires et efficaces permettant de répondre dans les courts délais imposés aux demandes des citoyens qui souhaiteraient exercer les droits qui leur sont accordés par le RGPD (droit d’accès aux données, droit de rectification, droit à l’oubli, droit à la portabilité…). Ces procédures ont-elles été établies ?
La Ville a-t-elle établi des procédures adaptées en cas de fuite de données, de hacking ou de risques de fuite, comme le lui impose le RGPD ?
Enfin, la Ville a-t-elle envoyé des membres de l’administration en formation sur le sujet ?
Tout ceci peut paraître très technique, mais les conséquences du non-respect de ces exigences sont potentiellement très importantes, tant pour les citoyens qui doivent pouvoir faire confiance à l’administration lorsqu’ils lui confient leurs données, que pour la commune qui s’exposent à d’importantes sanctions.
Et au-delà du simple respect du RGPD, il s’agit d’une occasion unique de repenser tout le système de traitement de l’information au sein de la Ville. Ne loupons donc pas le coche !