RGPD et collectivités : comment contourner (un peu) l'absence de moyens financiers?
Dire qu’il y a un retard à l’allumage dans le respect des obligations liées au RGPD par les entreprises privées relève de l’euphémisme. Mais quand on prend le temps de considérer le sort que réserve les collectivités à l’application des normes européennes en matière de protection des données personnelles, on peut s’inquiéter encore plus…
On a vite compris que le règlement promulgué le 25 mai 2018 poserait de gros soucis aux collectivités. Lors des travaux du Sénat pour adapter la législation nationale (la loi du 6 janvier 1978) au RGPD, la Haute Assemblée - dont il convient de rappeler qu’elle représente les collectivités territoriale, article 24 de notre Constitution - voulait rien moins qu’« exempter les collectivités locales des sanctions financières. Il souhaitait également que le produit des ces sanctions « serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Enfin le Sénat a également proposé « la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD». Amendements tous rejetés : aucun cadeau n'a été fait aux collectivités, même les plus modestes.
A l’heure des restrictions budgétaires, l’effort demandé pour se mettre en conformité pourra parfois paraître insurmontable aux collectivités les plus petites : les communes rurales notamment. Et pourtant les obligations qui pèsent sur elles sont les mêmes que celles qui pèsent sur les leaders du CAC40. Mêmes obligations, mais pas mêmes moyens.
Les obligations qui pèsent sur les petites communes sont les mêmes que celles qui pèsent sur les leaders du CAC40...
Gestion des cantines, organisation du tourisme, mise en place des évènements festifs, mais aussi services dématérialisés sur le web… les exemples nécessitant qu’on s’attèlent à une mise en conformité sont sans fin.
L’exposition aux sanctions n’est pas différente des entreprises privées.
Reste ce fameux problème de coût et de moyens humains. Comment exiger du maire d’une commue rurale ou d’une secrétaire de mairie de passer des heures à éplucher les (excellents) guides de la CNIL quand on sait qu’ils font péniblement face aux contraintes du quotidien de la commune ? Issu d’un petit village aveyronnais de moins de 600 habitants, je connais bien ces difficultés.
Il faut également avertir les collectivités du risque lié « aux vendeurs de peur » qui tenteront par tous moyens de placer leur « produit » de mise en conformité. Il n’existe pas aujourd’hui de solution de mise en conformité globale en dehors d’une mission d’audit et d’intervention qui serait menée par des personnes qualifiées. Des solutions logicielles de qualité et peu couteuses traitant certains aspect des contraintes existent. Ce qui me lisent connaissent déjà Axeptio, logiciel auquel je suis directement associé et qui permet de gérer facilement la récolte et le traitement des consentements des personnes à la collecte de leurs données personnelles.
C'est l'exemple d'une solution peu couteuse permettant de répondre à une partie du problème. Mais pas à la totalité.
En réalité il existe une solution pour les budgets communaux qui savent ne pas pouvoir dégager de dotations pour leur mise en conformité : le temps... Il ne faut pas croire ceux qui prétendent que les obligations légales sont inaccessibles au commun des mortels. Oui, il vous faudra beaucoup plus de temps qu'à un avocat spécialisé pour trouver les infos et les exploiter correctement. Mais avec de la détermination, de la patience et du temps, vous disposez en realité, notamment grâce à la CNIL, de tous les outils vous permettant d'avancer sur le chemin de la mise en conformmité de votre commune.
Se mettre en conformité, c'est comme monter un meuble IKEA, tout le monde peut le faire du moment qu'il suit scrupuleusement la notice de montage. Cetains galèrent plus que d'autres, mais on finit toujours par y arriver (moi je mets toujours le double du temps indiqué après avoir constaté que j'ai monté le meuble à l'envers...mais j'y arrive quand même!).
Se mettre en conformité, c'est comme monter un meuble IKEA, tout le monde peut le faire du moment qu'il suit scrupuleusement la notice de montage...
Le RGPD est donc une surcouche législative qu’il sera très compliqué d’absorber pour les collectivités.
Au maire d’une petite commune rurale peut argentée on ne pourra donc que conseiller de consacrer un peu de temps, chaque semaine, à la lecture de la documentation fournie par la CNIL. Elle est réellement de grande qualité. Avancer vers une mise en conformité seul est compliqué, mais pas impossible. Ce sera simplement particulièrement chronophage.
En résumé, voilà les quelques solutions gratuites ou pas chers qui peuvent permettrent de s'en sortir avec un peu de courage et pas mal de temps :
- commencer par s’assurer une formation de base permettant d’avoir un aperçu global de la problématique. Les vidéos de MerciCookie réalisées en collaboration avec la CNIL permettront une première approche sérieuse des questions à considérer.
- La lecture du guide en 6 étapes identifiées par l’Autorité de Contrôle constituera après la mise en bouche des vidéos une étape instructive.
- Le téléchargement du logiciel gratuit fournit par la CNIL, PIA, et, via son utilisation, la mise en place d’une analyse d’impact sur la vie privée (Privacy Impact Assessment ou encore PIA…) est une bonne façon d’avancer sur une mise en conformité, même si la première vocation de l’outil n’est pas celle-là.
- L'utilisation du logiciel Axeptio (français)* permet de vous assurer le recueil de consentements conformes au RGPD et donc de pouvoir collecter er traiter des données personnelles en conformité avec la réglementation. Très utile et pas cher.
* Afin d'être parfaitement transparent, et même si cette information figure de manière très claire sur le site web d'Axeptio, je rappelle que je suis directement associé à la création de ce logiciel que je recommande malgré tout de manière objective en raison des services énormes qu'il rend à ses utilisateurs. Mais c'est mieux quand c'est dit...