Les chiffres de la Cnil sont tombés. Selon la Commission Nationale de l’Informatique et des Libertés, 22 000 communes françaises n’ont pas encore nommé de DPO (Délégué à la Protection des Données) et sont donc dans l’illégalité au regard des obligations données par le RGPD (Règlement européen sur la Protection des Données). 60% des villes françaises sont ainsi dans l’impossibilité de prétendre au titre de villes intelligentes.
Les obligations de la ville intelligente pour respecter le RGPD
22 557 communes sur les 34 968 que compte la France (soit 60%) n’ont pas encore nommé de DPO, une obligation faite par le RGPD depuis mai 2018. Voilà un an et demi que pour devenir des villes intelligentes, les communes auraient dû se mettre en conformité. Cette mise en conformité passe dans un premier temps par la nomination d’un Délégué à la Protection des Données, personne à la tête de la politique menée dans la ville pour la protection des données personnelles. Le DPO est également le correspondant privilégié entre la commune et la Cnil.
Bon à savoir : que la ville réunisse 500 habitants ou des millions, le RGPD ne fait pas de distinction. Toutes les collectivités doivent avoir un DPO. Il est cependant possible pour les petites villes de mutualiser la fonction et leur savoir et de nommer un DPO pour plusieurs entités.
Note positive, 13 100 communes ont aujourd’hui un DPO. En un an, quatre fois plus de villes intelligentes se sont pliées à cette obligation selon la Cnil.
Pourquoi la mise en conformité avec le RGPD est nécessaire ?
Le respect du RGPD par la ville intelligente est indispensable au regard de la quantité de données gérées par la collectivité. Ces données sont aussi diverses que variées et touchent tous les habitants de la commune. Il peut s’agir des données personnelles comme l’état civil, les listes électorales, les inscriptions scolaires des enfants ou encore toutes les données RH. Des informations émanant de la vidéosurveillance sont également traitées dans certains cas. Ces données ne sont pas sensibles au sens strict du RGPD, comme le sont les données de santé par exemple, mais elles sont tout de même différenciantes et les dirigeants des villes intelligentes doivent montrer l’exemple pour conserver la confiance de leurs habitants.
Les sanctions prévues par la CNIL en cas de non-respect du RGPD par la ville intelligente
Avant l’entrée en application du RGPD en mai 2018, le gendarme des données personnelles affirmait qu’une période de tolérance serait appliquée si les collectivités démontraient leur implication en nommant au moins un DPO. Un an et demi plus tard, où en est-on des sanctions ? La période de tolérance semble encore en vigueur puisqu’aucune procédure contentieuse n’a pour l’heure été initiée pour non-respect du RGPD.
La Cnil met en avant un accompagnement des collectivités à la place d’actions de sanction. Une orientation qui semble profitable pour les petites communes surtout. La mise en conformité au RGPD est en effet un très vaste chantier pour les collectivités qui ne possèdent pas de département juridique et autres connaissances techniques. A souligner également que le respect des obligations du RGPD implique d’importantes dépenses financières sans compensation ou autres dotations.
Bon à savoir : si la Cnil se conforme aux textes, une collectivités qui n’applique pas les dispositions du RGPD peut être sanctionnée à hauteur de 20 millions d’euros pour les manquements les plus conséquents. Cependant, il est aujourd’hui difficile de penser que la Cnil pourrait appliquer de telles sanctions alors qu’elle prône l’accompagnement de tous les instants vers une mise en conformité totale.
Pensez-vous que la tolérance de la Cnil vis-à-vis des communes est légitime ? Savez-vous si votre ville respecte les obligations du RGPD ?