Les entreprises ne sont pas les seules à être impactées par le RGPD ! Les organismes publics doivent également revoir leur process en matière de gestion des données, notamment à caractère personnel, dans le respect des personnes.
Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD), toute entreprise, ville ou organisme public doit désormais se poser la question de la collecte, de la protection et de la réutilisation des données personnelles de ses clients, citoyens ou usagers. Pour Schéhérazade Abboub, avocate chez Parme Avocats et spécialisée en droit des données publiques, le RGPD pose la question de la gouvernance de la donnée.
Vous avez rédigé le guide de la Fédération des industriels des réseaux d’initiative publique (FIRIP) « Smart territoire » en 2018.
Comment gérer les données publiques aujourd’hui ?
Schéhérazade Abboub : La mise en œuvre du RGPD pose la question de la gouvernance de la donnée sous l’angle juridique. Nous incitons notamment les villes et les organismes publics à se réapproprier l’ensemble de leurs données et celles de leurs différents services publics, y compris ceux qui ont été délégués au privé (eau, assainissement…).
Se pose aussi la question de l’open data : comment je mets à disposition des citoyens les données de la ville en libre accès ? Et comment je reste propriétaire de toutes les données de mes services ? Pour cela, il faut que les villes acceptent l’entière responsabilité des données, y compris celles à caractère personnel (1).
Les collectivités ont une double responsabilité, financière et pénale, quant à ces données (2) (pour éviter un détournement des fichiers à des fins de tractage politique, par exemple).
Justement, les collectivités et certaines entreprises doivent désormais nommer un délégué à la protection des données (DPD)…
S. A. :En effet, le rôle de ce délégué sera de traiter les données à caractère personnel, de justifier auprès de la CNIL la manière dont elles seront traitées et, enfin, de veiller à ce que les collectivités (comme les entreprises) s’équipent en termes techniques pour garantir leur cybersécurité, en respectant les référentiels de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Aujourd’hui, il y a un vrai travail d’acculturation à mener auprès des collectivités sur ces thématiques. Avec le RGPD, chaque entité doit communiquer ses données et donc faire plus attention à leur collecte, mais aussi mettre en place des outils pour faciliter l’open data sans porter atteinte à la vie privée des personnes sur lesquelles on a des renseignements personnels. Il faut également s’astreindre à recueillir le moins possible de données personnelles. Ce qui suppose une vraie formation !
Il s’agit donc de changer de paradigme et de veiller au concept de privacy by design, soit le fait de penser à la protection de la vie privée dès la conception du site ou du service proposé. Face au big data et à l’explosion de la production de données, le RGPD permet de remettre de l’ordre.
Vous conseillez Dijon Métropole. Comment cela se traduit-il ?
S. A. : J’accompagne depuis son lancement le projet ON DIJON de gestion centralisée des équipements urbains connectés. Au profit du renouvellement d’un contrat lié à la gestion de l’espace public, Dijon Métropole s’est rendue compte qu’il était nécessaire de mettre en place un seul poste de commandement.
Le projet entend rationaliser la gestion de l’espace public (notamment en termes d’éclairage afin de réduire les coûts, avec des détecteurs de présence, l’extinction des feux de minuit à 5 h, etc.) et mettre en place une gouvernance pour gérer les données. Dijon Métropole a désigné un DPD, et un portail d’open data devrait voir le jour en 2019. En mettant à disposition ses données, la métropole peut permettre à des petites entreprises ou des start-ups de les réutiliser pour créer de nouveaux services.
(1) Une donnée à caractère personnel est une information qui permet d’identifier une personne physique, directement ou indirectement.
Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
(2) Les amendes peuvent aller jusqu’à 4 % du chiffre d’affaires mondial de l’organisme et jusqu’à 5 ans de prison.
