Le RGPD impose de nouvelles obligations aux responsables de traitement des données dites sensibles et ouvre de nouveaux droits aux citoyens européens tels que le droit à l’oubli, à l’effacement et à la portabilité. Soumis à un devoir d’information quant à l’utilisation des données, les organismes doivent répondre à certaines règles strictes en matière de sécurisation des données sous peine de sanctions de la CNIL.
Les infractions relevées et sanctionnées dès 2018
En effet, les organismes qui ne respectent pas les mesures imposées par le règlement risquent une amende d’un montant de 2 ou 4 % du chiffre d’affaires pour les entreprises, ou de 10 à 20 millions d’euros pour les organismes publics selon la gravité des faits. La CNIL prend en compte le caractère intentionnel ou de négligence du manquement mais aussi les mesures prises par le responsable du traitement pour atténuer les dommages subis et ses effets négatifs éventuels. Fin 2018, la CNIL avait ainsi reçu 742 notifications qui concerneraient plus de 33,7 millions de personnes.
Le délégué à la protection des données (DPO) pour garantir la conformité
Parmi les obligations auxquelles sont soumis les organismes publics : la désignation d’un délégué à la protection des données. Son rôle : recenser l’ensemble des traitements de données à caractère personnel, préparer les procédures spécifiques, sensibiliser les agents et s’assurer de l’assimilation du règlement à long terme. Interne ou externe à l’organisme, voire même mutualisé entre plusieurs structures, le DPO garantit ainsi la conformité de l’organisme au regard du RGPD. Ainsi, il occupe une fonction stratégique impliquant des connaissances juridiques pointues, et des compétences en cybersécurité et en informatique. Pour aller plus loin :vérifiez votre conformité au RGPD
Accélérer la transformation numérique du secteur public
Haut niveau de sécurité des données, réorganisation des équipes, responsabilités étendues, nouvelles fonctions internes’ Le RGPD a considérablement transformé le paysage et les pratiques du secteur public et poussé les organismes à accélérer leur transformation tant au niveau de leur organisation, de leur système d’information que de leur plan d’investissement.En effet, sur le plan logistique, la protection des données nécessite un investissement réel dans les équipements et outils informatiques adaptés à chaque étape des processus : collecte des informations, traitement, analyse, stockage et restitution, voire suppression. Et les applications ne manquent pas au sein des services publics : État civil, listes électorales, inscriptions scolaires, gestion du foncier et de l’urbanisme? Une manipulation des données personnelles nominatives d’autant plus critique dans le contexte d’open data qui rend difficile l’anonymisation des informations.
Le RGPD : un impact financier loin d’être neutre
De même, le RGPD implique un important investissement financier pour les acteurs publics, parfois difficile à supporter notamment pour les collectivités les plus petites. Ce dispositif s’accompagne de la mise en place d’un DPO, d’une mise à niveau du système d’information et souvent d’une réorganisation des processus et fonctions en interne. Entre 2017 et 2021, les organisations françaises (tous secteurs confondus) devraient consacrer plus de 4,3 milliards d’euros à cette mise en conformité, dont 500 000 euros uniquement pour les seuls logiciels (dans le cas d’une entreprise du CAC 40).44 % des acteurs du secteur public (agents, élu(e)s, DGS, DGST, maires et secrétaires) estiment que le manque de moyens financiers représente un frein à la transformation numérique.En savoir plus sur le coût de la conformité au RGPD : https://itsocial.fr/enjeux/securite-dsi/reglementation/cout-de-conformite-rgpd/ Le RGPD participe donc pleinement à la transformation numérique du secteur public. Pour accélérer le mouvement et limiter les coûts, les organismes publics peuvent alors se faire conseiller et s’appuyer sur de nombreux outils pratiques et pages d’informations dédiées, mises à disposition sur le site de la CNIL.Pour tout savoir sur le RGPD, consultez : RGPD : le glossaire pour tout comprendre