Réforme territoriale et protection des données

22 juillet 2016

La réforme territoriale a des impacts sur les fichiers de nombreuses collectivités territoriales. La nouvelle répartition des compétences implique en effet une « redistribution » des données personnelles entre les différents niveaux de collectivités concernés.

Comment procéder ?

La redistribution des données personnelles entre les différentes collectivités impactées doit se faire dans le respect des obligations prévues par la loi « Informatique et Libertés ». Ces collectivités doivent notamment garantir la sécurité des données personnelles traitées, informer les personnes concernées ou encore réaliser les formalités préalables adéquates auprès de la CNIL.

Les grandes étapes du transfert des données dans le cadre de la réforme territoriale :

cil.png

Le CIL, un expert pour vous accompagner

Publié le 13 juillet 2016

Les actions à prévoir pour l'ancienne collectivité compétente


  1. Identifier les données à transférer 

La collectivité qui est amenée à transférer ou à partager sa compétence doit s’interroger sur l’utilité, pour la nouvelle collectivité, de disposer de tout ou partie de son fichier. Seules les données pertinentes et strictement nécessaires à l’exercice de ses nouvelles missions doivent être transmises à la nouvelle collectivité.

En cas de fusion de plusieurs collectivités en une seule


En cas de transfert intégral d’une compétence à une autre collectivité


En cas de compétence partagée sur un même territoire


  1. Garantir la sécurité des transferts

Pour garantir l’intégrité des données qui seront transférées, et satisfaire dans le même temps aux éventuelles obligations légales d’archivage, une copie des données traitées, doit être réalisée avant le transfert. Cette copie permettra notamment, après transfert, de s’assurer de la complétude et de l'exactitude des données transférées.

La transmission des données utiles peut être réalisée : 

  1. via une plateforme d’échanges conforme au référentiel général de sécurité.
  2. par d’autres moyens, notamment un support physique, à condition que la confidentialité des données soit protégée par un chiffrement du support ou des fichiers, en mettant en œuvre un algorithme réputé fort et une gestion sécurisée des clés de chiffrement.

Dans le cas d'un chiffrement symétrique,

  • la transmission du secret doit se faire via un canal de communication distinct des données.

Dans le cas d’un chiffrement asymétrique, 

  • la clé privée doit être protégée par une phrase secrète forte ;
  • il est nécessaire de vérifier l’authenticité de la clé publique (un contact téléphonique doit permettre de vérifier que l’empreinte de la clé publique récupérée correspond bien à l’empreinte de la clé publique du correspondant).

Pour en savoir plus 

 > Garantir la sécurité des données 


  1. Informer les personnes du transfert de leurs données

Les administrés concernés doivent être informés du transfert de leurs données personnelles et du contexte juridique à l’origine de ce transfert (fusion, transfert ou partage de compétences). Cette information peut s’effectuer sur tout support approprié, par exemple par voie d’affichage sur les panneaux de la collectivité ou via une mention d’information sur son site Internet.


  1. Supprimer ou archiver les données

Les fichiers mis en œuvre par les collectivités ont vocation à leur permettre de remplir leurs missions. Lorsqu’une compétence est transférée, partiellement ou intégralement, d’une collectivité à une autre, la collectivité anciennement compétente n’a plus de raison d’accéder aux données des administrés dont elle n’a plus la charge. Elle doit donc les supprimer de sa base active

Elle peut toutefois en conserver une copie en archivage intermédiaire, c’est-à-dire dans une base distincte dont l’accès sera restreint aux seules personnes susceptibles d'y accéder en raison de leurs fonctions, notamment pour s’assurer de l’intégrité des données transmises et satisfaire, le cas échéant, aux obligations légales d’archivage. 

> En savoir plus sur l'archivage des données

Les Archives de France (SIAF) mettent à disposition des collectivités des règles et instructions pour la sélection et la gestion des archives. Les services de la collectivité peuvent également se rapprocher de leurs archivistes .

Par ailleurs, dans une note d’information d’avril 2016 relative au Cloud , le directeur général des collectivités territoriales et celui des archives de France rappellent que les collectivités publiques ne peuvent archiver en dehors du territoire national leurs documents et données numériques détenus dans le cadre de leurs missions de service public (régime juridique des trésors nationaux dès leur création).


Les actions à prévoir pour la nouvelle collectivité compétente

 

  1.  Garantir la sécurité des données reçues

La  nouvelle collectivité doit veiller à préserver la confidentialité des données reçues pour l’exercice de sa nouvelle compétence, en mettant en place une politique d’habilitation assortie d’une gestion rigoureuse des droits d’accès. Les données doivent ainsi être rendues accessibles aux seuls agents qui, en raison de leurs fonctions, sont désormais chargés de traiter les données.

En cas d’accès à distance :

Les accès distants doivent disposer d’un niveau de sécurité élevé, avec une gestion fine des habilitations, une authentification renforcée et une traçabilité complète, excluant tout compte d’accès générique. De plus, les données doivent emprunter des canaux de communication chiffrés, assurant a minima l’authentification du serveur (HTTPS) et de préférence aussi celle du client (ligne spécialisée ou VPN).

Pour la sécurité des systèmes d’information :

Concernant les téléservices soumis au référentiel général de sécurité (RGS), la nouvelle collectivité doit mettre à jour leur dossier de sécurité et prononcer leur homologation. Il lui faut également opérer la modification des certificats électroniques qui leur sont attachés.

Plus généralement, le redéploiement informatique engendré par la redistribution des rôles des collectivités est l’occasion d’une réévaluation des risques sur les systèmes d’information et d’une mise à jour des mesures pour les traiter.

Dans cette optique, les collectivités peuvent prendre en compte dès aujourd’hui les obligations de gestion des risques portées par le nouveau Règlement européen sur la protection des données personnelles. Pour accompagner cette démarche, la CNIL propose des guides méthodologiques pour réaliser une « Etude d’impact sur la vie privée ».


  1. Identifier les sous-traitants et mettre à jour les contrats

Les collectivités ont la possibilité de recourir à un sous-traitant pour la gestion de leurs données. Dans le cadre de la réforme territoriale, certains contrats seront transférés, de nouveaux contrats pourront être conclus, d'autres pourront être résiliés.

En cas de résiliation d'un contrat de sous-traitance 

Le prestataire doit détruire ou restituer les données à la collectivité ou les transférer au nouveau prestataire. Le transfert des données personnelles doit se faire dans des conditions sécurisées afin de garantir leur intégrité et leur confidentialité.

En cas de désignation d’un nouveau prestataire

Lors de la conclusion d'un nouveau contrat, la collectivité doit s’assurer de l’existence et de la « qualité » des  clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.

Ce point est essentiel car la collectivité reste responsable des opérations qui seront réalisées pour son compte et sous ses instructions par le prestataire. Voir un modèle de clauses contractuelles

Pour aller plus loin

L’ANSSI, propose un guide pour maîtriser les risques en matière d'externalisation et sécurité des systèmes d’information. Le guide de l’ANSSI détaille les risques liés à la sous-traitance, notamment ceux liés au Cloud, et la manière de les traiter dans les appels d’offres et les contrats, en proposant des exigences et des clauses de sécurité types.


  1. Informer les personnes de leurs droits

La nouvelle collectivité compétente devra informer les personnes concernées de sa qualité de nouveau responsable du traitement de leurs données personnelles, de la finalité poursuivie, des destinataires des informations ainsi que des coordonnées du service auprès duquel ils pourront exercer leurs droits d'accès, de rectification ou d'opposition. Cette information pourra s’effectuer sur tout support approprié, et notamment :

  • par voie d’affichage sur les panneaux de la collectivité,
  • via une mention d’information sur son site Internet,
  • par une mention d’information intégrée à l’ensemble des courriers que la collectivité sera susceptible d’envoyer aux administrés dans le cadre de ses missions.

Les mentions « informatique et libertés » figurant sur les formulaires de collecte de données devront également être mises à jour.


 

  1.  Mettre à jour les formalités CNIL

Les collectivités doivent assurer la transparence des traitements qu’elles mettent en œuvre dans l’exercice de leurs nouvelles compétences.

Pour simplifier leurs démarches, elles peuvent choisir entre « exploiter l’existant », en actualisant les informations transmises à la CNIL par la collectivité anciennement compétente,  ou réaliser une nouvelle formalité.

Demander la liste des fichiers déclarés à la CNIL​ 

En cas de fusion de plusieurs collectivités en une seule


En cas de transfert intégral d’une compétence à une autre collectivité


En cas de transfert partiel de compétence


Document reference

Pour approfondir