blogpost-infos-collectivite-partage-documents

Comme les entreprises privées, les collectivités territoriales utilisent, créent, partagent et stockent un grand nombre de données et de documents.

La confidentialité et la protection des données n’est pas un sujet nouveau, mais cette année, il est plus que jamais d’actualité avec l’entrée en vigueur du règlement européen sur la protection des données (RGPD) le 25 mai dernier et l’ouverture des données publiques des collectivités qui prend effet à partir du mois d’octobre 2018.

Suite aux nombreux scandales de piratages des données qui ont éclaté partout dans le monde et à l’inquiétude croissante des citoyens concernant l’utilisation de leurs données, le gouvernement français a mis en place des mesures visant à encadrer le stockage ainsi que le traitement des données et des documents des collectivités territoriales.

Le problème du stockage des données

Aujourd’hui, les collectivités ont de plus en plus recours à des logiciels ou à des plateformes leur permettant de stocker tous leurs documents et leurs données dans un espace unique, facilement accessible (via Internet) aux agents comme aux usagers. C’est ce que l’on appelle le cloud computing (ou l’informatique en nuage en français).

Le problème est que ces données sont stockées dans d’immenses datacenters qui sont, bien souvent, physiquement installés à l’étranger, donc hors du territoire français. Pour rappel, tous les documents des collectivités territoriales (documents papiers numérisés ou créés par un logiciel de traitement de texte, bases de données ou emails) relèvent dès leur création du régime des archives publiques et sont considérés comme des « trésors nationaux » qui ne peuvent pas « sortir du territoire douanier français » (source : la Gazette des communes).

Dans une note d’information datant d’avril 2016, le gouvernement rappelle qu’il est impératif que les données soient traitées et hébergées dans un cloud souverain, c’est-à-dire « qui se situe dans les limites du territoire national, par une entité de droit français et en application des lois et normes françaises. »

Les différents types de données

Les données gérées par les collectivités territoriales sont classées en trois grandes familles :

  • les données internes et nécessaires au fonctionnement de la collectivité ;
  • les données qui concernent les métiers et les services ;
  • les informations sur leurs usagers.

Au quotidien, les collectivités utilisent et traitent un nombre considérable de données allant des éléments d’état civil, aux informations sur les revenus des administrés, en passant par les renseignements donnés par la police municipale, les fichiers d’aide sociale, la vidéosurveillance, les fichiers cadastraux, etc. Et cette quantité d’information ne fait qu’augmenter avec le développement de l’e-administration qui permet de moderniser et d’accélérer l’action publique.

Partage de documents : ce qu’il faut savoir

Voici 4 informations que les collectivités doivent impérativement savoir concernant le partage des documents et la protection des données.

1. Un cloud souverain, sinon rien

Comme précisé plus haut, les collectivités territoriales ont donc l’obligation d’utiliser un cloud souverain. En effet, la circulaire d’avril 2016 précise que « l’utilisation d’un cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données est stocké sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics. »

Les collectivités doivent donc choisir avec soin un prestataire qui répond aux exigences du gouvernement et s’assurer que leurs données sont bien traitées et stockées en France.

Wimi et Wimi Armoured sont des outils hautement sécurisés qui hébergent vos données en France.

2. Les clauses à prévoir

Parmi les bonnes pratiques citées dans la note d’information du gouvernement, il faut noter que « si une collectivité territoriale désire souscrire une offre de cloud, elle pourra ainsi s’orienter uniquement vers une offre de cloud souverain, en prenant soin de
prévoir des clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système. Si l’offre choisie est une offre de cloud public, elle veillera également à ce que la séparation logique des données par rapport à celles d’autres clients soit garantie. »

3. La nomination d’un délégué à la protection des données

Depuis le 25 mai 2018, les collectivités ont l’obligation de nommer un délégué à la protection des données. Les missions de cet agent sont les suivantes :

  • informer et conseiller les agents de la collectivité sur le traitement et la protection des données ;
  • mettre en place une culture Informatique & Libertés au sein de la collectivité ;
  • réaliser des audits afin de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • coopérer et être en contact avec la CNIL ;
  • conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et vérifier son exécution.

Afin d’exercer son rôle de façon efficace, le délégué à la protection des données devra disposer d’un niveau d’expertise et de moyens suffisants, posséder des connaissances spécialisées du droit et des pratiques en matière de protection des données et bénéficier des ressources et formations nécessaires pour mener à bien ses missions. (Source : CNIL)

4. Sanctions

Si vous constatez une violation d’informations à caractère personnel, vous devez la notifier à la CNIL dans les 72 heures qui suivent l’infraction. Passé ce délai, la collectivité peut se voir sanctionner par un avertissement public ou par une amende administrative dont le montant peut aller jusqu’à 20 millions d’euros.

A titre indicatif, le montant de l’amende pour une entreprise privée peut s’élever entre 2 % et 4 % de son chiffre d’affaires annuel mondial, en fonction de la catégorie de l’infraction.

Pour conclure

Aujourd’hui, les collectivités territoriales doivent suivre l’évolution de la société numérique. Le partage et la protection des données sont désormais des sujets importants et il est impératif de se soumettre aux nouvelles réglementations qui les encadrent.