Cybersécurité & RGPD

Pourquoi les collectivités locales devraient mutualiser le contrôle de la conformité RGPD de leurs sous-traitants ?

Par Maitre Franklin Brousse -Avocat – Expert en droit des nouvelles technologies

Une nouvelle obligation de vigilance à la charge des collectivités

Depuis l’entrée en vigueur du RGPD (Règlement européen sur la protection des données personnelles), les collectivités locales doivent uniquement faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour protéger les données personnelles de leurs personnels et de leurs administrés (cf. Article 28 du RGPD).

Le respect de cette obligation implique une évaluation des garanties apportées par chacun des fournisseurs dont la mission implique le traitement de données personnelles pour le compte d’une collectivité.

Une telle évaluation peut s’avérer chronophage eu égard à la complexité des nombreuses dispositions du RGPD applicables et à la nécessité de vérifier un grand nombre de mesures techniques et organisationnelles.

Une telle évaluation est pourtant nécessaire pour s’assurer des conditions de sécurisation des données personnelles des administrés et éviter la mise en cause de la responsabilité des élus.

Rappelons-ci que les atteintes en matière de données personnelles impliquent souvent la responsabilité d’un sous-traitant n’ayant pas mis en œuvre les mesures adéquates.

Comment faire face efficacement à cette nouvelle obligation ?

Compte tenu du nombre de sous-traitants auquel recourent les collectivités, la meilleure manière d’assurer un contrôle effectif est de dématérialiser le process d’évaluation de la conformité RGPD des sous-traitants.

La dématérialisation permet d’automatiser ce contrôle et surtout de le généraliser à tous les sous-traitants de manière à pouvoir remplir l’obligation issue de l’article 28 du RGPD.

Une telle dématérialisation est aujourd’hui rendue en tout ou partie possible via des logiciels ou des plateformes en ligne.

L’intérêt de la mutualisation

S’agissant d’une obligation s’appliquant à toutes les collectivités locales, chacune a la responsabilité d’évaluer ses sous-traitants.

Pourtant, nombreuses sont les collectivités, en particulier au niveau régional, qui ont recours aux mêmes sous-traitants et doivent donc chacune individuellement procéder à l’évaluation de leurs conformités ; ce qui constitue, à l’évidence, une charge de travail cumulée considérable qui devrait pouvoir être évitée.

C’est pourquoi, la mutualisation de l’évaluation de la conformité RGPD des sous-traitants apparaît comme le moyen le plus rapide et efficace pour remplir une telle obligation dont le non-respect peut entraîner de lourdes conséquences au plan financier mais également en termes d’images dans l’hypothèse où une violation de données personnelles ferait apparaitre que la collectivité n’a effectué aucun contrôle des garanties apportées par ses sous-traitants.

Une telle mutualisation est aujourd’hui rendue possible via RGPD Check (www.rgpdcheck.org), première plateforme « tiers de confiance » dédiée à l’évaluation du niveau de maturité RGPD des sous-traitants.

Cette plateforme est l’illustration qu’il est possible de remplir facilement une obligation particulièrement contraignante pour les collectivités et dont le non-respect peut s’avérer lourd de conséquences.

A cet égard, rappelons qu’aux yeux de la CNIL, le respect des règles de protection des données personnelles est à la fois un facteur de transparence et de confiance à l’égard des administrés et un gage de sécurité juridique pour les élus responsables du traitement des données de leurs administrés.