Ce fut l’objet d’un bras de fer épique. Alors qu’une procédure accélérée avait été engagée par le gouvernement en décembre pour faire adopter la loi transcrivant en droit français les dispositions du règlement général sur la protection des données (RGPD) – définissant les nouvelles obligations des organismes procédant au traitement de données personnelles et les droits des utilisateurs –, l’Assemblée et le Sénat ont fait état de divergences de vues prononcées qui ont retardé son adoption, intervenue finalement le 14 mai. Parmi les principaux points de discorde : le sort réservé aux collectivités territoriales, que les sénateurs souhaitaient ménager.

Car cette loi, considérée généralement comme un outil pour lutter contre les dérives des entreprises – à commencer par les géants du Net – en matière d’utilisation des données personnelles, s’applique également aux collectivités territoriales (régions, départements, communes…). Effrayé par le montant des amendes que fait peser sur elles la nouvelle loi (jusqu’à 20 millions d’euros), le Sénat a tenté d’obtenir un moratoire de deux ans sur les sanctions pour les collectivités locales. En vain. « Ça aurait fait disparaître l’équilibre du texte », plaide la députée LRM Paula Forteza, qui a été rapporteuse du texte à l’Assemble.

Derrière cette inquiétude sur les sanctions, c’est un constat plus inquiétant qui s’impose : les collectivités locales n’ont pour la plupart pas acquis le réflexe de la protection des données, malgré les obligations qui leur était déjà faites par la loi Informatique et liberté de 1978. « Il y a un déficit de culture des données dans une majorité de collectivités territoriales », reconnaît la sénatrice Sophie Joissains (Union centriste), qui déplore en outre le « manque d’information » qui a précédé l’entrée en vigueur du nouveau règlement.

10 % des collectivités prêtes pour le 25 mai

Résultat, dans un sondage réalisé en juillet 2017 par La Gazette des communes, seules 10 % des collectivités – principalement les plus grandes – se disaient capables d’appliquer ces nouvelles règles au 25 mai, date d’entrée en vigueur du texte. Depuis, la situation ne semble pas avoir significativement évolué.

Les collectivités territoriales disposent pourtant de données sensibles sur leurs administrés. Sophie Joissains cite l’exemple des fichiers constitués sur les élèves allant à la cantine : « On peut y apprendre qu’un enfant est allergique, ce qui relève des données de santé ; ou que tel autre ne mange pas de porc, ce qui pourrait donner des indications sur son orientation religieuse. » Autant d’informations auxquelles n’est souvent pas appliqué le niveau de sécurité requis désormais par le RGPD : « Bien souvent, c’est un simple fichier Excel qui pourrait aisément fuiter », admet la sénatrice.

En moyenne, un département dispose de 200 à 250 traitements de données personnelles.

Et ce n’est bien sûr qu’une goutte d’eau dans le réservoir des données dont disposent les collectivités : éléments d’état civil, information sur les revenus des administrés, renseignements donnés par la police municipale, aides sociales, vidéosurveillance, etc. Une masse d’informations qui tend à croître à grande vitesse avec le développement de l’e-administration.

Faute de prise de conscience sur l’enjeu des données, les élus manipulent parfois celles-ci avec une certaine légèreté. Patrick Molinoz, maire de Venarey-les-Laumes (Côte-d’Or) et référent numérique de l’Association des maires de France (AMF), cite l’exemple de l’élu d’une petite commune qui a constitué un fichier listant ses administrés les plus fragiles habitant en zone inondable afin de pouvoir les alerter en cas de danger imminent. Au regard de la nouvelle réglementation, un tel traitement des données devrait faire l’objet d’une demande de consentement préalable des intéressés et être déclaré à la CNIL.

Un autre élu raconte comment une mairie avait pris l’habitude d’aller piocher dans les contacts obtenus par l’office du tourisme de sa ville pour garder le contact avec ces touristes de passage. Encore une pratique qui contrevient avec la nouvelle réglementation… « Même si c’est une mesure favorable pour les citoyens, c’est une contrainte supplémentaire pour les élus », admet John Billard, vice-président de l’Association des maires ruraux de France.

Saisis de « panique »

A l’approche de l’échéance du 25 mai, les élus sont saisis de « panique », selon Francisque Vigouroux, responsable numérique de l’Association des petites villes de France (APVF). Surtout, se pose la question des moyens. Maire d’Igny, une ville de l’Essonne d’un peu plus de 10 000 habitants, il a prévu une enveloppe de 50 000 euros cette année pour se mettre en règle avec le RGPD. Dans les grandes collectivités les montants peuvent être beaucoup plus élevés. Mme Joissains cite l’exemple d’une facture de 40 000 euros pour la mise en conformité d’un seul type de données.

En moyenne, un département dispose de 200 à 250 traitements de données personnelles. Pour réduire les coûts pour les collectivités, liés notamment à l’obligation nouvelle qui leur est faite d’avoir un délégué à la protection des données en charge de la bonne application du règlement, l’élu plaide pour une mutualisation des moyens au niveau du département ou des intercommunalités.

Beaucoup, enfin, souhaiterait un geste de l’Etat. « Si on veut que les collectivités s’engagent dans la république numérique, il faut leur en donner les moyens », plaide ainsi M. Vigouroux. Le Sénat avait proposé que le fruit des amendes perçues au titre du RGPD soit consacré à cet accompagnement. Mais il n’a pas été entendu par l’Assemblée. Un arbitrage qui a été d’autant plus mal vécu, que, comme le souligne Mme Joissains, « l’Etat s’est lui-même exonéré de tout risque de sanction », le texte ne prévoyant pas, en effet, que l’Etat puisse faire l’objet d’amendes… qui retomberaient immédiatement dans sa poche.