le 19/09/2018

Protection des données personnelles et fonction publique territoriale

En principe, les Collectivités territoriales ont déjà, dans le cadre de la loi « informatique et libertés », mis en place des procédures internes de traitement des données personnelles de leurs agents. Toutefois, l’entrée en vigueur du RGPD et la nouvelle logique de responsabilisation et d’information constituent l’occasion d’évaluer les procédures déjà en vigueur et de les adapter aux nouvelles normes. La tâche n’est pas si aisée qu’elle semble paraître et plusieurs points de vigilance devront être pris en considération par les services des ressources humaines.

D’abord, le RGPD a accordé de nouveaux droits aux agents publics : accéder à leurs données, en obtenir une copie, les rectifier, s’opposer à leur utilisation et le droit à l’oubli. Pour ce faire, les collectivités doivent disposer d’un registre précis des fichiers détenus par les services de la collectivité, les informations qu’ils détiennent sur leurs agents, leur usage, leur localisation exacte et les personnes qui peuvent y accéder. Pour ce faire, un audit précis est nécessaire au sein des différents services. Ce recensement est indispensable pour permettre aux services des ressources humaines qui devront répondre clairement et précisément dans les délais contraints par la nouvelle réglementation de la RGPD, aux questions que les agents peuvent se poser sur leurs données personnelles. Par exemple, s’agissant des dossiers individuels des agents, dans la plupart des collectivités, ils sont conservés dans des armoires fermées à clé ou dans des dossiers informatiques, ce qui permet de garantir leur confidentialité. Toutefois, l’utilisation des données figurant dans ce dossier est souvent beaucoup moins encadrée. La question de la conservation de certains documents se pose, et notamment les arrêts de travail pendant toute la carrière de l’agent. Cette conservation pourrait être en contradiction avec le droit à l’oubli dont disposent désormais les agents publics.

De plus, les supports sur lesquels sont stockées les données personnelles des agents doivent être sécurisés. Par exemple, les informations relatives aux comptes-rendus des entretiens professionnels qui sont conservées durant toute la carrière de l’agent sont souvent stockées sur plusieurs formats (papier et numérique). De même, une procédure doit être mise en place s’agissant des personnes pouvant avoir accès à ces évaluations. En effet, les membres des commissions administratives paritaires où les supérieurs hiérarchiques dans le cadre de mutation interne sont souvent amenés à y avoir accès sans restriction.

Le mode d’identification des agents au sein des collectivités est, aussi, à revoir. Par exemple, dans de nombreuses collectivités, des matricules sont attribués à chaque agent, qui figurent sur leur fiche de paye et permettent au service des ressources humaines de les identifier et avoir accès à un certain nombre de données. Or, si la gestion des fichiers de paies est externalisée, se pose la question de la qualification et du contrôle du prestataire afin de s’assurer de son respect de la réglementation. De même, s’agissant de CVthèques, se pose la question du devenir des CV des candidats qui devront être informés de leur sort, soit directement dans l’annonce, soit lorsqu’ils déposent leur CV sur la plateforme dédiée.

Enfin, une vigilance accrue devra être portée sur les systèmes d’information des ressources humaines des collectivités, avec notamment le contrôle d’accès aux locaux, le badgeage, la gestion des horaires des agents… Autant d’outils informatiques qui permettent à ces services d’obtenir des données personnelles sur les agents dont la confidentialité doit être assurée et le traitement de ces informations nécessite dès lors la plus grande transparence de la part de ces services.

En conclusion, un audit complet des procédures de traitement des données personnelles des agents semble s’imposer au service des ressources humaines et notamment de recensement afin de permettre à ces derniers de se mettre en conformité avec le RGPD mais également de garantir l’exercice des nouveaux droits dont les agents publics disposent aujourd’hui, la responsabilité de la collectivité pouvant éventuellement être engagée si ces derniers n’étaient pas respectés. Une action en responsabilité est envisageable si un préjudice moral peut être démontré par l’agent et plus largement la collectivité s’expose d’autres sanctions telles que définies dans le RGPD.