le 19/09/2018

Protection des données personnelles et mutualisation intercommunale

Les intercommunalités sont susceptibles d’être intéressées par les nouvelles règles instaurées par le RGPD à deux égards :

  1. Le RGPD implique la désignation obligatoire d’un délégué à la protection des données (DPD) et ce depuis le 25 mai 2018 (article 37 du RGPD) ; dès lors, les structures intercommunales sont nombreuses à se questionner sur les dispositifs qui peuvent être mis en place pour la mutualisation du DPD (I) ;
  2. Les structures intercommunales et leurs adhérents sont directement concernée par la question du traitement des données lorsque, en raison d’un transfert de compétence ou d’une réorganisation des services communaux/intercommunaux, les informations sur les agents sont rassemblées et échangées (II).
  • Sur la problématique de la mutualisation des DPD

Différentes possibilités s’offrent aux communes et aux intercommunalités pour procéder à la désignation de leur DPD  : soit en interne, par exemple, en attribuant cette mission à un agent déjà en poste ou en transformant le poste de correspondant informatique et libertés (CIL) en DPD, soit en ayant en recours à l’externalisation (avec un prestataire de services privé par exemple), soit en optant pour une mutualisation/coopération entre communes et EPCI. C’est cette dernière option qui nous intéresse ici.

On indiquera d’ailleurs que l’article 37 du RGPD précité dans son 3° rend possible une mutualisation du DPD : 

« 3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille »

Si les structures locales optent pour une mutualisation du DPD, plusieurs outils juridiques de mutualisation peuvent être envisagés.

D’abord, il pourrait être envisagé d’opérer une mise à disposition individuelle de l’agent d’une collectivité au profit d’une autre, sur la base de l’article 61 de la loi n° 84-53 du 26 janvier 1984.

Dans ce cadre, la mise à disposition individuelle d’un agent implique nécessairement l’accord de ce dernier, celui de la collectivité d’accueil, ainsi que la consultation de la commission administrative paritaire compétente. La mise à disposition est ensuite prononcée par arrêté de l’autorité territoriale investie du pouvoir de nomination. L’article 61.1.II de la loi n° 84.-53 susvisée impose également que la mise à disposition donne lieu à remboursement (portant sur les modalités de remboursement de la rémunération du fonctionnaire mis à disposition notamment). Les modalités de remboursement devant être définies dans une convention de mise à disposition.

Il pourrait ensuite être envisagé de mettre en place un service unique pour plusieurs collectivités, qui comprendrait le ou les agents concernés par le traitement des données et qui serait appelé à intervenir pour les collectivités membres du service unique.

S’agissant des communes membres d’un EPCI à fiscalité propre et de cet EPCI à fiscalité propre, l’article L. 5211-4-2 du CGCT prévoit la possibilité de mettre en place un service commun pour les services non rattachés à une compétence. Une convention prévoit les modalités de ce service commun (article L. 5211-4-2 du CGCT). La mutualisation permise par la mise en place d’un service commun concerne ainsi les services chargés de l’exercice de missions fonctionnelles ou opérationnelles.

Un service unifié peut aussi être créé (article L. 5111-1-1 du CGCT). Celui-ci a pour objet d’assurer l’exercice en commun d’une compétence reconnue par la loi ou transférée. La mise en place de ce dispositif s’effectue par la voie d’une convention qui peut prévoir :

  • soit la mise à disposition du service et des équipements d’un des cocontractants à la convention au profit d’un autre de ces cocontractants ;
  • soit le regroupement des services et équipements existants de chaque cocontractant à la convention au sein d’un service unifié relevant d’un seul de ces cocontractants.

Dans les deux cas, la convention doit fixer les conditions de remboursement. Le personnel du service mis à disposition ou du service unifié est placé sous l’autorité fonctionnelle de l’autorité administrative pour laquelle il exerce sa mission.

Ces possibilités légales ont dû être considérées comme insuffisantes. Il est vrai qu’elles ne permettent pas une mutualisation entre toutes les catégories de collectivités et c’est vraisemblablement pour ce motif que l’article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles prévoit que : « Sans préjudice du dernier alinéa de l’article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel ».

On le voit, le service unifié ici proposé recouvre des hypothèses de mutualisation très larges puisqu’il englobe l’ensemble des collectivités territoriales et de leurs groupements.

En outre, il est également possible d’envisager, non pas une mutualisation en tant que telle du DPD, mais plutôt une mutualisation des moyens destinés à choisir le DPD ; il s’agira par exemple de mettre en place un groupement de commandes destiné à désigner un DPD externe cette-fois ci.

On attirera néanmoins l’attention sur les problématiques qui peuvent être rencontrées dans le cadre de la mise en place d’un DPD mutualisé : questions de conflit d’intérêts éventuel, risque de remise en cause de son indépendance par exemple.

  • Problématiques du respect du RGPD en cas de mutualisation des agents

Hormis les problématiques qui peuvent se rencontrer en matière de mutualisation du DPD, il n’est pas à exclure que d’autres questions se posent en matière de protection des données personnelles des agents mutualisés.

En effet, en cas de transfert de compétences à l’intercommunalité, les textes prévoient que les agents qui exercent l’intégralité de leurs missions sur le service ou la partie de service transféré sont transférés. Pour les agents qui exercent seulement une partie de leurs missions sur le service ou la partie de service, ils sont simplement mis à disposition.

Dans ces différentes hypothèses, il est fréquent que les données à caractère personnel relatives aux agents concernés soient traitées par les services intercommunaux, voire par des consultants extérieurs compétents en matière de RH. En effet, des fiches comprenant un certain nombre d’informations à caractère personnel sont souvent établies et doivent être renseignées par les communes, pour pouvoir mener un état des lieux de l’organisation de la collectivité et identifier les agents appelés à être transférés ou susceptibles d’intégrer à un service commun.

Il convient alors d’être vigilant quant au traitement des données réalisé et s’assurer du respect des règles du RGPD.