le 19/09/2018

Protection des données personnelles et réseaux d’initiative publique

  • En quoi les acteurs des réseaux d’initiative publique peuvent-ils être concernés par le RGPD ?

Le RGPD ne réserve pas de sort particulier à la question des services de communications électroniques, ainsi que son article 95 le précise en les termes suivants : « le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications […] » .

Pour ce qui est donc des obligations spécifiques aux services de communications électroniques, il conviendra donc de faire une application combinée des dispositions applicables en matière de données personnelles ainsi qu’aux dispositions applicables au droit des communications électroniques (en particulier l’article L.34-adu COde des postes et des communications électroniques sur la collecte et la conservation des données de connexion pour les besoins de la recherches, de la constatation et de la poursuite des infractions pénales et les exigences de la loi HADOPI).

Les acteurs du monde des réseaux d’initiative publique (collectivités, groupements de collectivités, opérateurs délégataires de service public ou prestataires) pourront être amenés à traiter des données personnelles à plusieurs titres.

Il en va ainsi, s’agissant des réseaux FttH, lors du traitement des fichiers comportant les Informations Préalables Enrichies (fichiers IPE), des informations récoltées lors des prises de rendez-vous pour les opérations de raccordement final ou de pré-raccordement

Les collectivités territoriales et leurs groupements le seront a fortiori lorsqu’elles exploiteront les réseaux en régie (on peut en particulier au développement des réseaux WIFI publics)

Et à l’heure où les porteurs de projets de communications électroniques s’interrogent sur les usages qu’ils pourront en faire (e-administration, vidéoprotection, service de téléphonie mobiles), la question du traitement des données personnelles se pose avec plus d’acuité encore.

Enfin, bien sûr, les porteurs de projets pourront être amenés à traiter des données personnelles dans leur fonctionnement quotidien (au titre du traitement des données relatives à leurs agents, notamment).

  • Quelles précautions doivent être prises par les personnes publiques ?

Avant toute chose, selon ses missions (déploiement d’un réseau d’infrastructure, fourniture d’un service direct à des usagers finals dans le cadre d’un réseau ouvert, gestion d’un réseau indépendant dans le cadre d’un groupe fermé d’utilisateurs, développement d’usages…) et selon les outils juridiques qu’il utilise pour exercer ces missions (régie directe, convention de délégation de service public, marché public …), il appartiendra au porteur de projet de déterminer s’il intervient :

–    Comme responsable de traitement, c’est-à-dire, celui qui, collectant des données personnelles, doit déterminer « les finalités et les moyens du traitement » ;

–    Comme sous-traitant au sens du RGPD, c’est à dire la personne qui traite des données personnelles pour le compte du responsable de traitement ;

–    Comme simple destinataire de ces données.

Et quelle que soit sa fonction, il devra s’assurer, dans le cadre des contrats qu’il conclura ou dans le cadre d’avenants à ces contrats, que le partage des responsabilités entre ses cocontractants et lui sont parfaitement définies.

Enfin, chaque porteur de projet public devra désigner un Délégué à la Protection des Données personnelles (DPD ou DPO pour « Data Protection Officer) ».