Désignation d’une nouvelle autorité compétente de l’Etat en matière d’évaluation des incidences de projets publics et privés sur l’environnement

Cette décision du Conseil d’Etat, publiée au recueil, revient sur la question de l’autorité compétente de l’Etat en matière d’évaluation des incidences de certains projets publics et privés sur l’environnement.

L’obligation d’une évaluation environnementale des projets susceptibles d’avoir des incidences notables est énoncée par l’article L. 122-1 du Code de l’environnement :

« II.- Les projets qui, par leur nature, leur dimension ou leur localisation, sont susceptibles d’avoir des incidences notables sur l’environnement ou la santé humaine font l’objet d’une évaluation environnementale en fonction de critères et de seuils définis par voie réglementaire et, pour certains d’entre eux, après un examen au cas par cas effectué par l’autorité environnementale».

Un décret du 28 avril 2016 portant réforme de l’autorité environnementale a maintenu, au IV de l’article R. 122-6 du Code de l’environnement, la désignation du Préfet de Région en qualité d’autorité compétente de l’Etat en matière d’environnement.

Ce décret a été annulé par le Conseil d’Etat statuant au contentieux par une décision en date du 6 décembre 2017 (n° 400559), ce dernier estimant que le décret avait été pris en méconnaissance des objectifs énoncés au paragraphe 1 de l’article 6 de la directive 2011/92/UE du 13 décembre 2011 concernant l’évaluation des incidences de certains projets publics et privés sur l’environnement.

Faisant suite à cette décision, le Conseil d’Etat relève, dans le cas présent, un vice de procédure résultant de ce que l’avis prévu par l’article L. 122-1 du Code de l’environnement a été rendu par le Préfet de Région en qualité d’autorité environnementale, dans un cas où il était par ailleurs compétent pour autoriser le projet, ainsi que le prévoyait, à la date de la décision attaquée, l’article R. 122-6 du même code.

La Haute juridiction précise alors qu’un tel vice de procédure pourra être régularisé par la consultation d’une autorité présentant les garanties d’impartialité requises, ce qui lui donne l’occasion de préciser la nature d’une telle autorité.

En particulier, elle indique que lorsque de nouvelles dispositions réglementaires auront remplacé les dispositions annulées de l’article R. 122-6 du Code de l’environnement le juge pourra s’y référer. De telles dispositions n’ont toutefois pas encore été adoptées à ce jour.

A défaut, le juge précise que l’avis pourra être rendu par la Mission régionale de l’autorité environnementale du Conseil général de l’environnement et du développement durable, créée par le décret du 28 avril 2016. Cette mission est en effet une entité administrative de l’Etat séparée de l’autorité compétente pour autoriser un projet, dont il est jugé par le Conseil d’Etat qu’elle dispose d’une autonomie réelle la mettant en mesure de donner un avis objectif sur les projets qui lui sont soumis dans le cadre de sa mission d’autorité environnementale.

Rapport du Gouvernement au Parlement sur la maîtrise des eaux pluviales et de ruissellement aux fins de prévention des inondations

L’article 7 de la loi n° 2017-1838 du 30 décembre 2017 relative à l’exercice des compétences des collectivités territoriales dans le domaine de la gestion des milieux aquatiques et prévention des inondations, dite loi Fesneau, prévoit la remise par le Gouvernement au Parlement dans les deux mois suivant l’entrée en vigueur de la loi d’un rapport sur la maitrise des eaux pluviales et de ruissellement aux fins de prévention des inondations.

Ce rapport, publié en avril 2018, évoque, en première partie :

  • les enjeux multiples de la maîtrise des eaux pluviales et de ruissellement aux fins de prévention des inondations : prévention des inondations, notamment sur les zones à enjeux ; prévention des pollutions des milieux aquatiques ; préservation de la ressource en eau, notamment en milieu urbain du fait de l’artificialisation et de l’imperméabilisation des sols ; érosion des sols, en particulier dans les régions agricoles ; adaptation au changement climatique ;
  • les compétences ayant un lien étroit avec la gestion des eaux pluviales et du ruissellement, et dont l’articulation reste complexe : la compétence assainissement, composée du service public d’assainissement (L. 2224-8 du CGCT) et du service public de gestion des eaux pluviales urbaines (article L. 2226-1 du CGCT) ; la compétence GEMAPI, confiée de manière obligatoire aux EPCI à fiscalité propre depuis le 1er janvier 2018 ; le 4 du I de l’article L. 211-7 du code de l’environnement relatif à la maîtrise des eaux pluviales et de ruissellement ;
  • les différents outils financiers dont disposent les collectivités en propres dans le cadre de leurs compétences (taxe GEMAPI, taxe d’aménagement, budget annexe assainissement, budget principal), et via les subventions qu’elles peuvent par ailleurs mobiliser (financements de l’État et de ses établissements publics, des départements et des régions). Ces moyens ne sont pas exclusifs.

En seconde partie, le rapport envisage la clarification de la gouvernance dans la maîtrise des eaux pluviales et de ruissellement. A cette fin, il s’appuie sur le rapport du Conseil Général de l’Environnement et du Développement Durable (CGEDD) « Gestion des eaux pluviales : dix ans pour relever le défi » (rapport n° 010159-01), annexé au rapport du Gouvernement.  S’il est précisé que le rapport du CGEDD n’engage pas le gouvernement, il alimente la réflexion en matière de gouvernance et d’organisation de la gestion des eaux pluviales, avec notamment deux volets de propositions :

  • la modernisation de l’exercice de la police des eaux, en introduisant, par des expérimentations locales, des autorisations globales de rejets délivrées par l’État à certaines collectivités, afin de recentrer l’action de l’État sur l’obtention de résultats globaux de réduction des flux de pollutions ;
  • une meilleure définition et articulation des politiques en matière d’eaux pluviales et de ruissellement, pour parvenir à une mise en cohérence de la mission de maîtrise des eaux pluviales et de ruissellement avec les compétences assainissement et GEMAPI (4 scenarii sont proposés). On relèvera que cette clarification et en partie intervenue par le biais de la loi n° 2018-702 du 3 août 2018 relative à la mise en œuvre du transfert des compétences eau et assainissement aux communautés de communes, qui intègre l’assainissement des eaux pluviales et des eaux de ruissellement des zones urbaines au sens de l’article L. 2226-1 du CGCT à la compétence « assainissement » exercée par les CC, CA, CU et métropoles.

Le rapport du Gouvernement préconise enfin de concilier clarification juridique de la répartition des compétences et souplesse dans leur mise en œuvre, une approche intégrée des eaux pluviales devant être adoptée pour répondre aux enjeux actuels. Une liste de huit recommandations techniques est ainsi mentionnée, mettant l’accent en particulier sur l’intégration de la problématique eaux pluviales dans l’aménagement urbain (limitation de l’imperméabilisation des sols avec des revêtements poreux ou des parkings non revêtus, ou encore la végétalisation des toitures pour favoriser l’évaporation des eaux par exemple).

Avis partagé de l’ADEME sur les compteurs « Linky »

Par un avis publié le 28 septembre 2018, l’Agence de l’Environnement et de la Maîtrise de l’Energie (ci-après l’« ADEME ») a décidé de s’emparer du sujet du nouveau compteur d’électricité pour l’électricité (les compteurs « Linky ») en recensant ses bénéfices comme ses limites à l’égard de l’ensemble des acteurs de la distribution d’électricité (consommateurs, gestionnaires de réseau et collectivités publiques).

Dans un souci de pédagogie, l’ADEME a tout d’abord présenté le contexte et le fonctionnement des nouveaux compteurs d’électricité en cours de déploiement avant de faire état des nouvelles fonctionnalités du compteur via son écran et son espace en ligne.

Ces derniers permettraient notamment de consulter l’historique des consommations par mois, semaine et jour, de disposer d’une alerte sur un seuil de consommation défini, de comparer sa consommation à l’échelle locale avec des foyers équivalents, de vérifier la puissance souscrite et de télécharger des données de consommation.

Ces fonctionnalités devraient, selon l’ADEME, procurer de « réels bénéfices » aux consommateurs : montée des économies d’énergie et des compétences des ménages à l’égard de la maîtrise de l’énergie, ainsi que de bénéficier de tarifs plus variés.

A cela, l’ADEME ne manque pas de souligner les bénéfices attendus par le gestionnaire du réseau d’électricité (obtention de données agrégées, optimisation de la gestion du réseau et meilleure intégration des énergies renouvelables au sein du réseau, émissions de CO2 évités).

Malgré cet optimisme à l’égard des avantages à tirer du nouveau compteur et de ses fonctionnalités, l’ADEME pointe également plusieurs limites :

  • outre l’espace en ligne, si l’écran du compteur permet de visualiser directement la puissance instantanée en temps réel, le compteur serait une fois sur deux en dehors du logement et donc difficile d’accès pour l’usager ;
  • l’afficheur dit « déporté » qui, quant à lui, permet de visualiser en temps réel le niveau d’appel de puissance à l’intérieur du logement en se connectant au compteur, n’est pas mis à disposition des usagers par le gestionnaire de réseau ;
  • en tout état de cause, l’information donnée par le compteur est peu lisible pour l’usager qui se désintéresserait assez rapidement des fonctionnalités du compteur.

Par ailleurs, l’ADEME fait également remarquer que la communication de l’index de consommation n’est en réalité pas suffisante, selon elle, pour inciter au changement dans les habitudes de consommation d’électricité des ménages.

Face à ce constat, l’ADEME invite les gestionnaires de réseaux, Etat et collectivités territoriales à améliorer les dispositifs d’information et d’accompagnement dans un triple objectif d’améliorer la compréhension et l’évaluation de la consommation, de faire davantage d’économies d’énergies et de permettre aux usagers de bénéficier d’un conseil plus personnalisé.

Suspension partielle d’un arrêté municipal sur les compteurs communicants « Linky »

Par une ordonnance du 10 septembre 2018, le Tribunal administratif de Toulouse a suspendu partiellement l’arrêté du maire de la commune de Blagnac du 16 mai 2018 relatifs aux conditions d’implantation des compteurs « Linky » sur le territoire de la commune.

Le 8 août dernier, le Préfet de la Haute-Garonne avait introduit un déféré-suspension contre l’arrêté du maire devant le président du Tribunal administratif de Toulouse en application des articles L. 554-1 du Code de justice administrative et L. 2131-6 du Code général des collectivités territoriales.

Un tel déféré peut conduire le Juge à suspendre l’acte attaqué en cas de doute sérieux quant à sa légalité.

En l’espèce, le Préfet soutenait trois moyens tendant à démontrer un tel doute sérieux :

  • l’incompétence du maire pour prendre l’arrêté litigieux puisque la commune de Blagnac a transféré sa compétence en matière de distribution de l’électricité au syndicat intercommunal d’électricité de Haute-Garonne  ;
  • l’illégalité de l’arrêté litigieux, faute de base légale, ne pouvant se fonder, ni sur un risque de trouble à l’ordre public, ni sur la propriété de la commune sur les compteurs ;
  • au surplus, le Préfet reprochait à l’arrêté de contenir des dispositions inutiles dans la mesure où elles ne font que reprendre l’état du droit.

Dans l’ordonnance commentée, le Tribunal administratif de Bordeaux fait partiellement droit à la demande du Préfet de la Haute-Garonne en estimant que le moyen tiré de l’incompétence crée un doute sérieux quant à la légalité d’une partie de l’article 1er et de l’intégralité de l’article 2 de l’arrêté.

En revanche, le Tribunal rejette les autres moyens du Préfet et juge que « (…) ne constituent qu’un simple rappel du droit existant » les dispositions suivantes de l’article 1er de l’arrêté attaqué :

« L’opérateur chargé de la pose des compteurs Linky doit garantir aux usagers la liberté d’exercer leur choix individuel et sans pression pour : – refuser ou accepter l’accès à leur logement ou propriété ; – refuser ou accepter que les données collectées par le compteur soient transmises à des tiers partenaires commerciaux de l’opérateur ».

Par conséquent, le Tribunal administratif de Bordeaux a ordonné par l’ordonnance commentée la suspension des articles 1er et 2 de l’arrêté du maire de Blagnac à l’exception des dispositions susvisées de l’article 1er dudit arrêté.

Il résulte donc de l’ordonnance commentée que l’accord des usagers, tant pour l’accès à leur logement lors de la pose d’un compteur « Linky » que pour la transmission des données collectées par ce compteur, constitue une garantie légale à leur profit, qu’un maire est en droit de rappeler dans un arrêté municipal, sans que ce dernier ne présente un doute sérieux sur sa légalité.

Précisions du Ministre de la transition écologique et solidaire sur le renouvellement des concessions hydroélectriques

Interrogé par un Sénateur sur la situation des concessions hydroélectriques arrivées à échéance mais n’ayant pas fait l’objet de procédures de renouvellement, le Ministre de la transition écologique et solidaire a apporté quelques précisions sur ces questions.

On rappellera en effet que de nombreuses concessions hydroélectriques ont été conclues au cours de la première moitié du XXème siècle pour de très longues durées, mais qu’au cours de l’exécution de ces conventions le cadre juridique a connu de profondes évolutions dont il résulte notamment que les concessions hydroélectriques doivent désormais être conclues après une procédure de publicité et de mise en concurrence.

Or, actuellement de nombreuses concessions hydroélectriques anciennes sont parvenues à expiration sans qu’une procédure de renouvellement n’ait encore été engagée. Ces concessions sont donc, sur la base d’une interprétation contestable de dispositions textuelles codifiées au sein du Code de l’Energie, prorogées sans qu’un terme à cette prorogation n’ait été fixé, l’Etat s’abstenant d’initier les procédures de mise en concurrence nécessaires et, souvent, sans qu’aucun nouvel investissement ne soit mis à la charge des concessionnaires.

Dans ce contexte, le Parlementaire auteur de la question alerte le Ministre :

  • d’une part, sur la situation des concessions hydroélectriques sur le territoire desquelles il conviendrait de mettre en œuvre les dispositions de l’article L. 521-16-3 du Code de l’énergie, en prolongeant les conventions en contrepartie d’investissements nouveaux (en particulier s’agissant des concessions de la Vallée du Lot et de la Truyère),
  • et d’autre part, sur la privation pour les collectivités et les groupements de collectivités de redevances proportionnelles au chiffre d’affaires prévues à l’article L. 523-2 du Code de l’énergie qui résulte de cette absence de renouvellement.

En effet, les concessions arrivées à leur terme mais implicitement prolongées dans l’attente de l’organisation d’une procédure de publicité et de mise en concurrence, ne permettent pas aux collectivités et groupements de collectivités sur le territoire desquels les cours d’eau sont situés de percevoir les redevances proportionnelles au chiffre d’affaires dues par les concessionnaires, en application de l’article L. 523-2 du Code de l’énergie.

A cet égard, le Ministre de la transition écologique et solidaire commence par indiquer qu’il « soutient la réalisation de nouveaux investissements de développement de l’hydroélectricité dans la chaîne Lot-Truyère, qui constitue un ensemble hydroélectrique d’intérêt national, afin d’optimiser encore l’exploitation de cette ressource. Ces investissements pourraient être réalisés dans le cadre d’une prolongation des concessions existantes, qui devrait s’inscrire dans le respect du droit français et européen applicable aux contrats de concession. »

Le Ministre émet néanmoins des doutes quant à la légalité d’une telle prolongation : « Cette prolongation fait actuellement l’objet d’échanges avec la Commission européenne, dans le contexte de la procédure ouverte par la mise en demeure adressée en octobre 2015 à la France et suite au dossier transmis par le précédent Gouvernement sur le sujet. Il n’est en effet pas certain qu’une telle prolongation soit conforme au droit ».

Si l’illégalité d’une telle prolongation était avérée, dans ce cas précis comme dans d’autres, elle confirmerait l’impérieuse nécessité d’organiser une procédure de publicité et de mise en concurrence en vue de procéder au renouvellement du contrat.

S’agissant de la privation des redevances proportionnelles induite par l’absence de renouvellement des contrats expirés, le Ministre indique que « le Gouvernement étudie la mise en place d’une redevance supplémentaire sur les concessions arrivées à leur terme n’ayant pas encore été renouvelées (concessions dites « en délais glissants ») ».

Reste à savoir si cette éventuelle redevance supplémentaire compensera véritablement la perte financière subie par les collectivités et leurs groupements résultant de la privation des redevances proportionnelles.

Le régime juridique applicable aux colonnes montantes d’électricité en passe d’être clarifié par la future loi ELAN ?

Dans sa version déposée par la Commission Mixte Paritaire (CMP) le 19 septembre 2018, le projet de loi portant évolution du logement, de l’aménagement et du numérique (ELAN) comporte une disposition clarifiant la question du statut juridique des colonnes montantes électriques, qui génère depuis plusieurs années un contentieux de plus en plus fourni et des interrogations (voir sur cette question notamment notre Lettre d’Actualité Energie et environnement de février 2018) .

Ainsi, l’actuel article 55 Bis AA, dont la rédaction est issue d’un amendement gouvernemental déposé lors de la discussion initiale devant le Sénat (n° 778, déposé le 12 juillet 2018), dispose :

« I. – Le titre IV du livre III du code de l’énergie est complété par un chapitre VI ainsi rédigé :

« CHAPITRE VI

« Colonnes montantes électriques

« Art. L. 346-1. – La colonne montante électrique désigne l’ensemble des ouvrages électriques situés en aval du coupe-circuit principal nécessaires au raccordement au réseau public de distribution d’électricité des différents consommateurs ou producteurs situés au sein d’un même immeuble ou de bâtiments séparés construits sur une même parcelle cadastrale, à l’exception des dispositifs de comptage.

« Art. L. 346-2. – Les colonnes montantes électriques mises en service avant la publication de la loi n°       du       portant évolution du logement, de l’aménagement et du numérique appartiennent au réseau public de distribution d’électricité.

« Le premier alinéa entre en vigueur à l’issue d’un délai de deux ans à compter de la promulgation de la loi n°  du       précitée. Dans ce même délai, les propriétaires ou copropriétaires des immeubles dans lesquels sont situés ces ouvrages peuvent :

« 1° Notifier au gestionnaire de réseau l’acceptation du transfert définitif au réseau public de distribution d’électricité desdits ouvrages, qui prend alors effet à compter de la notification. Le transfert est effectué à titre gratuit, sans contrepartie pour le gestionnaire de réseau. Le gestionnaire de réseau ne peut s’opposer au transfert ni exiger une contrepartie financière ;

« 2° Revendiquer la propriété de ces ouvrages, sauf si le gestionnaire de réseau ou l’autorité concédante apporte la preuve que lesdits ouvrages appartiennent déjà au réseau public de distribution d’électricité.

« Art. L. 346-3. – Les colonnes montantes électriques mises en service à compter de la publication de la loi n°       du       portant évolution du logement, de l’aménagement et du numérique appartiennent au réseau public de distribution d’électricité.

« Art. L. 346-4. – Lorsque les propriétaires ou copropriétaires des immeubles dans lesquels sont situés ces ouvrages en ont obtenu la propriété en application du dernier alinéa de l’article L. 346-2, les colonnes montantes électriques peuvent être transférées, à la demande des mêmes propriétaires ou copropriétaires, au réseau public de distribution d’électricité sous réserve de leur bon état de fonctionnement. Elles sont transférées à titre gratuit, sans contrepartie pour le gestionnaire de réseau. Le gestionnaire de réseau ne peut s’opposer au transfert des ouvrages en bon état de fonctionnement ni exiger une contrepartie financière. Il détermine, le cas échéant, les travaux électriques à réaliser pour assurer le bon état de fonctionnement desdits ouvrages.

« Le premier alinéa du présent article entre en vigueur à l’issue d’un délai de deux ans à compter de la promulgation de la loi n°       du       portant évolution du logement, de l’aménagement et du numérique.

« Art. L. 346-5. – Les ouvrages mentionnés aux articles L. 344-1 et L. 345-2 ne sont pas soumis aux dispositions du présent chapitre. »

II . – Nonobstant les éventuelles clauses contraires des contrats de concession, les entreprises concessionnaires de la distribution publique d’électricité ne sont tenues, au cours et à l’issue des contrats conclus avec l’autorité concédante, à aucune obligation financière liée aux provisions pour renouvellement des colonnes montantes électriques transférées au réseau public de distribution d’électricité au titre du chapitre VI du titre IV du livre III du code de l’énergie »

Pour l’essentiel, le texte :

  • Pose le principe selon lequel les colonnes montantes mises en service à compter de la publication de la future loi sont incorporées au réseau public de distribution d’électricité, ce qui implique qu’elles appartiennent aux Autorités Organisatrices de la Distribution d’Electricité (AODE) et sont gérées et entretenues par les concessionnaires de la distribution publique d’électricité ;
  • S’agissant des colonnes montantes électriques mises en service avant la publication de la loi, le principe posé est également celui de leur appartenance au réseau public de distribution et ce, à l’expiration d’un délai de deux ans commençant à courir à compter de la promulgation de la future loi. Cette incorporation intervenant sans condition de remise en état préalable et sans aucun flux financier.

Dans ce délai de deux ans, les propriétaires ou copropriétaires d’immeubles ont la possibilité :

  • Soit de notifier au gestionnaire du réseau leur « acceptation du transfert définitif au réseau public de distribution d’électricité desdits ouvrages », toujours sans aucune condition, l’incorporation au réseau intervenant alors de manière anticipée, sans attendre l’expiration du délai de deux ans ;
  • Soit de se manifester pour revendiquer la propriété de ces ouvrages.

Ce texte, qui ne devrait plus désormais être modifié jusqu’à son adoption définitive, clarifie donc la situation des colonnes montantes électriques, de manière cohérente avec la jurisprudence la plus récente.

Projet de loi ELAN : les mesures à portée environnementale

Le 19 septembre dernier, le projet de loi portant évolution du logement, de l’aménagement et du numérique (ELAN) a été adopté par la commission mixte paritaire joignant les représentants des deux assemblées parlementaires. Déposé le 4 avril 2018 devant l’Assemblée Nationale, le texte a fait l’objet de nombreux débats au cours de ces derniers mois.

Abordant de nombreux sujets très divers : politiques d’aménagement de l’espace, d’urbanisme, d’accès au logement et, notamment, du logement social, de développement des économies d’énergie ou encore de simplification du déploiement des réseaux de communication électronique, le projet de loi a été maintes fois remanié par l’Assemblée Nationale et le Sénat pour aboutir à un consensus pourtant encore soumis à quelques interrogations et critiques.

Parmi ces interrogations se pose ainsi, notamment, la question de l’impact environnemental de cette loi. En effet, plusieurs dispositions du projet de loi ont une portée environnementale. Ainsi, par exemple, de nouvelles dispositions applicables à l’évaluation environnementale imposent à l’autorité qui décide de soumettre un projet à ce type d’évaluation de préciser les objectifs spécifiques poursuivis par la réalisation de l’évaluation environnementale du projet (article 5 du projet de loi).

Par ailleurs, parmi les dispositions ayant une portée environnementale et qui méritent d’être examinées de plus près, on peut noter en particulier celles qui visent à favoriser l’urbanisation (I), celles qui vise à améliorer la qualité de l’air (II) et encore les dispositions relatives à la revitalisation du centre-ville par qui passe par l’implantation d’activité commerciales notamment (III).

I/ Les mesures favorisant les politiques d’urbanisation

En premier lieu, il convient de relever que le projet de loi modifie les dispositions du Code de l’urbanisme afin de favoriser l’urbanisation de certaines zones.

1/ Sur ce point, on notera en effet, d’abord que peuvent désormais déroger au principe selon lequel, en l’absence de plan local d’urbanisme, de tout document d’urbanisme en tenant lieu ou de carte communale, les constructions ne peuvent être autorisées que dans les parties urbanisées de la commune, « les constructions et installations nécessaires à la transformation, au conditionnement et à la commercialisation des produits agricoles, lorsque ces activités constituent le prolongement de l’acte de production et dès lors qu’elles ne sont pas incompatibles avec l’exercice d’une activité agricole, pastorale ou forestière sur le terrain sur lequel elles sont implantées » (art. 12 quater B du projet de loi modifiant l’article L. 11-4 C. urba). Pour pouvoir être réalisées en dehors des parties urbanisées, ces constructions doivent toutefois présenter des garanties quant à leur compatibilité avec la sauvegarde des espaces naturels et des paysages et ne peuvent en outre, être réalisées dans les zones naturelles (même article).

2/ De plus, l’article 12 quinquies du projet de loi, dont les dispositions sont encore soumises à critique, modifie les dispositions à l’article L. 121-8 Code de l’urbanisme.  D’une part, il supprime la notion de « hameaux nouveaux intégrés à l’environnement », qui ne fait pas l’objet d’une définition juridique précise et y substitue la notion de « secteurs déjà urbanisés ». D’autre part, il intègre de nouvelles dispositions à ce même article visant à permettre, dans ces secteurs, de nouvelles constructions et installations. Ces possibilités sont toutefois limitées aux constructions et installations aux fins exclusives d’amélioration de l’offre de logement ou d’hébergement et d’implantation de services publics, lorsque celles-ci n’ont pas pour effet d’étendre le périmètre bâti existant ni de modifier de manière significative les caractéristiques de ce bâti. Les constructions doivent en outre se situer en dehors de la limite des 100 mètres (l’article L. 121-26 Code de l’urbanisme prévoit l’interdiction de construire sur une bande littorale de cent mètres à compter de la limite haute du rivage ou des plus hautes eaux pour les plans d’eau intérieurs d’une superficie supérieure à 1 000 hectares), des espaces proches du rivage et des rives des plans d’eau. Elles ne doivent, par ailleurs, pas porter atteinte à l’environnement et aux paysages.

Ces nouvelles dispositions reviennent sur les mesures issues de la loi n° 86-2 du 3 janvier 1986 relative à l’aménagement, la protection et la mise en valeur du littoral (dite loi Littoral) qui avaient autorise la réalisation de nouvelles constructions dans la continuité des zones déjà urbanisées seulement et évitaient ainsi une densification de la côte. Si elles sont critiquées au regard du risque qu’elles créent de « bétonisation » de la côte, ces nouvelles mesures répondent aux problématiques liées à la constitution de « dents creuses ». Le projet de loi prévoit alors qu’il appartiendra au SCOT de « déterminer les critères d’identification des villages, agglomérations et autres secteurs déjà urbanisés prévus à l’article L. 121-8, et en définit la localisation ». Le recours aux procédures simplifiées de révision du SCOT et du PLU est encore prévu pour favoriser la mise en œuvre de ces nouvelles mesures.

Plus encore, on notera que l’article 12 sexies permet, par dérogation à l’article L. 121-8 du Code de l’urbanisme, c’est à titre à l’obligation de continuité de l’urbanisation, « les constructions ou installations nécessaires aux activités agricoles ou forestières ou aux cultures marines » après l’accord de l’autorité administrative compétente de l’État et l’avis de la commission départementale de la nature, des paysages et des sites et de la commission départementale de la préservation des espaces naturels, agricoles et forestiers. Les constructions nécessaires aux activités marines ne sont, par ailleurs, pas soumises à l’interdiction d’être édifiées en dehors des espaces proches du rivage.

3/ On notera encore, parmi les mesures relatives à l’urbanisation, que le projet de loi renforce la protection des espaces remarquables limitant le type d’aménagement légers qui peuvent être envisagés dans ces zones à une liste qui doit encore être adoptée par décret (article 12 nonies).

Enfin, les dispositions favorisant l’implantation d’éoliennes sur les petites îles ont été également adoptées. L’article L. 121-5 du Code de l’urbanisme devrait en effet être modifié pour intégrer les dispositions suivantes : « Dans les zones non interconnectées au réseau électrique métropolitain continental dont la largeur est inférieure à dix kilomètres au maximum, les ouvrages nécessaires à la production d’électricité à partir d’énergies renouvelables peuvent être autorisés par dérogation aux dispositions du présent chapitre, après accord du représentant de l’État dans la région ».

 II/ Les mesures portant sur la performance énergétique et la qualité de l’air

Au-delà des dispositions visant à favoriser la performance énergétique des bâtiments, notamment par l’intégration de cet objectif dans la politique d’aide au logement (article 20 bis du projet de loi) ou encore les mesures relatives au chauffage individuel et celles développant les diagnostics immobiliers (notamment par la création d’un observatoire dédié), le projet de loi tend également à favoriser la qualité de l’air.

A cette fin, il consacre au niveau législatif l’Observatoire de la qualité de l’air intérieur créé en juillet 2001 dans le cadre du Plan national santé environnement (PNSE).

De plus, l’article 21 bis E prévoit que « dans le cadre d’un plan de protection de l’atmosphère, le représentant de l’État dans le département peut interdire l’utilisation des appareils de chauffage contribuant fortement aux émissions de polluants atmosphériques ».

III/ La revitalisation des centres villes

L’article 54 du projet de loi prévoit de compléter l’article 303-1 du Code de la construction et de l’habitation (CCH) pour y intégrer l’objectif de revitalisation du territoire.

Cet objectif est défini comme « la mise en œuvre d’un projet global de territoire destiné à adapter et moderniser le parc de logements et de locaux commerciaux et artisanaux ainsi que le tissu urbain de ce territoire pour améliorer son attractivité, lutter contre la vacance des logements et des locaux commerciaux et artisanaux ainsi que contre l’habitat indigne, réhabiliter l’immobilier de loisir, valoriser le patrimoine bâti et réhabiliter les friches urbaines, dans une perspective de mixité sociale, d’innovation et de développement durable ».

Ces opérations donnent lieu à une convention entre l’État, ses établissements publics intéressés, un établissement public de coopération intercommunale à fiscalité propre et tout ou partie de ses communes membres, ainsi que toute personne publique ou tout acteur privé susceptible d’apporter un soutien ou de prendre part à la réalisation des opérations prévues par la convention.

Dans le cadre de ce projet de revitalisation qui s’inscrit dans une « action globale afin de lutter contre la dévitalisation des centres-villes et des centres-bourgs de nombreuses communes » (Rapport n° 630 (2017-2018) de Mme Dominique ESTROSI SASSONE, fait au nom de la commission des affaires économiques, déposé le 4 juillet 2018), on notera particulièrement la volonté du législateur de favoriser la réhabilitation des friches urbaines.

Encore peut-on noter que le projet de loi rend plus contraignantes les procédures de démantèlement et de remise en état des sites sur lesquels une exploitation commerciale a cessé (article 54 bis D). S’agissant de l’implantation des exploitations commerciales dans une zone de revitalisation de territoire comprenant un centre-ville identifié par la convention de revitalisation, évoquée ci-avant, elle n’est pas soumise à autorisation. La convention conclue dans le cadre du projet de revitalisation peut toutefois soumettre à autorisation d’exploitation commerciale « les projets mentionnés aux 1° à 6° de l’article L. 752-1 du présent code dont la surface de vente dépasse un seuil qu’elle fixe et qui ne peut être inférieur à 5 000 mètres carrés ou, pour les magasins à prédominance alimentaire, à 2 500 mètres carrés ».

En revanche, on relèvera que les dispositions visant à permettre aux restaurateurs d’implanter des pré-enseignes publicitaires en dehors des agglomérations, adoptées par le Sénat au mois de juillet, a disparu de la dernière version du texte.

Clémence Du Rostu, Directrice du secteur environnement

Protection des données personnelles et baux d’habitation

Le règlement européen sur la protection des données (RGPD) entré en application le 25 mai 2018 a renforcé la protection des données personnelles des personnes physiques ainsi que les obligations des bailleurs sociaux, déjà sensibilisés à cette problématique, le traitement des données personnelles étant inhérent à leur activité.

En effet, la vocation du logement social est de pourvoir un logement aux personnes bénéficiant de faibles ressources.

Ainsi, avant même la naissance du lien contractuel matérialisé par le bail, le bailleur a accès aux données personnelles des locataires, indispensables au processus d’attribution des logements.

Une fois le lien contractuel établi, le locataire doit justifier de certains éléments d’ordre personnel afin de prouver qu’il respecte ses obligations et ainsi conserver son droit au maintien dans les lieux.

A titre d’exemple, le locataire doit indiquer la composition de son foyer, notamment dans le cadre de l’obligation d’occupation qui lui est faite à l’article L. 621-2 du Code de la construction et de l’habitation.

Également, le locataire doit informer le bailleur sur sa situation patrimoniale dans le cadre de l’enquête ressource annuelle pour l’application d’un éventuel supplément de loyer de solidarité (article L. 441-9 du Code de la construction et de l’habitation), et ce d’autant que la loi dite égalité et citoyenneté n° 2017-86 du 27 janvier 2017 a renforcé l’obligation du locataire de répondre à cette enquête, dont le non-respect est sanctionné sous certaines conditions par la perte du droit au maintien dans les lieux (article L. 442-3-4 du Code de la construction et de l’habitation).

En outre, les systèmes de vidéosurveillance dont est parfois équipé un parc locatif social sont également l’occasion pour le bailleur d’avoir accès à des données personnelles de ses locataires.

Ainsi, nombreuses et importantes sont les données personnelles du locataire dont le bailleur est en possession tout au long de la vie du bail.

Avec l’entrée en vigueur du RGPD, il conviendra pour les bailleurs de redoubler de vigilance quant à la collecte, le traitement et la conservation des données ci-dessus, et mettre en place des mesures afin de garantir leur confidentialité et leur sécurité.

Pratiquement, les bailleurs sociaux doivent désormais tenir un registre des activités de traitement des données à caractère personnel et désigner un délégué à la protection des données (DPD), compte tenu soit de leur nature de personne publique, soit, à tout le moins, de la circonstance qu’ils gèrent des données à grande échelle ainsi que certaines données sensibles.

Les bailleurs doivent également s’assurer de la licéité du traitement des données personnelles de leurs locataires, qui doit reposer sur l’un des fondements énumérés par le RGPD (consentement du locataire, exécution du contrat de bail, obligation légale, mission de service public, etc.) ainsi que de la finalité du traitement des données, la nécessité du traitement des données pour l’exécution du bail, l’exactitude et l’actualisation des données recueillies, et la limitation dans le temps de la conservation des données, etc.

De son côté, le renforcement des droits des locataires doit se traduire par un contrôle accru des données qu’ils partagent : droit d’accès, droit de modification, droit d’opposition dans certains cas, droit de suppression.

Protection des données personnelles et commande publique

La réforme du droit des données personnelles a pour effet de contraindre l’ensemble des collectivités locales à mettre en place des mesures techniques et organisationnelles permettant de garantir l’effectivité de l’ensemble des droits garantis par les articles 12 à 22 du RGPD mais aussi à tenir un registre des activités de traitement effectuées sous leur responsabilité (article 30 du RGPD).

En effet, étant amenés à procéder à des traitements de données à caractère personnel, les collectivités territoriales et leurs établissements publics sont qualifiés de responsable de traitement, lequel est défini par l’article 4 du RGPD comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Dans ce contexte, les acheteurs publics doivent s’assurer, notamment, que l’exécution de leurs marchés publics et de leurs contrats de concession respecte l’ensemble des règles prévues par le RGPD et la loi CNIL.

Précisons que les obligations en matière de protection des données personnelles et donc les clauses visant à assurer leur respect dans le cadre de ces contrats dépendront des missions confiées au co-contractant et donc de la qualification de celui-ci – qualification qui ne peut être effectuée qu’à partir d’un faisceau d’indices – de responsable du traitement, de coresponsable du traitement, de sous-traitant ou, enfin, de destinataire tiers, au sens du RGPD.

Le cas d’un co-contractant ayant la qualité de coresponsable du traitement

Le coresponsable du traitement correspond, au sens du RGPD, au cas où « deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord ».

Il y a donc coresponsabilité en cas d’interdépendance de moyens ou de décision sur le traitement, soit lorsqu’une des entités ne peut décider seule des finalités et caractéristiques du traitement ou et/ou a besoin des moyens de l’autre pour le mettre en œuvre.

Dans cette hypothèse, une contractualisation spécifique pourrait être envisagée via une clause ou un contrat distinct sur la répartition des rôles et des responsabilités à l’égard du traitement, sauf par exemple à ce qu’une telle répartition soit issue d’un texte réglementaire.

Le cas d’un co-contractant ayant la qualité de sous-traitant au sens du RGPD

Le statut de sous-traitant au sens du RGPD et de la loi CNIL ne correspond pas à la notion de sous-traitant donnée par la loi n° 75-1334 du 31 décembre 1975.

En effet, alors que la sous-traitance est, aux termes de l’article 1 de la loi du 31 décembre 1975, une opération par laquelle un entrepreneur confie l’exécution de tout ou partie du contrat d’entreprises dont il est titulaire à un tiers dénommé sous-traitant, l’article 4 du RGPD qualifie quant à lui de sous-traitant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».

Un co-contractant peut être identifié comme sous-traitant lorsque sont réunis les éléments suivants :

  • instructions écrites émanant de l’acheteur public dans le contrat ou hors contrat au cours de l’exécution de la prestation relative aux mesures de sécurité ou aux modalités d’un traitement ;
  • absence d’autonomie du co-contractant dans la définition des finalités et des moyens du traitement ;
  • contrôle effectué par l’acheteur public sur les opérations de traitement.

C’est essentiellement dans ce cas que les acheteurs et les autorités concédantes devront faire preuve d’une attention particulière dans la rédaction des clauses relatives, d’une part, aux obligations en matière de protection des données à caractère personnel incombant à chaque partie et, d’autre part, aux sanctions applicables en cas de manquement à ces obligations (pénalités et/ou résiliation du contrat pour faute du titulaire).

Pour ce faire, les acheteurs et autorités concédantes pourront s’adjoindre l’expertise d’un avocat, d’autant que si la CNIL a édité un guide du sous-traitant à l’automne 2017, celui-ci ne saurait suffire, à lui seul, à régir la pluralité des relations contractuelles pouvant être initiées par un acheteur ou une autorité concédante.

Enfin, précisons que les acheteurs et les autorités concédantes doivent veiller à modifier, par le biais d’avenants, leurs marchés publics et leurs contrats de concessions en cours d’exécution – y compris, le cas échéant, les règlements des services publics –, afin d’assurer leur mise en conformité avec le nouveau régime de protection des données à caractère personnel.

Relevons d’ailleurs que les acheteurs sont contractuellement tenus de le faire pour leurs marchés faisant référence aux cahiers des clauses administratives générales (ci-après, « CCAG ») applicables aux marchés de travaux (ci-après, « CCAG-Travaux »), aux marchés de prestations intellectuelles (ci-après, « CCAG-PI »), aux marchés de fournitures courantes et de services (ci-après, « CCAG-FCS ») et aux marchés publics industriels (ci-après, « CCAG-MI »), ces CCAG stipulant tous en leur article 5.2.2 qu’en « cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché ».

Par ailleurs, s’agissant de la passation de leurs marchés publics et de leurs contrats de concession faisant intervenir un traitement de données à caractère personnel, les acheteurs et les autorités concédantes pourront bien évidemment définir et utiliser des critères de sélection des offres qui permettent de prendre en compte la manière dont les soumissionnaires proposent d’assurer la conformité du contrat aux dispositions du RGPD et de la loi CNIL.

Pour ce faire, les acheteurs publics pourront légitimement recourir au sourcing, autorisé par l’article 4 du décret n° 2016-360 du 25 mars 2016, afin de mieux définir les conditions de passation et donc les critères de sélection des offres ainsi que les conditions d’exécution des contrats de la commande publique portant sur des prestations de traitement de données à caractère personnels ou faisant intervenir, dans le cadre de leur exécution, un tel traitement.

En conclusion, la réforme de la protection des données à caractère personnel, basée sur une responsabilisation de l’ensemble des acteurs, conduit nécessairement les acheteurs publics et les autorités concédantes à prévoir, dans tous leurs contrats faisant intervenir un traitement de données à caractère personnel, des conditions de passation et surtout d’exécution qui permettent d’assurer une conformité aux dispositions du RGPD et de la loi CNIL.

Le cas d’un co-contractant ayant la qualité de tiers au sens du RGPD

Un tiers est défini par le RGPD comme « une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ».

A notre sens, le statut de tiers peut concerner les co-contractants qui sont seulement conduits à recevoir un fichier de données à caractère personnel, de façon très accessoire à la mission pour laquelle ils ont contractualisé avec l’acheteur public ou l’autorité concédante. Ce statut peut être régulièrement formalisé par une inscription du co-contractant, en qualité de destinataire du traitement, au registre de l’acheteur ou de l’autorité concédante.

Dans une telle situation, il pourra être utile de prévoir une clause stipulant de manière assez générique que le co-contractant doit assurer la confidentialité et la sécurité des données à caractère personnel qui lui sont communiquées et qu’il ne peut les utiliser pour une finalité autre que l’exécution du contrat.

Protection des données personnelles et mutualisation intercommunale

Les intercommunalités sont susceptibles d’être intéressées par les nouvelles règles instaurées par le RGPD à deux égards :

  1. Le RGPD implique la désignation obligatoire d’un délégué à la protection des données (DPD) et ce depuis le 25 mai 2018 (article 37 du RGPD) ; dès lors, les structures intercommunales sont nombreuses à se questionner sur les dispositifs qui peuvent être mis en place pour la mutualisation du DPD (I) ;
  2. Les structures intercommunales et leurs adhérents sont directement concernée par la question du traitement des données lorsque, en raison d’un transfert de compétence ou d’une réorganisation des services communaux/intercommunaux, les informations sur les agents sont rassemblées et échangées (II).
  • Sur la problématique de la mutualisation des DPD

Différentes possibilités s’offrent aux communes et aux intercommunalités pour procéder à la désignation de leur DPD  : soit en interne, par exemple, en attribuant cette mission à un agent déjà en poste ou en transformant le poste de correspondant informatique et libertés (CIL) en DPD, soit en ayant en recours à l’externalisation (avec un prestataire de services privé par exemple), soit en optant pour une mutualisation/coopération entre communes et EPCI. C’est cette dernière option qui nous intéresse ici.

On indiquera d’ailleurs que l’article 37 du RGPD précité dans son 3° rend possible une mutualisation du DPD : 

« 3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille »

Si les structures locales optent pour une mutualisation du DPD, plusieurs outils juridiques de mutualisation peuvent être envisagés.

D’abord, il pourrait être envisagé d’opérer une mise à disposition individuelle de l’agent d’une collectivité au profit d’une autre, sur la base de l’article 61 de la loi n° 84-53 du 26 janvier 1984.

Dans ce cadre, la mise à disposition individuelle d’un agent implique nécessairement l’accord de ce dernier, celui de la collectivité d’accueil, ainsi que la consultation de la commission administrative paritaire compétente. La mise à disposition est ensuite prononcée par arrêté de l’autorité territoriale investie du pouvoir de nomination. L’article 61.1.II de la loi n° 84.-53 susvisée impose également que la mise à disposition donne lieu à remboursement (portant sur les modalités de remboursement de la rémunération du fonctionnaire mis à disposition notamment). Les modalités de remboursement devant être définies dans une convention de mise à disposition.

Il pourrait ensuite être envisagé de mettre en place un service unique pour plusieurs collectivités, qui comprendrait le ou les agents concernés par le traitement des données et qui serait appelé à intervenir pour les collectivités membres du service unique.

S’agissant des communes membres d’un EPCI à fiscalité propre et de cet EPCI à fiscalité propre, l’article L. 5211-4-2 du CGCT prévoit la possibilité de mettre en place un service commun pour les services non rattachés à une compétence. Une convention prévoit les modalités de ce service commun (article L. 5211-4-2 du CGCT). La mutualisation permise par la mise en place d’un service commun concerne ainsi les services chargés de l’exercice de missions fonctionnelles ou opérationnelles.

Un service unifié peut aussi être créé (article L. 5111-1-1 du CGCT). Celui-ci a pour objet d’assurer l’exercice en commun d’une compétence reconnue par la loi ou transférée. La mise en place de ce dispositif s’effectue par la voie d’une convention qui peut prévoir :

  • soit la mise à disposition du service et des équipements d’un des cocontractants à la convention au profit d’un autre de ces cocontractants ;
  • soit le regroupement des services et équipements existants de chaque cocontractant à la convention au sein d’un service unifié relevant d’un seul de ces cocontractants.

Dans les deux cas, la convention doit fixer les conditions de remboursement. Le personnel du service mis à disposition ou du service unifié est placé sous l’autorité fonctionnelle de l’autorité administrative pour laquelle il exerce sa mission.

Ces possibilités légales ont dû être considérées comme insuffisantes. Il est vrai qu’elles ne permettent pas une mutualisation entre toutes les catégories de collectivités et c’est vraisemblablement pour ce motif que l’article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles prévoit que : « Sans préjudice du dernier alinéa de l’article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel ».

On le voit, le service unifié ici proposé recouvre des hypothèses de mutualisation très larges puisqu’il englobe l’ensemble des collectivités territoriales et de leurs groupements.

En outre, il est également possible d’envisager, non pas une mutualisation en tant que telle du DPD, mais plutôt une mutualisation des moyens destinés à choisir le DPD ; il s’agira par exemple de mettre en place un groupement de commandes destiné à désigner un DPD externe cette-fois ci.

On attirera néanmoins l’attention sur les problématiques qui peuvent être rencontrées dans le cadre de la mise en place d’un DPD mutualisé : questions de conflit d’intérêts éventuel, risque de remise en cause de son indépendance par exemple.

  • Problématiques du respect du RGPD en cas de mutualisation des agents

Hormis les problématiques qui peuvent se rencontrer en matière de mutualisation du DPD, il n’est pas à exclure que d’autres questions se posent en matière de protection des données personnelles des agents mutualisés.

En effet, en cas de transfert de compétences à l’intercommunalité, les textes prévoient que les agents qui exercent l’intégralité de leurs missions sur le service ou la partie de service transféré sont transférés. Pour les agents qui exercent seulement une partie de leurs missions sur le service ou la partie de service, ils sont simplement mis à disposition.

Dans ces différentes hypothèses, il est fréquent que les données à caractère personnel relatives aux agents concernés soient traitées par les services intercommunaux, voire par des consultants extérieurs compétents en matière de RH. En effet, des fiches comprenant un certain nombre d’informations à caractère personnel sont souvent établies et doivent être renseignées par les communes, pour pouvoir mener un état des lieux de l’organisation de la collectivité et identifier les agents appelés à être transférés ou susceptibles d’intégrer à un service commun.

Il convient alors d’être vigilant quant au traitement des données réalisé et s’assurer du respect des règles du RGPD.

Protection des données personnelles et fonction publique territoriale

En principe, les Collectivités territoriales ont déjà, dans le cadre de la loi « informatique et libertés », mis en place des procédures internes de traitement des données personnelles de leurs agents. Toutefois, l’entrée en vigueur du RGPD et la nouvelle logique de responsabilisation et d’information constituent l’occasion d’évaluer les procédures déjà en vigueur et de les adapter aux nouvelles normes. La tâche n’est pas si aisée qu’elle semble paraître et plusieurs points de vigilance devront être pris en considération par les services des ressources humaines.

D’abord, le RGPD a accordé de nouveaux droits aux agents publics : accéder à leurs données, en obtenir une copie, les rectifier, s’opposer à leur utilisation et le droit à l’oubli. Pour ce faire, les collectivités doivent disposer d’un registre précis des fichiers détenus par les services de la collectivité, les informations qu’ils détiennent sur leurs agents, leur usage, leur localisation exacte et les personnes qui peuvent y accéder. Pour ce faire, un audit précis est nécessaire au sein des différents services. Ce recensement est indispensable pour permettre aux services des ressources humaines qui devront répondre clairement et précisément dans les délais contraints par la nouvelle réglementation de la RGPD, aux questions que les agents peuvent se poser sur leurs données personnelles. Par exemple, s’agissant des dossiers individuels des agents, dans la plupart des collectivités, ils sont conservés dans des armoires fermées à clé ou dans des dossiers informatiques, ce qui permet de garantir leur confidentialité. Toutefois, l’utilisation des données figurant dans ce dossier est souvent beaucoup moins encadrée. La question de la conservation de certains documents se pose, et notamment les arrêts de travail pendant toute la carrière de l’agent. Cette conservation pourrait être en contradiction avec le droit à l’oubli dont disposent désormais les agents publics.

De plus, les supports sur lesquels sont stockées les données personnelles des agents doivent être sécurisés. Par exemple, les informations relatives aux comptes-rendus des entretiens professionnels qui sont conservées durant toute la carrière de l’agent sont souvent stockées sur plusieurs formats (papier et numérique). De même, une procédure doit être mise en place s’agissant des personnes pouvant avoir accès à ces évaluations. En effet, les membres des commissions administratives paritaires où les supérieurs hiérarchiques dans le cadre de mutation interne sont souvent amenés à y avoir accès sans restriction.

Le mode d’identification des agents au sein des collectivités est, aussi, à revoir. Par exemple, dans de nombreuses collectivités, des matricules sont attribués à chaque agent, qui figurent sur leur fiche de paye et permettent au service des ressources humaines de les identifier et avoir accès à un certain nombre de données. Or, si la gestion des fichiers de paies est externalisée, se pose la question de la qualification et du contrôle du prestataire afin de s’assurer de son respect de la réglementation. De même, s’agissant de CVthèques, se pose la question du devenir des CV des candidats qui devront être informés de leur sort, soit directement dans l’annonce, soit lorsqu’ils déposent leur CV sur la plateforme dédiée.

Enfin, une vigilance accrue devra être portée sur les systèmes d’information des ressources humaines des collectivités, avec notamment le contrôle d’accès aux locaux, le badgeage, la gestion des horaires des agents… Autant d’outils informatiques qui permettent à ces services d’obtenir des données personnelles sur les agents dont la confidentialité doit être assurée et le traitement de ces informations nécessite dès lors la plus grande transparence de la part de ces services.

En conclusion, un audit complet des procédures de traitement des données personnelles des agents semble s’imposer au service des ressources humaines et notamment de recensement afin de permettre à ces derniers de se mettre en conformité avec le RGPD mais également de garantir l’exercice des nouveaux droits dont les agents publics disposent aujourd’hui, la responsabilité de la collectivité pouvant éventuellement être engagée si ces derniers n’étaient pas respectés. Une action en responsabilité est envisageable si un préjudice moral peut être démontré par l’agent et plus largement la collectivité s’expose d’autres sanctions telles que définies dans le RGPD.

Protection des données personnelles et urbanisme (l’exemple des téléservices)

1 – Déposer une demande d’autorisation d’urbanisme, c’est avant tout, transmettre à la Mairie ou l’EPCI compétent, un ensemble de données personnelles, lui permettant d’instruire cette demande et de vérifier la conformité du projet envisagé aux dispositions légales et réglementaires.

Aussi, à compter du 1er janvier 2022, la transmission de ces pièces et informations s’effectuera par voie électronique, conformément aux dispositions des articles L.112-8 et suivants du Code des relations entre le public et l’administration.

Cette évolution devrait être accueillie favorablement dans une matière aussi technique que l’urbanisme.

En effet, afin de faciliter la compréhension par les services instructeurs de projets souvent complexes, les outils informatiques présentent de nombreux avantages : confort de lecture des pièces en permettant de zoomer/dézoomer, de faire apparaître ou non certains éléments d’architecture, d’en faciliter le classement et la transmission aux services devant être consultés pour avis, etc.

Ce faisant, et au-delà de la seule fluidification des échanges, privilégier le numérique permettra en réalité à l’administration de faire son aggiornamento, de se mettre en phase avec les techniciens (architectes, urbanistes, bureaux d’étude, etc.) utilisant en grande majorité les outils numériques dans la définition de leurs projets.

2 – Cependant, cette nouvelle étape de modernisation administrative devra répondre à deux impératifs : d’une part, la mise en place des outils informatiques permettant aux services compétents d’exploiter les données transmises, et d’autre part, la mise en place des mesures nécessaires pour sécuriser ces données.

S’agissant de ce premier impératif, un nouveau décret devrait être prochainement adopté afin de modifier le délai prévu au décret n° 2016-1491 du 4 novembre 2016 relatif aux exceptions à l’application du droit des usagers de saisir l’administration par voie électronique concernant les démarches effectuées auprès des collectivités territoriales, de leurs établissements publics ou des établissements publics de coopération intercommunale. Conformément aux demandes de l’Association des Maires de France (AMF) et de l’Assemblée des communautés de France (ADCF), l’entrée en vigueur de la saisine par voie électronique des demandes d’autorisation d’urbanisme n’entrera en vigueur qu’à compter du 1er janvier 2022, au lieu du 8 novembre 2018.

Ce faisant, la dématérialisation des demandes d’autorisation d’urbanisme entraînera une plus grande volatilité des données afférentes.

3 – Pour cette raison, et afin de répondre au second impératif, les personnes publiques devront mettre en place les mesures de collecte et de protection des données exigées en matière de téléservice, étant précisé qu’en application du RGPD, leur vigilance sur ce point devra être renforcée.

A ce titre, et aux termes de l’article 3 de l’arrêté du 4 juillet 2013[1] , les catégories de données à caractère personnel susceptibles d’être enregistrées pour la gestion de l’accès aux téléservices (en fonction du niveau d’identification requis par lesdits téléservices) sont les suivantes :

  • l’identifiant de connexion choisi par l’usager ;
  • le mot de passe choisi par l’usager ;
  • le numéro de téléphone portable de l’usager, s’il choisit ce mode d’accès ;
  • les informations contenues dans la « carte de vie quotidienne » de l’usager ;
  • le certificat électronique de l’usager, s’il choisit ce mode d’accès ;
  • le cas échéant, les clés de fédération ou « alias » générés par le système permettant à l’usager d’établir des liens avec ses différents comptes.

Ce même article précise, par ailleurs, que dans le cadre de l’accomplissement des démarches administratives, ne pourront être collectées que les informations et données à caractère personnel strictement nécessaires à l’accomplissement des démarches administratives en cause (exemple : pièces exigibles pour le dépôt d’une demande de permis de construire).

Dans ce contexte, et conformément au principe de transparence de l’article 5 du règlement européen[2], la mise en place de ce téléservice nécessitera d’indiquer clairement les conditions générales d’utilisation (CGU) de cette plateforme.

Précisément, les CGU indiqueront notamment aux usagers : le périmètre du guichet, les droits et obligations de la collectivité et de l’usager, son mode d’accès, la disponibilité et le fonctionnement du téléservice, les spécificités techniques (types de formats, taille (volume) des pièces admises à transiter par le téléservice, etc.), les règles de traitement, de conservation et de sauvegarde des données personnelles, etc.

En conclusion, afin de se préparer à cette dématérialisation des demandes d’autorisation d’urbanisme, les collectivités devront être particulièrement vigilantes à ce type d’obligations, particulièrement dans le contexte du RGPD.

[1] Arrêté du 4 juillet 2013 autorisant la mise en œuvre par les collectivités territoriales, les établissements publics de coopération intercommunale, les syndicats mixtes, les établissements publics locaux qui leur sont rattachés ainsi que les groupements d’intérêt public et les sociétés publiques locales dont ils sont membres de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d’un ou de plusieurs téléservices de l’administration électronique.

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Protection des données personnelles et action sociale/médico-sociale

De nouvelles obligations ont été créées par le RGPD (et la loi CNIL 3) concernant le recueil et le traitement des données personnelles, ce qui bouleverse en profondeur le secteur de l’action sociale et médico-sociale.

En effet, toute structure sociale ou médico-sociale, même composée seulement de quelques salariés, lorsqu’elle collecte et traite des données à caractère personnel, se voit appliquer cette nouvelle règlementation. Cela peut aussi bien être dans le cadre de ses relations avec son personnel, les tiers ou ses fournisseurs. Concrètement, l’établissement et le service social ou médico-social (ESSMS) qui enregistre dans ses fichiers les coordonnées ou les données de santé de ses usagers ou de ses salariés, ou encore échange des informations avec un prestataire ou un partenaire, y est soumis. En cas de non-respect, des sanctions administratives et financières importantes sont prévues.

Afin de prévenir ces risques, quelques points de vigilance doivent être cernés dans l’application de cette nouvelle règlementation relative au traitement des données à caractère personnel. En effet, les acteurs du secteur social et médico-social sont particulièrement visés au vu des données qu’ils sont amenés à collecter et traiter.

  • La collecte de données sensibles : une protection spécifique

En vertu de l’article 9 du RGPD, les données sensibles sont celles faisant apparaître, directement ou indirectement, les origines raciales ou éthiques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou étant relatives à la santé ou l’orientation sexuelle de celles-ci.

Les ESSMS sont amenés à collecter des données sensibles dans le cadre de leurs activités. Le RGPD permet le traitement des données sensibles, de manière dérogatoire, par certains organismes, notamment lorsque le traitement est nécessaire pour la prise en charge sanitaire et sociale ou effectué par une association ou un organisme à but non lucratif.

En tout état de cause, le responsable de traitement doit respecter un principe de transparence dans les informations qu’il communique aux personnes concernées. L’ESSMS doit ainsi être attentif afin de mettre en place des mentions d’informations spécifiques à destination de ses usagers.

Les structures de soins sont notamment amenées à faire preuve d’une vigilance accrue lorsqu’elles traitent des données de santé concernant leurs usagers ou leur personnel, données dont le champ a été élargi par le règlement à « l’état de santé de la personne » et qui sont enfin définies par le RGPD à son article 4.

  • La gestion des risques : l’obligatoire réalisation d’« études d’impact » ou de Privacy Impact Assessment (PIA)

Ce nouvel outil est obligatoire pour le traitement de données personnelles pouvant générer un risque élevé pour les droits et libertés des personnes, notamment si les données sont sensibles, à caractère hautement personnel ou encore concernent des personnes vulnérables (enfants, patients, employés, personnes âgées notamment).

Ainsi, les ESSMS ont de fortes chances d’être concernés par l’obligation d’effectuer des études d’impact sur la vie privée. Concernant la démarche méthodologique de ces études, la CNIL a mis en place un outil, le logiciel PIA, afin d’accompagner les acteurs dans leur démarche.

  • La nomination d’un délégué à la protection des données (DPD)

Dans la mesure où les ESSMS effectuent des missions de service public, la réponse à la question de savoir si ces structures doivent nommer un DPD n’est pas toujours évidente (sauf s’il s’agit d’un établissement public, auquel cas l’obligation ne fait pas de doute).

Si l’article 37 du RGPD ne prévoit pas littéralement d’obligation, contrairement aux autorités publiques ou organismes publics traitant des données, il semblerait qu’au vu des lignes directrices du G29 (accessibles sur le site de la CNIL), il soit cependant recommandé que les organismes privés chargés d’effectuer des missions de service public désignent un DPD.

En effet, dans ce cadre, les particuliers n’ont également pas le choix quant au traitement des données les concernant ou aux modalités de ce traitement et peuvent donc requérir la protection supplémentaire que peut apporter la désignation d’un DPD. En outre, les ESSMS publics étant soumis à cette obligation, il parait logique que les ESSMS privés, qui exécutent les mêmes prestations, s’y soumettent également.

En tout état de cause, lorsque la structure sociale manipulera des données sensibles, elle sera soumise à l’obligation de désigner un DPD en vertu du même article 37 (article 37, 1. c du RGPD).

 

Protection des données personnelles et logement social

Depuis de nombreuses années, la sensibilisation des organismes aux enjeux liés à la protection des données personnelles a fortement mobilisé les fédérations professionnelles et notamment l’Union Sociale pour l’Habitat. Cette dernière a notamment engagé un dialogue constructif avec la CNIL et les organismes bailleurs, donnant lieu à la publication d’un Pack de conformité « Logement Social » en avril 2014[1]. Cette mobilisation s’est poursuivie à l’occasion du RGPD.

La conformité est en effet aujourd’hui un élément essentiel de la bonne gouvernance d’un organisme de logement social. A ce sujet, Jean-Louis DUMONT, Président de l’USH précise « Le mouvement professionnel a une responsabilité vis-à-vis des locataires qui confient en toute confiance leurs données »[2]. De nombreux guides ont donc été élaborés et permettent aux organismes d’engager leurs démarches de mises en conformité.[3]

Dans les métiers de la gestion locative et de l’accompagnement social des locataires, mais également dans les métiers de l’accession sociale ainsi que, bien entendu, dans le fonctionnement quotidien des organismes dont notamment la gestion des ressources humaines, les bailleurs sociaux opèrent de nombreux traitements de données à caractère personnel.

Ces données présentent bien souvent un caractère sensible, ce qui peut paraitre évident lorsque l’on pense à l’enquête d’occupation du parc social (OPS) menée par tous les bailleurs ou tout simplement à la constitution des dossiers d’attributions, ce qui est plus difficile dans certains cas à conceptualiser pour le recueil des consommations énergétiques des logements ou l’organisation des opérations de réhabilitation.

Ainsi, dans bien des cas, le bailleur social et encore plus souvent ses prestataires, tel Monsieur Jourdain, découvrent-ils encore qu’ils procèdent à un traitement de données personnelles sans le savoir…

L’entrée en vigueur du RGPD constitue un enjeu fort pour les directions générales et nécessite, comme toute démarche de conformité, leur forte implication. En effet, les modifications de la loi applicable et notamment la disparition des formalités au profit d’une démarche de responsabilité (dénommée « accountability ») mais également la nécessité d’introduire les mesures de protection des données dès la conception du traitement (dénommée « privacy by design ») doivent amener les organismes à repenser leurs organisations. Le « RGPD » ne doit pas impliquer que les DSI, les contrôleurs internes ou les juristes, c’est une démarche d’organisation qui permettra aux organismes de poursuivre leurs démarches de transformation numérique dans le respect des droits de leurs locataires et salariés.

En conclusion, on rappellera, outre le risque d’image encouru, que le RGPD prévoit un net renforcement des sanctions pécuniaires pouvant être mises à la charge de l’organisme en cas d’absence de conformité et que la CNIL vient d’indiquer que les grandes thématiques de ses contrôles en 2018[4] seraient les traitements liés au recrutement ainsi que les pièces demandées aux demandeurs de logement.

[1] Cahier USH Repères n°1, octobre 2014 : Traitement des données à caractère personnel, mise en œuvre du pack conformité logement social de la CNIL

[2] Cahier USH n°41, Repères, octobre 2017 : Règlement européen relatif à la protection des données : impacts pour les organismes d’HLM

[3] Guide pratique d’accompagnement pour la protection des données personnelles à l’usage des coopératives HLM, juin 2018, Coops HLM ; Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, avril 2018, CNIL.

[4] https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle-strategie-de-controle-pour-2018

Protection des données personnelles et énergie

L’émergence des réseaux de distribution d‘énergie intelligents et le déploiement d’une nouvelle génération de compteurs communicants a obligé le secteur de l’énergie et, en particulier, celui de la distribution d’électricité, à se doter d’un cadre juridique spécifique relatif aux données personnelles. Ce cadre a été renforcé à la suite de l‘entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (RGPD). On s’intéressera au cas des données de comptage électriques pour illustrer la problématique.

  • Réseaux intelligents et données personnelles

La question de l’utilisation et de la protection des données est aujourd’hui un enjeu majeur en raison de l’augmentation exponentielle de ces données et de leur accessibilité à une multitude d’acteurs (fournisseurs, gestionnaires des réseaux, autorités organisatrices de la distribution d’énergie, bailleurs sociaux notamment).

Cette multiplication des données trouve son origine dans le développement des réseaux dits « intelligents » qui accompagne la transition énergétique[1] et dont les compteurs communicants sont la première brique. L’enjeu est de taille puisque déjà 7 millions de compteurs communicants (Linky), ont été installés et environ 35 millions de compteurs doivent être installés d’ici 2021.

Ces compteurs ont vocation in fine à inciter les utilisateurs des réseaux à limiter leur consommation pendant les périodes de consommation de pointe en mettant à leur disposition leurs données de comptage et à permettre aux fournisseurs de proposer à leurs clients des prix adaptés à leur consommation[2].

Ces compteurs permettent de déduire des informations sur la vie privée des consommateurs, tels que le nombre de personnes dans le foyer, les heures de lever et de coucher ou encore les périodes d’absences. De ce fait, plusieurs règles ont été posées pour préserver la confidentialité des données personnelles de consommation d’électricité. C’est la raison pour laquelle la CNIL avait indiqué que le déploiement de ces compteurs communicants « n’est pas sans risque sur la vie privée tant au regard du nombre et niveau de détail des données qu’ils permettent de collecter », le principal risque provenant de l’enregistrement de la courbe de charge.

  • La protection des données de consommation d’électricité : la courbe de charge

En 2012, la CNIL a émis des recommandations concernant le traitement des données personnelles de consommations d’énergie collectées par les compteurs communicants[3]. Puis, en 2017, deux décrets ont finalisé les modalités de mise à disposition des données personnelles de consommation à des fournisseurs ou à des tiers[4].

Les règles posées portent principalement sur le stockage et la transmission de la courbe de charge.

La courbe de charge d’électricité d’un usager est l’historique de sa consommation mesurée à une fréquence de temps donnée (le pas de temps peut être ou plus moins fin : 10 minutes, 30 minutes – par défaut – ou une heure)[5]. Cette courbe de charge permet d’établir un graphique permettant de constater aisément les périodes de fortes consommations. La courbe de charge, lorsqu’elle est enregistrée sur une période suffisamment longue (un an par exemple), sert en particulier à réaliser le bilan énergétique d’un logement ou à procéder à des simulations afin de comparer des offres tarifaires.

Le stockage de la courbe de charge dans le compteur lui-même est autorisé sans qu’il soit nécessaire de recueillir le consentement exprès de l’usager (les données sont relevées toutes les heures). L’usager peut toutefois faire jouer son droit d’opposition au stockage, à tout moment, c’est-à-dire en désactivant ce stockage et/ou en supprimant ces données.

Le consentement exprès de l’usager n’est requis que pour la remontée de la courbe de charge dans le système d’information du gestionnaire du réseau de distribution et pour sa transmission à des tiers (fournisseurs d’énergie par exemple) à des fins commerciales.

Lorsque l’usager donne son consentement au gestionnaire du réseau de distribution pour enregistrer sa courbe de charge, celui-ci enregistre par défaut les données de consommation journalières (consommation globale du foyer sur une journée – index quotidien) pour permettre à l’usager de consulter gratuitement l’historique de ses consommations. 

Ainsi, les éléments fins de consommation permettant de reconstituer la courbe de charge du consommateur ne sont transmis par le compteur au système central d’Enedis que si l’usager en fait explicitement la demande dès lors que chaque utilisateur des réseaux publics d’électricité a la libre disposition des données relatives à sa production ou à sa consommation, enregistrées par les dispositifs de comptage[6].

Actuellement, la fonctionnalité permettant au compteur Linky d’enregistrer la courbe de charge n’est pas opérationnelle. La Cour des comptes a ainsi relevé dans son récent rapport annuel que « si l’usager n’a pas demandé au préalable la transmission des informations de la courbe de charge au système central d’Enedis, il ne pourra pas disposer, avant un an, des informations nécessaires à un audit énergétique ou une comparaison des offres des fournisseurs. Il faut de plus noter que, lorsque la fonctionnalité d’enregistrement sera disponible, la mémoire des compteurs ne permettra d’enregistrer la consommation au pas horaire que sur une durée de quatre ou cinq mois et qu’Enedis n’a pas pris les dispositions pour augmenter cette capacité »[7].

  • La mise en œuvre du RGPD

Depuis le 26 mai 2018, les règles posées par le RGPD complètent ce cadre juridique. Et, à l’occasion d‘une mise en demeure prononcée deux mois plus tôt à l’encontre de la société Direct Energie (fournisseur d’énergie), la CNIL n’a pas manqué de rappeler les principes auxquels doivent se conformer les différents acteurs du monde de l’énergie

En effet, par une décision du 27 mars 2018, la CNIL a mis en demeure la société Direct Energie pour n’avoir pas respecté l’article 7 de la loi informatique et liberté du 6 janvier 1978 imposant un consentement libre, éclairé et spécifique pour le traitement des données personnelles.

La société procédait à la collecte des données de consommations quotidiennes et à la demi-heure sans l’accord de ses clients. Elle se contentait de demander à ses clients leur accord sur la mise en service du compteur (qui relève au demeurant de la gestion d’Enedis), et simultanément sur la collecte des données sans leur indiquer à quelle cadence ces données étaient recueillies. Cette collecte était présentée comme le corollaire de l’activation du compteur, permettant de bénéficier d’une « facturation au plus juste » alors même qu’aucune offre basée sur la consommation au pas de trente minutes n’existait[8].

La décision a ainsi entendu sanctionner, dans ce cas, le défaut de consentement quant à la collecte et au traitement des données personnelles. Les conditions de recueil du consentement, lequel doit être « libre, spécifique, éclairé et univoque », sont en effet au cœur de la nouvelle réglementation. L’affaire Direct Energie est éclairante sur ce point dès lors qu’il est patent que le consentement de l’usager n’avait pas été formulé correctement et qu’il avait été demandé pour deux objectifs différents (l’activation du compteur et la collecte des données).

La décision est également éclairante sur un autre principe du RGPD, celui qui impose que le traitement des données personnelles soit réalisé sur une base juridique que l’entreprise doit déterminer (consentement, exécution d’un contrat, intérêt légitime, etc.). En l’espèce, il est clair que Direct Energie n’avait pas besoin de collecter les données quotidiennes afin d’exécuter le contrat de fourniture qui le lie à son client (du moins en l’état de ses offres commerciales), contrairement à ce qui était avancé.

  • L’utilisation des données personnelles par les collectivités

On rappellera enfin que les autorités organisatrices de la distribution d’énergie (AODE), autorités concédantes, ont la faculté d’accéder à des données agrégées (donc anonymisées) de production et de consommations d’électricité sur un territoire donné.

En effet, le gestionnaire du réseau public de transport d’électricité, les gestionnaires de réseaux de transport de gaz, ainsi que les gestionnaires des réseaux publics de distribution d’électricité et de gaz sont expressément chargés par la loi de mettre à la disposition des personnes publiques, à partir des données issues de leur système de comptage, les données disponibles de transport, de consommation et de production d’électricité, de gaz naturel et de biogaz lorsque ces données s’avèrent utiles à l’exercice de leurs compétences (mission de contrôle de la concession par exemple) et à l’élaboration des documents de planification du territoire, en particulier pour l’élaboration et la mise en œuvre des plans climat-air-énergie territoriaux[9].

Ces données doivent dont être disponibles pour les collectivités autorités concédantes, pour les besoins de leur mission, ce qui exclut à notre sens tout usage commercial par ces mêmes collectivités.

[1] Loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte

[2] Directive 2009/72/CE du Parlement européen et du conseil du 13 juillet 2009 concernant les règles communes pour le marché intérieur de l’électricité transposée par la Loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité et décret 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d’électricité en application du IV de l’article 4 de la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité devenus respectivement les articles L. 341-4 et R. 341-4 du code de l’énergie

[3] Cf. Position de la CNIL du 30 novembre 2015 sur les compteurs communicants Linky et délibération n° 2012-404 du 15 novembre 2012.Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants.

[4] Décret n° 2017-948 du 10 mai 2017 relatif aux modalités de mise à disposition des consommateurs des données de consommation d’électricité et de gaz et Décret n° 2017-976 du 10 mai 2017 relatif aux modalités d’accès par les consommateurs aux données de consommation d’électricité ou de gaz naturel et à la mise à disposition de ces données par les fournisseurs 

[5] Cf. article D. 341-21 du code de l’énergie

[6] Cf. article R.341-5 du code de l’énergie

[7] Rapport public annuel public février 2018 – Cour des comptes

[8] Décision n°2018-007 du 5 mars 2018 – Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société Direct Energie

[9] Cf. Article L.2224-31 du CGCT

Protection des données personnelles et réseaux d’initiative publique

  • En quoi les acteurs des réseaux d’initiative publique peuvent-ils être concernés par le RGPD ?

Le RGPD ne réserve pas de sort particulier à la question des services de communications électroniques, ainsi que son article 95 le précise en les termes suivants : « le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications […] » .

Pour ce qui est donc des obligations spécifiques aux services de communications électroniques, il conviendra donc de faire une application combinée des dispositions applicables en matière de données personnelles ainsi qu’aux dispositions applicables au droit des communications électroniques (en particulier l’article L.34-adu COde des postes et des communications électroniques sur la collecte et la conservation des données de connexion pour les besoins de la recherches, de la constatation et de la poursuite des infractions pénales et les exigences de la loi HADOPI).

Les acteurs du monde des réseaux d’initiative publique (collectivités, groupements de collectivités, opérateurs délégataires de service public ou prestataires) pourront être amenés à traiter des données personnelles à plusieurs titres.

Il en va ainsi, s’agissant des réseaux FttH, lors du traitement des fichiers comportant les Informations Préalables Enrichies (fichiers IPE), des informations récoltées lors des prises de rendez-vous pour les opérations de raccordement final ou de pré-raccordement

Les collectivités territoriales et leurs groupements le seront a fortiori lorsqu’elles exploiteront les réseaux en régie (on peut en particulier au développement des réseaux WIFI publics)

Et à l’heure où les porteurs de projets de communications électroniques s’interrogent sur les usages qu’ils pourront en faire (e-administration, vidéoprotection, service de téléphonie mobiles), la question du traitement des données personnelles se pose avec plus d’acuité encore.

Enfin, bien sûr, les porteurs de projets pourront être amenés à traiter des données personnelles dans leur fonctionnement quotidien (au titre du traitement des données relatives à leurs agents, notamment).

  • Quelles précautions doivent être prises par les personnes publiques ?

Avant toute chose, selon ses missions (déploiement d’un réseau d’infrastructure, fourniture d’un service direct à des usagers finals dans le cadre d’un réseau ouvert, gestion d’un réseau indépendant dans le cadre d’un groupe fermé d’utilisateurs, développement d’usages…) et selon les outils juridiques qu’il utilise pour exercer ces missions (régie directe, convention de délégation de service public, marché public …), il appartiendra au porteur de projet de déterminer s’il intervient :

–    Comme responsable de traitement, c’est-à-dire, celui qui, collectant des données personnelles, doit déterminer « les finalités et les moyens du traitement » ;

–    Comme sous-traitant au sens du RGPD, c’est à dire la personne qui traite des données personnelles pour le compte du responsable de traitement ;

–    Comme simple destinataire de ces données.

Et quelle que soit sa fonction, il devra s’assurer, dans le cadre des contrats qu’il conclura ou dans le cadre d’avenants à ces contrats, que le partage des responsabilités entre ses cocontractants et lui sont parfaitement définies.

Enfin, chaque porteur de projet public devra désigner un Délégué à la Protection des Données personnelles (DPD ou DPO pour « Data Protection Officer) ».

Protection des données personnelles et mobilité

Le domaine des transports et de la mobilité n’échappe pas aux nouvelles exigences induites par la nouvelle réglementation européenne, et, en la matière, il semble que certaines problématiques soient particulièrement exposées à celles-ci.

  • La problématique du stationnement payant

En matière de stationnement payant sur voirie, les collectivités locales peuvent être conduites à recourir à de nouveaux téléservices impliquant la mise en œuvre de traitement de données personnelles. La CNIL a émis des recommandations en la matière, dont il faut relever qu’elles sont néanmoins antérieures à l’entrée en vigueur du RGPD (Recommandations du 14 novembre 2017). Toutefois, le renforcement des droits des personnes physiques concernées incite à une vigilance renforcée quant au respect de ces recommandations.

Ainsi, lors des contrôles préalables aux contrôles physiques réalisés par des agents assermentés des véhicules stationnés sur la voirie, réalisés par l’intermédiaire de véhicules (voitures ou scooters) équipés d’un dispositif de lecture automatisé des plaques d’immatriculation (dite LAPI), ne devraient être collectés que les numéros de plaque d’immatriculation ainsi que l’horodatage et la géolocalisation du véhicule : le champ de la prise de vue doit être limité à la plaque d’immatriculation. Par ailleurs, les données doivent être supprimées dès qu’il est établi que le véhicule est en règle, et, à défaut, dès lors que le contrôle par l’agent assermenté est réalisé et que la procédure de « FPS » (forfait de post-stationnement) est, le cas échéant, initiée.

Ces données anonymisées peuvent également être utilisées à des fins statistiques par l’observatoire du stationnement de la collectivité « dans des conditions appropriées à cet usage », précise la CNIL.

  • La problématique de la billettique

Par ailleurs, les applications billettiques et tickets/abonnements dématérialisés de transports se développent sur le territoire et impliquent la mise en œuvre de nombreux traitements de données à caractère personnel : identité, âge et situation professionnelle, mode et données de paiement, numéro et type d’abonnement, données de localisation, etc. La CNIL a déjà apporté d’importantes précisions sur les applications billettiques des transports publics dans une délibération du 28 avril 2011, lesquelles pourraient être adaptées au nouveau cadre du RGPD, par exemple pour intégrer le droit à la portabilité des données et à l’oubli.

En outre, dans le cadre d’enquêtes de satisfaction, les transporteurs et collectivités sont conduits à collecter des données personnelles (telles que les noms, prénoms et âges des usagers, leurs adresses mails, les lieux de point de départ et d’arrivée privilégiés de transport).

Les usagers devraient être informés de la finalité de cette collecte, laquelle pourrait être, par exemple, la réalisation d’études statistiques (si la finalité du traitement n’est pas initialement statistique mais que les données sont utilisées dans un second temps pour une telle finalité, le droit de l’Union précise que ce traitement « devrait être considéré comme une opération de traitement licite compatible » (Considérant 50 du RGPD)) ou l’amélioration du fonctionnement du réseau. Des garanties appropriées devraient être prévues par les Etats membres pour le traitement de données à caractère personnel à des fins statistiques (Considérant 156 du RGPD). Par ailleurs, il conviendra de s’assurer de la licéité de ces traitements, en le fondant expressément soit sur l’accomplissement de missions de service public soit sur l’expression univoque et éclairée du consentement des usagers à la collecte de leurs données à caractère personnel pour la finalité indiquée.

Enfin, les contrats liant les autorités organisatrices de la mobilité à leurs opérateurs devront être soigneusement analysés et faire l’objet d’avenants précis, en fonction de la qualification retenue du cocontractant, qui pourra alternativement se trouver être un responsable de traitement, un sous-traitant ou un destinataire tiers.

Protection des données personnelles et droit social

Avec le RGPD, l’Union européenne a voulu donner au citoyen un droit de regard sur la collecte de ses données à caractères personnelles.

Ce citoyen, en tant que salarié, doit également voir ses droits protégés dans sa relation de travail. Ainsi, l’employeur, en tant que collecteur d’informations personnelles, a de nouvelles obligations issues du RGPD.

Plusieurs actions s’imposent à l’employeur pour assurer sa mise en conformité.   

 Désigner un « délégué à la protection des données » (DPD)

La désignation d’un DPD est obligatoire pour les organismes publics et les entreprises dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, à  traiter de données sensibles ou relatives à des condamnations pénales et infractions.

Toutefois, même si la désignation d’un DPD n’est pas formellement obligatoire pour toutes les entreprises, la complexité technique du traitement des données et l’étendue des obligations rend la désignation du DPD plus qu’opportune.

L’étendue des attributions du DPD fait de lui le « chef d’orchestre » de la conformité de l’entreprise au RGPD. Il aura notamment pour mission d’apporter ses expertises techniques et juridiques sur les mesures de sécurité adéquates à mettre en place. Il sera surtout l’interlocuteur privilégié des salariés et de la CNIL pour toutes les questions relatives aux données personnelles.

Il convient de précision que le « DPD » peut être désigné en interne parmi les salariés de l’entreprise ou en externe, via un prestataire extérieur (avocat, conseil ou prestataire spécialisé).

Il est conseillé de désigner une personne dédiée exclusivement à cette tâche pour éviter notamment la notion de conflit d’intérêts, ou la mise à mal de son indépendance dans le cadre de la relation employé/employeur. Par ailleurs, il est fortement conseillé aux entreprises de faire réaliser un audit par des professionnels du droit et de la sécurité informatique afin d’éviter toute difficulté liées à la mise en œuvre et au contrôle du traitement des données.

 Etablir un registre des activités de traitement

Le RGPD prévoit l’obligation pour les entreprises de plus de 250 salariés de tenir un registre des traitements de données qui devra être mis à disposition de l’autorité administrative compétente.

L’objectif est d’identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données. A titre d’illustrations en ce qui concerne la gestion des ressources humaines, le recrutement, la gestion de paie, la formation, les déclarations sociales, etc, sont des activités qui engendrent la collecte d’informations personnelles.

Le registre devra répertorier l’ensemble des traitements relatifs aux ressources humaines, en déterminer la finalité et prévoir les mesures de sécurité adéquates. À cette fin, il devra notamment contenir :

  • les noms et coordonnées des responsables du traitement et des sous-traitants ;
  • les personnes concernées par le traitement et les données traitées ;
  • les mesures de sécurité techniques et organisationnelles mises en place.

L’élaboration et l’actualisation du registre peuvent paraître lourdes. Cependant ce document permet d’organiser de façon structurée les modalités du traitement des données des employés et facilite l’exercice de leurs droits à modifier, rectifier ou supprimer tout ou partie de leurs données personnelles. Dans ce contexte, même si cette obligation n’est en principe valable que pour les entreprises de plus de 250 salariés, elle est vivement conseillée pour toutes les entreprises en ce qu’elle permet de  garantir la sécurité des données collectées.

  Informer et dans certains cas obtenir le consentement préalable des salariés (et candidats)

Concrètement, les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise. Cette information peut se faire sur plusieurs supports tels que le règlement Intérieur de l’entreprise ou encore le contrat de travail et contient, de manière non exhaustive :

  • les modalités du traitement et ses finalités ;
  • un rappel des droits de l’employé sur ses données ;
  • si les données peuvent faire l’objet d’un transfert à une autre entité juridique (au sein d’un Groupe d’entreprises par exemple).

Il faut souligner que la collecte de certaines données (photographie du salarié par exemple) imposera l’obtention du consentement préalable de l’employé concerné. Plus particulièrement, ce consentement devra être recueilli de façon explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher.

 Ne collecter que des données personnelles nécessaires

Si l’employeur est amené à traiter un nombre important de données personnelles, il doit pour autant, ne traiter que les données nécessaires à l’objectif pour lequel il traite ces données.

Par exemple, lors de la phase de recrutement d’un employé, les données collectées devront être limitées à celles strictement nécessaires à l’évaluation des capacités du candidat à occuper le poste proposé. Par conséquent, les formulaires de candidature ne peuvent imposer la divulgation de la situation matrimoniale d’un candidat ou l’étendue de sa paternité/maternité.

Des modalités particulières sont par ailleurs prévues pour les emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas, l’employeur a l’interdiction de conserver ledit extrait ou des notes relatives à celui-ci.

 Garantir la sécurité et la confidentialité des données personnelles collectées

Les entreprises devront prendre toutes les mesures techniques et organisationnelles pour assurer la confidentialité des données à caractère personnel et éviter toute divulgation à des tiers non autorisés.

Concernant les mesures organisationnelles, on peut citer la désignation d’un DPD, le contrôle de l’accès aux locaux hébergeant les serveurs, l’adoption d’une charte ou encore la mise en œuvre de procédures spécifiques à l’identification des nouveaux traitements, etc.

S’agissant des mesures techniques pouvant être mises en œuvres, cela peut être les mises à jour des antivirus et logiciels, changement régulier des mots de passe, chiffrement des données dans certaines situations, etc.

En outre, désormais toute faille de sécurité devra être signalée dans un délai de 72 heures à l’autorité de contrôle compétente (la Cnil en France) ainsi qu’à l’employé concerné. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Le RGPD crée également de nouveaux droits comme le droit à la portabilité des données personnelles ou le droit à l’oubli. Tout employé pourra saisir son service RH (ou la personne désignée) pour exercer les droits qu’il détient sur ses données personnelles. Sa demande devra être suivie d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.

L’employeur doit donc mesurer la problématique du stockage de ces données puisqu’il devra connaître leur emplacement exact afin de répondre efficacement aux demandes des employés.

 

 Respecter la durée de conservation des données personnelles des salariés (et candidats)

Le RGPD rappelle que les données personnelles des salariés ne peuvent être conservées que pour la durée nécessaire :

  • à l’exécution de leur contrat de travail ;
  • et/ou au respect d’obligations légales (fiscales par exemple) ;
  • et/ou à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.

À titre d’illustrations, les données collectées sur un candidat non retenu à l’embauche doivent être effacées deux ans après le dernier contact et les données personnelles d’un salarié relatives à la paie ne peuvent être conservées au-delà de cinq ans.

 

 

La mise en conformité au RGPD : Un enjeu majeur pour l’ensemble des acteurs publics et de l’économie sociale et solidaire

Près de 4 mois après l’entrée en vigueur du Règlement Général de la Protection des Données (RGPD), le Cabinet SEBAN & Associés a souhaité dresser un premier état des lieux de la récente réforme de la protection des données à caractère personnel, trop souvent présentée comme une rupture brutale anxiogène là où elle correspond bien davantage à un changement de paradigme porteur d’opportunités et conduit à s’inscrire dans la durée.

L’ambition de cette Lettre d’Actualité juridique dédiée aux enjeux de la mise en conformité des acteurs publics sera dès lors de proposer une présentation dynamique des principales évolutions issues de ce cadre juridique renouvelé (I), de partager quelques conseils pratiques et opérationnels de mise en conformité issus de nos retours d’expérience (II), puis, au moyen de brèves rédigées par les différents secteurs du Cabinet de révéler la multiplicité des situations impactées (III).

I-             Ce que le RGPD a vraiment bouleversé

Parce que l’entrée en vigueur du RGPD a incontestablement ouvert un besoin nouveau pour un grand nombre d’acteurs, certains n’ont pas hésité à se revendiquer spécialistes de la matière, faisant montre de grandes approximations et ajoutant malheureusement à la confusion du discours ambiant.

C’est pourquoi quelques petites clarifications s’imposent aux fins d’appréhender cette réforme dans sa juste proportion.

L’entrée en vigueur du RGPD n’est, tout d’abord, pas un cataclysme juridique en France, puisque, dans notre droit national, les données à caractère personnel étaient protégées depuis plus de 40 ans (loi CNIL n°78/17 du 6 janvier 1978) et que les règles d’or conditionnant la régularité d’un traitement (article 5 et 6 du RGPD) demeurent très largement inchangées.

De même, le consentement ne devient pas une condition obligatoire de régularité d’un traitement de données à caractère personnel. Le consentement demeure, en effet, uniquement, l’une des bases juridiques susceptible de fonder un traitement (article 6 du RGPD) et, s’agissant des acteurs publics, le recours au consentement des personnes concernées pour fonder un traitement est extrêmement résiduel et a vocation à le rester sous l’égide du RGPD. Il doit donc être retenu que le RGPD n’a pas étendu le champ des traitements fondé sur le consentement mais a uniquement durci les conditions de son recueil (à partir d’une information suffisante et via un acte positif clair, notamment).

Enfin, les acteurs publics qui ne sont pas en conformité avec les nouvelles obligations issues du RGPD depuis le 25 mai 2018 ne vont pas se voir infliger immédiatement une amende financière pouvant atteindre 20 millions d’euros. Si, en dépit des tentatives du Sénat, le législateur a décidé de ne pas exonérer les collectivités territoriales (contrairement à l’Etat) au prononcé de sanctions financières à leur encontre, il n’en demeure pas moins que la CNIL a d’ores et déjà indiqué qu’elle ferait preuve de clémence, dans un premier temps, s’agissant des obligations nouvelles issues du RGPD. N’ayant, à ce jour, pas elle-même satisfait à l’ensemble de ses propres obligations (publication de la liste des traitements soumis à analyse d’impact, diffusion de référentiels, etc.), la CNIL ne saurait raisonnablement reprocher aux acteurs publics de ne pas être, à ce jour, parfaitement en conformité avec la nouvelle logique portée par le RGPD. En revanche, la CNIL a d’ores et déjà prévenu qu’elle renforcerait très largement son contrôle quant au respect des règles préexistantes issues de la loi CNIL, et n’hésiterait pas à sanctionner les organismes qui les méconnaîtraient. L’urgence est dès lors la vérification du respect de ces règles vieilles de 40 ans, à laquelle, il faut l’admettre, il n’était pas toujours porté une attention suffisante. Et c’est d’ailleurs, là, à notre sens, que se situe le principal changement !

En réalité, en effet, les plus grandes évolutions liées à l’entrée en vigueur du RGPD procèdent surtout de la prise de conscience généralisée qui a accompagné son entrée en vigueur et de la logique de responsabilisation et de vigilance permanente portée par ce texte.

De sorte que c’est bien ce changement de paradigme qui constitue le principal bouleversement, dont les acteurs publics doivent prendre la mesure, lequel se matérialise à travers les trois nouvelles obligations concrètes suivantes.

– Les acteurs publics seront tout d’abord désormais tenus de désigner un délégué à la protection des données. L’article 37 du RGPD prévoit, en effet, désormais expressément que toutes les autorités et tous les organismes publics, sans aucune exception, sont tenus de désigner un délégué à la protection des données. Alors que, jusqu’à présent, seules 2% des communes, la moitié des EPCI et des départements et 2/3 des régions avaient désigné un correspondant informatique et liberté (CIL), le RGPD impose désormais la généralisation obligatoire de ces désignations, autorisant toutefois la possibilité d’avoir recours à un délégué à la protection des données externe et / ou mutualisé. Dans ses lignes directrices consacrées à ce nouvel acteur, le G29 (regroupement de toutes les CNIL européennes) recommande d’ailleurs largement, au-delà, que les personnes privées exerçant une mission de service public dans des conditions comparables à celles des personnes publiques se dotent également d’un délégué à la protection des données. Eu égard aux garanties d’indépendance et de compétence que se doit de revêtir ce délégué à la protection des données, les enjeux entourant sa désignation ne sont pas neutres et doivent être attentivement considérés. Beaucoup de la réussite et des perspectives positives dressées par le processus de mise en conformité dont il aura la charge dépendra des qualités techniques et humaines de ce délégué à la protection des données.

– Ce dernier aura en effet comme principale mission nouvelle d’établir un registre des traitements, lequel devra permettre d’attester de la parfaite conformité de l’organisme au RGPD. Pour ce faire, il lui appartiendra de procéder au recensement de l’ensemble des traitements ayant fait l’objet ou non de formalités préalables auprès de la CNIL déployés au sein de l’organisme et de faire un audit général des mesures de sécurité mises en œuvre pour en garantir la parfaite sécurité. Un travail de dentelle devra dès lors être opéré au sein de chaque service pour déceler l’ensemble des traitements existants et les conditions précises de leur exécution. S’en suivra très probablement l’impulsion de nouvelles méthodes de travail, lesquelles devront être amenées habilement pour être acceptées et appliquées par tous.

– Ce délégué aura ensuite une mission plus particulièrement juridique relative à la mise en conformité de l’ensemble des contrats liant son organisme dont l’exécution pourrait donner lieu à un traitement de données à caractère personnel. L’une des évolutions les plus sensibles du RGPD tient en effet à la responsabilisation des sous-traitants, laquelle implique cependant des nouvelles obligations, en termes de contractualisation, pour clarifier précisément les responsabilités de chaque entité s’agissant de la mise en œuvre d’un traitement de données à caractère personnel. Pour les acteurs publics, cette évolution est dès lors particulièrement bénéfique en ce qu’elle va contraindre leurs cocontractants à se préoccuper davantage de ces enjeux et à leur proposer des outils intégrant, par eux-mêmes, les enjeux de protection des données à caractère personnel (conforme au nouveau principe « Privacy by design »). Cependant, dans un premier temps, cela va les contraindre à un effort complémentaire dans la rédaction de leurs contrats. La parfaite maîtrise de la réglementation est d’ailleurs, à ce titre, essentielle, puisqu’il est constant qu’elle est sujette à interprétation et que dans le cadre d’une renégociation contractuelle, chacun tentera de faire valoir ses propres intérêts et de minimiser ses responsabilités.

II-            Quelques conseils pratiques pour contenir l’effort de mise en conformité et en saisir toutes les opportunités

Les premiers retours d’expérience sur les mises en conformité au RGPD permettent aujourd’hui de dégager plusieurs règles de conduite garantes d’une perception positive de ce nouvel effort à engager pour les acteurs publics.

Nul besoin de préciser que la conviction de l’utilité d’une réforme conditionne pour beaucoup la réussite de son déploiement.

A cet effet et en plus d’être en capacité de faire preuve de beaucoup d’enthousiasme dans la mise en œuvre d’une nouvelle réglementation représentant un enjeu de libertés fondamentales certain et porteuse, à bien des égards, de débats idéologiques passionnants, le processus de mise en conformité doit être engagé, en application des trois principes directeurs suivants.

– Le respect d’une méthodologie rigoureuse. Le premier conseil qui nous semble devoir être présenté, s’agissant de ce processus de mise en conformité, consiste dans le suivi d’une méthodologie rigoureuse, établie dans l’objet de minimiser autant que possible les efforts nécessités. Outre le déroulé proposé par la CNIL en 6 étapes (disponible sur son site internet), il nous semble, à cet effet, particulièrement opportun de penser le travail d’audit directement dans le souci de la documentation de la conformité attendue ultérieurement et, par suite, via l’établissement concomitante d’un pré-registre et d’un référentiel de sécurité. En tout état de cause et pour éviter à la fois les risques de dispersion et d’épuisement, la définition d’une méthodologie au lancement du processus de mise en conformité et son suivi rigoureux constitue un gage notoire d’efficacité.

– La priorisation des actions. La seconde recommandation qui mérite opportunément d’être respectée consiste en la capacité de définir des actions à mener prioritairement à d’autres.

Condition d’une répartition des efforts équilibrée, une telle priorisation sera aussi, en effet, la garantie d’une limitation des risques de sanction de la CNIL. Plus précisément, trois types de priorisation devront être respectés et idéalement conciliés :

  • Une priorité selon le risque, qui consiste à prioriser selon les sanctions effectives encourues. A ce titre et parce que la CNIL a annoncé qu’elle sanctionnerait en premier lieu les atteintes aux principes de la réglementation relative à la protection des données antérieurs au RGPD, il devra être effectué ce travail de vérification liminaire de la conformité de l’organisme aux règles qui préexistaient à l’entrée en vigueur du RGPD. Conformément à ce critère de priorité, il sera également décidé d’accorder une attention particulière aux demandes des personnes concernées relatives à l’un des droits consacrés par cette réglementation afin de limiter les risques de plainte potentielle desdits administrés auprès de la CNIL. Il est entendu, en effet, que plus la CNIL recevra de plaintes à l’égard d’un organisme, plus elle sera tenté de le contrôler.
  • Une priorité selon les enjeux, qui consiste, notamment, à procéder prioritairement à la révision des contrats présentant un enjeu important, en termes de responsabilité pour le pouvoir adjudicateur. Dit autrement, il s’agit de modifier, en premier lieu, les contrats portant sur les traitements de données à caractère personnel les plus risqués (parce qu’ils portent sur des données sensibles ou parce les opérations qu’ils concernent sont en tant que telle risquées).
  • Une priorité selon l’effort de mise en conformité requis, consistant, enfin, à prioriser les actions de mise en conformité rapides et visibles pour être en mesure de démontrer immédiatement un engagement réel dans la mise en conformité au RGPD.

– La mise à profit du travail d’introspection. La dernière préconisation pratique qu’il convient de considérer, bien qu’elle ne soit pas la plus aisée à mettre en œuvre, a trait à la mise à profit du processus de mise en conformité au RGPD, dans les autres missions et activités de l’organisme.

Au-delà de la réduction des informations traitées, de l’optimisation de l’usage de ces données et d’une plus grande fluidité des échanges entre les différents intervenants d’un traitement, que devra en tout état de cause permettre le déploiement effectif de cette mise en conformité, l’objet serait ainsi notamment de se servir de ce travail d’introspection pour permettre à l’organisme de respecter par exemple ses obligations en matière d’open data, d’effectuer une réforme de la gouvernance d’un organisme ou encore de faire de la meilleure transparence et de la rénovation de l’utilisation des données un véritable engagement politique.

*

Dans un tel contexte de mutation, le Cabinet SEBAN & Associés, fidèle à son engagement en faveur des acteurs publics et para-publics locaux, s’est doté de moyens importants pour accompagner sa clientèle dans la mise en conformité de leurs pratiques à l’égard de ce nouveau cadre de protection des données personnelles. Il apparaît de façon particulièrement évidente qu’une juste et saine application de ces textes suppose une connaissance fine de l’univers de l’organisation concernée et qu’une approche « métier », secteur d’activité par secteur d’activité, permet seule de cerner les enjeux et de proposer des solutions adaptées et praticables.

Dans les brèves qui suivront, qui n’ont aucunement la prétention de l’exhaustivité, les différents référents du Cabinet, qui ont vocation à soutenir ponctuellement l’activité de l’équipe dédiée au droit des données, exposent synthétiquement les différents enjeux identifiés dans leur champ de compétence, permettant de prendre conscience de la diversité et de la transversalité des questionnements induits par l’application du nouveau cadre juridique.

Protection des données personnelles et construction (l’exemple du BIM)

Une mise en relation des principes issus du RGPD et du développement du BIM (Building Information Modeling) dans le secteur du BTP et ses impacts juridiques sur les acteurs publics de la construction s’avère indispensable.

En effet, rappelons que le BIM peut être défini comme un processus collaboratif permettant aux différents intervenants à une opération de construction de partager, à tous les stades du projet, les informations relatives à la conception, l’exécution et l’exploitation d’un bâtiment. Ce travail collaboratif s’effectue notamment autour d’une maquette numérique accessible à l’ensemble des intervenants.

Plusieurs niveaux, classés de 0 à 3, déterminent le degré d’interaction numérique de ce processus collaboratif.

A ce jour, le cadre juridique du BIM n’est pas défini, y compris en droit de la commande publique, alors même que l’ordonnance n° 2015-899 du 23 juillet 2015 et son décret n° 2016-360 du 25 mars 2016, pris en application de la directive européenne 2014/24/UE, prévoient la possibilité pour les maîtres d’ouvrage d’exiger la réalisation du projet en mode BIM de leur prestataire (article 42 du décret du 25 mars 2016).

Dans ces conditions, le contrat demeure pour le moment la loi des parties.

Or, le BIM impliquant une mise en commun de données, surtout dans le cas d’une collaboration élevée entre les intervenants (niveaux 2 et 3), des difficultés liées à la facilité d’exportation de ces données peuvent survenir.

Ainsi, dans la mesure où la mise en place du BIM peut appeler à la fois une collecte de données professionnelles et personnelles, la question de l’application du RGPD à un projet numérisé se pose nécessairement.

A noter que la suppression du régime déclaratif auprès de la CNIL des données personnelles est bénéfique dans le cadre du BIM car le contenu de ces données ne pourra être connu qu’au fur et à mesure de l’avancement du projet et non aux prémices de son développement.

Pour autant, la nouvelle logique de responsabilisation implique de s’interroger sur la désignation du délégué à la protection des données (DPD) au sein d’un projet de construction numérisé : celui-ci sera-t-il le BIM Manager (chargé de veiller au respect des normes techniques et environnementales) ? Le maître d’œuvre ? Ou le maître d’ouvrage public ?

Dans ce dernier cas, les acteurs publics devront veiller à intégrer les données personnelles éventuellement collectées au sein d’un projet de construction numérisé au système de traitement choisi : externalisation par le biais d’un prestataire de services dans le cadre de la sous-traitance du RGPD ou collecte interne.

S’agissant de la sous-traitance, il doit être précisé que cette notion au sens du RGPD ne doit pas être confondue avec celle de sous-traitant au sens de la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance.

En effet, la loi de 1975 définit la sous-traitance comme étant une opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître d’ouvrage (article 1er).

Pour le RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4 du RGPD).

Ainsi, les titulaires de marchés publics peuvent, alors qu’ils sont considérés comme entrepreneurs vis-à-vis des acheteurs publics au regard de la loi de 1975, être considérés comme des sous-traitants vis-à-vis de l’acheteur public au regard du RGPD dans le cadre de l’exécution du marché public.

A noter également que la désignation du maître d’ouvrage public en qualité de BIM Manager et de délégué à la protection des données doit faire l’objet d’une vigilance particulière au titre des risques d’immixtion du maître d’ouvrage public dans la gestion du projet qui peut être qualifiée de fautive.

En conclusion, si l’entrée en vigueur du RGPD implique une responsabilisation généralisée des acteurs publics, tous domaines confondus, le BIM, outil numérique encore peu encadré, doit désormais attirer d’autant plus l’attention des maîtres d’ouvrage publics qui souhaitent y recourir s’agissant de la collecte de données personnelles.