Projet de loi ELAN : les mesures à portée environnementale

Le 19 septembre dernier, le projet de loi portant évolution du logement, de l’aménagement et du numérique (ELAN) a été adopté par la commission mixte paritaire joignant les représentants des deux assemblées parlementaires. Déposé le 4 avril 2018 devant l’Assemblée Nationale, le texte a fait l’objet de nombreux débats au cours de ces derniers mois.

Abordant de nombreux sujets très divers : politiques d’aménagement de l’espace, d’urbanisme, d’accès au logement et, notamment, du logement social, de développement des économies d’énergie ou encore de simplification du déploiement des réseaux de communication électronique, le projet de loi a été maintes fois remanié par l’Assemblée Nationale et le Sénat pour aboutir à un consensus pourtant encore soumis à quelques interrogations et critiques.

Parmi ces interrogations se pose ainsi, notamment, la question de l’impact environnemental de cette loi. En effet, plusieurs dispositions du projet de loi ont une portée environnementale. Ainsi, par exemple, de nouvelles dispositions applicables à l’évaluation environnementale imposent à l’autorité qui décide de soumettre un projet à ce type d’évaluation de préciser les objectifs spécifiques poursuivis par la réalisation de l’évaluation environnementale du projet (article 5 du projet de loi).

Par ailleurs, parmi les dispositions ayant une portée environnementale et qui méritent d’être examinées de plus près, on peut noter en particulier celles qui visent à favoriser l’urbanisation (I), celles qui vise à améliorer la qualité de l’air (II) et encore les dispositions relatives à la revitalisation du centre-ville par qui passe par l’implantation d’activité commerciales notamment (III).

I/ Les mesures favorisant les politiques d’urbanisation

En premier lieu, il convient de relever que le projet de loi modifie les dispositions du Code de l’urbanisme afin de favoriser l’urbanisation de certaines zones.

1/ Sur ce point, on notera en effet, d’abord que peuvent désormais déroger au principe selon lequel, en l’absence de plan local d’urbanisme, de tout document d’urbanisme en tenant lieu ou de carte communale, les constructions ne peuvent être autorisées que dans les parties urbanisées de la commune, « les constructions et installations nécessaires à la transformation, au conditionnement et à la commercialisation des produits agricoles, lorsque ces activités constituent le prolongement de l’acte de production et dès lors qu’elles ne sont pas incompatibles avec l’exercice d’une activité agricole, pastorale ou forestière sur le terrain sur lequel elles sont implantées » (art. 12 quater B du projet de loi modifiant l’article L. 11-4 C. urba). Pour pouvoir être réalisées en dehors des parties urbanisées, ces constructions doivent toutefois présenter des garanties quant à leur compatibilité avec la sauvegarde des espaces naturels et des paysages et ne peuvent en outre, être réalisées dans les zones naturelles (même article).

2/ De plus, l’article 12 quinquies du projet de loi, dont les dispositions sont encore soumises à critique, modifie les dispositions à l’article L. 121-8 Code de l’urbanisme.  D’une part, il supprime la notion de « hameaux nouveaux intégrés à l’environnement », qui ne fait pas l’objet d’une définition juridique précise et y substitue la notion de « secteurs déjà urbanisés ». D’autre part, il intègre de nouvelles dispositions à ce même article visant à permettre, dans ces secteurs, de nouvelles constructions et installations. Ces possibilités sont toutefois limitées aux constructions et installations aux fins exclusives d’amélioration de l’offre de logement ou d’hébergement et d’implantation de services publics, lorsque celles-ci n’ont pas pour effet d’étendre le périmètre bâti existant ni de modifier de manière significative les caractéristiques de ce bâti. Les constructions doivent en outre se situer en dehors de la limite des 100 mètres (l’article L. 121-26 Code de l’urbanisme prévoit l’interdiction de construire sur une bande littorale de cent mètres à compter de la limite haute du rivage ou des plus hautes eaux pour les plans d’eau intérieurs d’une superficie supérieure à 1 000 hectares), des espaces proches du rivage et des rives des plans d’eau. Elles ne doivent, par ailleurs, pas porter atteinte à l’environnement et aux paysages.

Ces nouvelles dispositions reviennent sur les mesures issues de la loi n° 86-2 du 3 janvier 1986 relative à l’aménagement, la protection et la mise en valeur du littoral (dite loi Littoral) qui avaient autorise la réalisation de nouvelles constructions dans la continuité des zones déjà urbanisées seulement et évitaient ainsi une densification de la côte. Si elles sont critiquées au regard du risque qu’elles créent de « bétonisation » de la côte, ces nouvelles mesures répondent aux problématiques liées à la constitution de « dents creuses ». Le projet de loi prévoit alors qu’il appartiendra au SCOT de « déterminer les critères d’identification des villages, agglomérations et autres secteurs déjà urbanisés prévus à l’article L. 121-8, et en définit la localisation ». Le recours aux procédures simplifiées de révision du SCOT et du PLU est encore prévu pour favoriser la mise en œuvre de ces nouvelles mesures.

Plus encore, on notera que l’article 12 sexies permet, par dérogation à l’article L. 121-8 du Code de l’urbanisme, c’est à titre à l’obligation de continuité de l’urbanisation, « les constructions ou installations nécessaires aux activités agricoles ou forestières ou aux cultures marines » après l’accord de l’autorité administrative compétente de l’État et l’avis de la commission départementale de la nature, des paysages et des sites et de la commission départementale de la préservation des espaces naturels, agricoles et forestiers. Les constructions nécessaires aux activités marines ne sont, par ailleurs, pas soumises à l’interdiction d’être édifiées en dehors des espaces proches du rivage.

3/ On notera encore, parmi les mesures relatives à l’urbanisation, que le projet de loi renforce la protection des espaces remarquables limitant le type d’aménagement légers qui peuvent être envisagés dans ces zones à une liste qui doit encore être adoptée par décret (article 12 nonies).

Enfin, les dispositions favorisant l’implantation d’éoliennes sur les petites îles ont été également adoptées. L’article L. 121-5 du Code de l’urbanisme devrait en effet être modifié pour intégrer les dispositions suivantes : « Dans les zones non interconnectées au réseau électrique métropolitain continental dont la largeur est inférieure à dix kilomètres au maximum, les ouvrages nécessaires à la production d’électricité à partir d’énergies renouvelables peuvent être autorisés par dérogation aux dispositions du présent chapitre, après accord du représentant de l’État dans la région ».

 II/ Les mesures portant sur la performance énergétique et la qualité de l’air

Au-delà des dispositions visant à favoriser la performance énergétique des bâtiments, notamment par l’intégration de cet objectif dans la politique d’aide au logement (article 20 bis du projet de loi) ou encore les mesures relatives au chauffage individuel et celles développant les diagnostics immobiliers (notamment par la création d’un observatoire dédié), le projet de loi tend également à favoriser la qualité de l’air.

A cette fin, il consacre au niveau législatif l’Observatoire de la qualité de l’air intérieur créé en juillet 2001 dans le cadre du Plan national santé environnement (PNSE).

De plus, l’article 21 bis E prévoit que « dans le cadre d’un plan de protection de l’atmosphère, le représentant de l’État dans le département peut interdire l’utilisation des appareils de chauffage contribuant fortement aux émissions de polluants atmosphériques ».

III/ La revitalisation des centres villes

L’article 54 du projet de loi prévoit de compléter l’article 303-1 du Code de la construction et de l’habitation (CCH) pour y intégrer l’objectif de revitalisation du territoire.

Cet objectif est défini comme « la mise en œuvre d’un projet global de territoire destiné à adapter et moderniser le parc de logements et de locaux commerciaux et artisanaux ainsi que le tissu urbain de ce territoire pour améliorer son attractivité, lutter contre la vacance des logements et des locaux commerciaux et artisanaux ainsi que contre l’habitat indigne, réhabiliter l’immobilier de loisir, valoriser le patrimoine bâti et réhabiliter les friches urbaines, dans une perspective de mixité sociale, d’innovation et de développement durable ».

Ces opérations donnent lieu à une convention entre l’État, ses établissements publics intéressés, un établissement public de coopération intercommunale à fiscalité propre et tout ou partie de ses communes membres, ainsi que toute personne publique ou tout acteur privé susceptible d’apporter un soutien ou de prendre part à la réalisation des opérations prévues par la convention.

Dans le cadre de ce projet de revitalisation qui s’inscrit dans une « action globale afin de lutter contre la dévitalisation des centres-villes et des centres-bourgs de nombreuses communes » (Rapport n° 630 (2017-2018) de Mme Dominique ESTROSI SASSONE, fait au nom de la commission des affaires économiques, déposé le 4 juillet 2018), on notera particulièrement la volonté du législateur de favoriser la réhabilitation des friches urbaines.

Encore peut-on noter que le projet de loi rend plus contraignantes les procédures de démantèlement et de remise en état des sites sur lesquels une exploitation commerciale a cessé (article 54 bis D). S’agissant de l’implantation des exploitations commerciales dans une zone de revitalisation de territoire comprenant un centre-ville identifié par la convention de revitalisation, évoquée ci-avant, elle n’est pas soumise à autorisation. La convention conclue dans le cadre du projet de revitalisation peut toutefois soumettre à autorisation d’exploitation commerciale « les projets mentionnés aux 1° à 6° de l’article L. 752-1 du présent code dont la surface de vente dépasse un seuil qu’elle fixe et qui ne peut être inférieur à 5 000 mètres carrés ou, pour les magasins à prédominance alimentaire, à 2 500 mètres carrés ».

En revanche, on relèvera que les dispositions visant à permettre aux restaurateurs d’implanter des pré-enseignes publicitaires en dehors des agglomérations, adoptées par le Sénat au mois de juillet, a disparu de la dernière version du texte.

Clémence Du Rostu, Directrice du secteur environnement

Protection des données personnelles et baux d’habitation

Le règlement européen sur la protection des données (RGPD) entré en application le 25 mai 2018 a renforcé la protection des données personnelles des personnes physiques ainsi que les obligations des bailleurs sociaux, déjà sensibilisés à cette problématique, le traitement des données personnelles étant inhérent à leur activité.

En effet, la vocation du logement social est de pourvoir un logement aux personnes bénéficiant de faibles ressources.

Ainsi, avant même la naissance du lien contractuel matérialisé par le bail, le bailleur a accès aux données personnelles des locataires, indispensables au processus d’attribution des logements.

Une fois le lien contractuel établi, le locataire doit justifier de certains éléments d’ordre personnel afin de prouver qu’il respecte ses obligations et ainsi conserver son droit au maintien dans les lieux.

A titre d’exemple, le locataire doit indiquer la composition de son foyer, notamment dans le cadre de l’obligation d’occupation qui lui est faite à l’article L. 621-2 du Code de la construction et de l’habitation.

Également, le locataire doit informer le bailleur sur sa situation patrimoniale dans le cadre de l’enquête ressource annuelle pour l’application d’un éventuel supplément de loyer de solidarité (article L. 441-9 du Code de la construction et de l’habitation), et ce d’autant que la loi dite égalité et citoyenneté n° 2017-86 du 27 janvier 2017 a renforcé l’obligation du locataire de répondre à cette enquête, dont le non-respect est sanctionné sous certaines conditions par la perte du droit au maintien dans les lieux (article L. 442-3-4 du Code de la construction et de l’habitation).

En outre, les systèmes de vidéosurveillance dont est parfois équipé un parc locatif social sont également l’occasion pour le bailleur d’avoir accès à des données personnelles de ses locataires.

Ainsi, nombreuses et importantes sont les données personnelles du locataire dont le bailleur est en possession tout au long de la vie du bail.

Avec l’entrée en vigueur du RGPD, il conviendra pour les bailleurs de redoubler de vigilance quant à la collecte, le traitement et la conservation des données ci-dessus, et mettre en place des mesures afin de garantir leur confidentialité et leur sécurité.

Pratiquement, les bailleurs sociaux doivent désormais tenir un registre des activités de traitement des données à caractère personnel et désigner un délégué à la protection des données (DPD), compte tenu soit de leur nature de personne publique, soit, à tout le moins, de la circonstance qu’ils gèrent des données à grande échelle ainsi que certaines données sensibles.

Les bailleurs doivent également s’assurer de la licéité du traitement des données personnelles de leurs locataires, qui doit reposer sur l’un des fondements énumérés par le RGPD (consentement du locataire, exécution du contrat de bail, obligation légale, mission de service public, etc.) ainsi que de la finalité du traitement des données, la nécessité du traitement des données pour l’exécution du bail, l’exactitude et l’actualisation des données recueillies, et la limitation dans le temps de la conservation des données, etc.

De son côté, le renforcement des droits des locataires doit se traduire par un contrôle accru des données qu’ils partagent : droit d’accès, droit de modification, droit d’opposition dans certains cas, droit de suppression.

Protection des données personnelles et commande publique

La réforme du droit des données personnelles a pour effet de contraindre l’ensemble des collectivités locales à mettre en place des mesures techniques et organisationnelles permettant de garantir l’effectivité de l’ensemble des droits garantis par les articles 12 à 22 du RGPD mais aussi à tenir un registre des activités de traitement effectuées sous leur responsabilité (article 30 du RGPD).

En effet, étant amenés à procéder à des traitements de données à caractère personnel, les collectivités territoriales et leurs établissements publics sont qualifiés de responsable de traitement, lequel est défini par l’article 4 du RGPD comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Dans ce contexte, les acheteurs publics doivent s’assurer, notamment, que l’exécution de leurs marchés publics et de leurs contrats de concession respecte l’ensemble des règles prévues par le RGPD et la loi CNIL.

Précisons que les obligations en matière de protection des données personnelles et donc les clauses visant à assurer leur respect dans le cadre de ces contrats dépendront des missions confiées au co-contractant et donc de la qualification de celui-ci – qualification qui ne peut être effectuée qu’à partir d’un faisceau d’indices – de responsable du traitement, de coresponsable du traitement, de sous-traitant ou, enfin, de destinataire tiers, au sens du RGPD.

Le cas d’un co-contractant ayant la qualité de coresponsable du traitement

Le coresponsable du traitement correspond, au sens du RGPD, au cas où « deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord ».

Il y a donc coresponsabilité en cas d’interdépendance de moyens ou de décision sur le traitement, soit lorsqu’une des entités ne peut décider seule des finalités et caractéristiques du traitement ou et/ou a besoin des moyens de l’autre pour le mettre en œuvre.

Dans cette hypothèse, une contractualisation spécifique pourrait être envisagée via une clause ou un contrat distinct sur la répartition des rôles et des responsabilités à l’égard du traitement, sauf par exemple à ce qu’une telle répartition soit issue d’un texte réglementaire.

Le cas d’un co-contractant ayant la qualité de sous-traitant au sens du RGPD

Le statut de sous-traitant au sens du RGPD et de la loi CNIL ne correspond pas à la notion de sous-traitant donnée par la loi n° 75-1334 du 31 décembre 1975.

En effet, alors que la sous-traitance est, aux termes de l’article 1 de la loi du 31 décembre 1975, une opération par laquelle un entrepreneur confie l’exécution de tout ou partie du contrat d’entreprises dont il est titulaire à un tiers dénommé sous-traitant, l’article 4 du RGPD qualifie quant à lui de sous-traitant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».

Un co-contractant peut être identifié comme sous-traitant lorsque sont réunis les éléments suivants :

  • instructions écrites émanant de l’acheteur public dans le contrat ou hors contrat au cours de l’exécution de la prestation relative aux mesures de sécurité ou aux modalités d’un traitement ;
  • absence d’autonomie du co-contractant dans la définition des finalités et des moyens du traitement ;
  • contrôle effectué par l’acheteur public sur les opérations de traitement.

C’est essentiellement dans ce cas que les acheteurs et les autorités concédantes devront faire preuve d’une attention particulière dans la rédaction des clauses relatives, d’une part, aux obligations en matière de protection des données à caractère personnel incombant à chaque partie et, d’autre part, aux sanctions applicables en cas de manquement à ces obligations (pénalités et/ou résiliation du contrat pour faute du titulaire).

Pour ce faire, les acheteurs et autorités concédantes pourront s’adjoindre l’expertise d’un avocat, d’autant que si la CNIL a édité un guide du sous-traitant à l’automne 2017, celui-ci ne saurait suffire, à lui seul, à régir la pluralité des relations contractuelles pouvant être initiées par un acheteur ou une autorité concédante.

Enfin, précisons que les acheteurs et les autorités concédantes doivent veiller à modifier, par le biais d’avenants, leurs marchés publics et leurs contrats de concessions en cours d’exécution – y compris, le cas échéant, les règlements des services publics –, afin d’assurer leur mise en conformité avec le nouveau régime de protection des données à caractère personnel.

Relevons d’ailleurs que les acheteurs sont contractuellement tenus de le faire pour leurs marchés faisant référence aux cahiers des clauses administratives générales (ci-après, « CCAG ») applicables aux marchés de travaux (ci-après, « CCAG-Travaux »), aux marchés de prestations intellectuelles (ci-après, « CCAG-PI »), aux marchés de fournitures courantes et de services (ci-après, « CCAG-FCS ») et aux marchés publics industriels (ci-après, « CCAG-MI »), ces CCAG stipulant tous en leur article 5.2.2 qu’en « cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché ».

Par ailleurs, s’agissant de la passation de leurs marchés publics et de leurs contrats de concession faisant intervenir un traitement de données à caractère personnel, les acheteurs et les autorités concédantes pourront bien évidemment définir et utiliser des critères de sélection des offres qui permettent de prendre en compte la manière dont les soumissionnaires proposent d’assurer la conformité du contrat aux dispositions du RGPD et de la loi CNIL.

Pour ce faire, les acheteurs publics pourront légitimement recourir au sourcing, autorisé par l’article 4 du décret n° 2016-360 du 25 mars 2016, afin de mieux définir les conditions de passation et donc les critères de sélection des offres ainsi que les conditions d’exécution des contrats de la commande publique portant sur des prestations de traitement de données à caractère personnels ou faisant intervenir, dans le cadre de leur exécution, un tel traitement.

En conclusion, la réforme de la protection des données à caractère personnel, basée sur une responsabilisation de l’ensemble des acteurs, conduit nécessairement les acheteurs publics et les autorités concédantes à prévoir, dans tous leurs contrats faisant intervenir un traitement de données à caractère personnel, des conditions de passation et surtout d’exécution qui permettent d’assurer une conformité aux dispositions du RGPD et de la loi CNIL.

Le cas d’un co-contractant ayant la qualité de tiers au sens du RGPD

Un tiers est défini par le RGPD comme « une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ».

A notre sens, le statut de tiers peut concerner les co-contractants qui sont seulement conduits à recevoir un fichier de données à caractère personnel, de façon très accessoire à la mission pour laquelle ils ont contractualisé avec l’acheteur public ou l’autorité concédante. Ce statut peut être régulièrement formalisé par une inscription du co-contractant, en qualité de destinataire du traitement, au registre de l’acheteur ou de l’autorité concédante.

Dans une telle situation, il pourra être utile de prévoir une clause stipulant de manière assez générique que le co-contractant doit assurer la confidentialité et la sécurité des données à caractère personnel qui lui sont communiquées et qu’il ne peut les utiliser pour une finalité autre que l’exécution du contrat.

Protection des données personnelles et mutualisation intercommunale

Les intercommunalités sont susceptibles d’être intéressées par les nouvelles règles instaurées par le RGPD à deux égards :

  1. Le RGPD implique la désignation obligatoire d’un délégué à la protection des données (DPD) et ce depuis le 25 mai 2018 (article 37 du RGPD) ; dès lors, les structures intercommunales sont nombreuses à se questionner sur les dispositifs qui peuvent être mis en place pour la mutualisation du DPD (I) ;
  2. Les structures intercommunales et leurs adhérents sont directement concernée par la question du traitement des données lorsque, en raison d’un transfert de compétence ou d’une réorganisation des services communaux/intercommunaux, les informations sur les agents sont rassemblées et échangées (II).
  • Sur la problématique de la mutualisation des DPD

Différentes possibilités s’offrent aux communes et aux intercommunalités pour procéder à la désignation de leur DPD  : soit en interne, par exemple, en attribuant cette mission à un agent déjà en poste ou en transformant le poste de correspondant informatique et libertés (CIL) en DPD, soit en ayant en recours à l’externalisation (avec un prestataire de services privé par exemple), soit en optant pour une mutualisation/coopération entre communes et EPCI. C’est cette dernière option qui nous intéresse ici.

On indiquera d’ailleurs que l’article 37 du RGPD précité dans son 3° rend possible une mutualisation du DPD : 

« 3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille »

Si les structures locales optent pour une mutualisation du DPD, plusieurs outils juridiques de mutualisation peuvent être envisagés.

D’abord, il pourrait être envisagé d’opérer une mise à disposition individuelle de l’agent d’une collectivité au profit d’une autre, sur la base de l’article 61 de la loi n° 84-53 du 26 janvier 1984.

Dans ce cadre, la mise à disposition individuelle d’un agent implique nécessairement l’accord de ce dernier, celui de la collectivité d’accueil, ainsi que la consultation de la commission administrative paritaire compétente. La mise à disposition est ensuite prononcée par arrêté de l’autorité territoriale investie du pouvoir de nomination. L’article 61.1.II de la loi n° 84.-53 susvisée impose également que la mise à disposition donne lieu à remboursement (portant sur les modalités de remboursement de la rémunération du fonctionnaire mis à disposition notamment). Les modalités de remboursement devant être définies dans une convention de mise à disposition.

Il pourrait ensuite être envisagé de mettre en place un service unique pour plusieurs collectivités, qui comprendrait le ou les agents concernés par le traitement des données et qui serait appelé à intervenir pour les collectivités membres du service unique.

S’agissant des communes membres d’un EPCI à fiscalité propre et de cet EPCI à fiscalité propre, l’article L. 5211-4-2 du CGCT prévoit la possibilité de mettre en place un service commun pour les services non rattachés à une compétence. Une convention prévoit les modalités de ce service commun (article L. 5211-4-2 du CGCT). La mutualisation permise par la mise en place d’un service commun concerne ainsi les services chargés de l’exercice de missions fonctionnelles ou opérationnelles.

Un service unifié peut aussi être créé (article L. 5111-1-1 du CGCT). Celui-ci a pour objet d’assurer l’exercice en commun d’une compétence reconnue par la loi ou transférée. La mise en place de ce dispositif s’effectue par la voie d’une convention qui peut prévoir :

  • soit la mise à disposition du service et des équipements d’un des cocontractants à la convention au profit d’un autre de ces cocontractants ;
  • soit le regroupement des services et équipements existants de chaque cocontractant à la convention au sein d’un service unifié relevant d’un seul de ces cocontractants.

Dans les deux cas, la convention doit fixer les conditions de remboursement. Le personnel du service mis à disposition ou du service unifié est placé sous l’autorité fonctionnelle de l’autorité administrative pour laquelle il exerce sa mission.

Ces possibilités légales ont dû être considérées comme insuffisantes. Il est vrai qu’elles ne permettent pas une mutualisation entre toutes les catégories de collectivités et c’est vraisemblablement pour ce motif que l’article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles prévoit que : « Sans préjudice du dernier alinéa de l’article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel ».

On le voit, le service unifié ici proposé recouvre des hypothèses de mutualisation très larges puisqu’il englobe l’ensemble des collectivités territoriales et de leurs groupements.

En outre, il est également possible d’envisager, non pas une mutualisation en tant que telle du DPD, mais plutôt une mutualisation des moyens destinés à choisir le DPD ; il s’agira par exemple de mettre en place un groupement de commandes destiné à désigner un DPD externe cette-fois ci.

On attirera néanmoins l’attention sur les problématiques qui peuvent être rencontrées dans le cadre de la mise en place d’un DPD mutualisé : questions de conflit d’intérêts éventuel, risque de remise en cause de son indépendance par exemple.

  • Problématiques du respect du RGPD en cas de mutualisation des agents

Hormis les problématiques qui peuvent se rencontrer en matière de mutualisation du DPD, il n’est pas à exclure que d’autres questions se posent en matière de protection des données personnelles des agents mutualisés.

En effet, en cas de transfert de compétences à l’intercommunalité, les textes prévoient que les agents qui exercent l’intégralité de leurs missions sur le service ou la partie de service transféré sont transférés. Pour les agents qui exercent seulement une partie de leurs missions sur le service ou la partie de service, ils sont simplement mis à disposition.

Dans ces différentes hypothèses, il est fréquent que les données à caractère personnel relatives aux agents concernés soient traitées par les services intercommunaux, voire par des consultants extérieurs compétents en matière de RH. En effet, des fiches comprenant un certain nombre d’informations à caractère personnel sont souvent établies et doivent être renseignées par les communes, pour pouvoir mener un état des lieux de l’organisation de la collectivité et identifier les agents appelés à être transférés ou susceptibles d’intégrer à un service commun.

Il convient alors d’être vigilant quant au traitement des données réalisé et s’assurer du respect des règles du RGPD.

Protection des données personnelles et fonction publique territoriale

En principe, les Collectivités territoriales ont déjà, dans le cadre de la loi « informatique et libertés », mis en place des procédures internes de traitement des données personnelles de leurs agents. Toutefois, l’entrée en vigueur du RGPD et la nouvelle logique de responsabilisation et d’information constituent l’occasion d’évaluer les procédures déjà en vigueur et de les adapter aux nouvelles normes. La tâche n’est pas si aisée qu’elle semble paraître et plusieurs points de vigilance devront être pris en considération par les services des ressources humaines.

D’abord, le RGPD a accordé de nouveaux droits aux agents publics : accéder à leurs données, en obtenir une copie, les rectifier, s’opposer à leur utilisation et le droit à l’oubli. Pour ce faire, les collectivités doivent disposer d’un registre précis des fichiers détenus par les services de la collectivité, les informations qu’ils détiennent sur leurs agents, leur usage, leur localisation exacte et les personnes qui peuvent y accéder. Pour ce faire, un audit précis est nécessaire au sein des différents services. Ce recensement est indispensable pour permettre aux services des ressources humaines qui devront répondre clairement et précisément dans les délais contraints par la nouvelle réglementation de la RGPD, aux questions que les agents peuvent se poser sur leurs données personnelles. Par exemple, s’agissant des dossiers individuels des agents, dans la plupart des collectivités, ils sont conservés dans des armoires fermées à clé ou dans des dossiers informatiques, ce qui permet de garantir leur confidentialité. Toutefois, l’utilisation des données figurant dans ce dossier est souvent beaucoup moins encadrée. La question de la conservation de certains documents se pose, et notamment les arrêts de travail pendant toute la carrière de l’agent. Cette conservation pourrait être en contradiction avec le droit à l’oubli dont disposent désormais les agents publics.

De plus, les supports sur lesquels sont stockées les données personnelles des agents doivent être sécurisés. Par exemple, les informations relatives aux comptes-rendus des entretiens professionnels qui sont conservées durant toute la carrière de l’agent sont souvent stockées sur plusieurs formats (papier et numérique). De même, une procédure doit être mise en place s’agissant des personnes pouvant avoir accès à ces évaluations. En effet, les membres des commissions administratives paritaires où les supérieurs hiérarchiques dans le cadre de mutation interne sont souvent amenés à y avoir accès sans restriction.

Le mode d’identification des agents au sein des collectivités est, aussi, à revoir. Par exemple, dans de nombreuses collectivités, des matricules sont attribués à chaque agent, qui figurent sur leur fiche de paye et permettent au service des ressources humaines de les identifier et avoir accès à un certain nombre de données. Or, si la gestion des fichiers de paies est externalisée, se pose la question de la qualification et du contrôle du prestataire afin de s’assurer de son respect de la réglementation. De même, s’agissant de CVthèques, se pose la question du devenir des CV des candidats qui devront être informés de leur sort, soit directement dans l’annonce, soit lorsqu’ils déposent leur CV sur la plateforme dédiée.

Enfin, une vigilance accrue devra être portée sur les systèmes d’information des ressources humaines des collectivités, avec notamment le contrôle d’accès aux locaux, le badgeage, la gestion des horaires des agents… Autant d’outils informatiques qui permettent à ces services d’obtenir des données personnelles sur les agents dont la confidentialité doit être assurée et le traitement de ces informations nécessite dès lors la plus grande transparence de la part de ces services.

En conclusion, un audit complet des procédures de traitement des données personnelles des agents semble s’imposer au service des ressources humaines et notamment de recensement afin de permettre à ces derniers de se mettre en conformité avec le RGPD mais également de garantir l’exercice des nouveaux droits dont les agents publics disposent aujourd’hui, la responsabilité de la collectivité pouvant éventuellement être engagée si ces derniers n’étaient pas respectés. Une action en responsabilité est envisageable si un préjudice moral peut être démontré par l’agent et plus largement la collectivité s’expose d’autres sanctions telles que définies dans le RGPD.

Protection des données personnelles et urbanisme (l’exemple des téléservices)

1 – Déposer une demande d’autorisation d’urbanisme, c’est avant tout, transmettre à la Mairie ou l’EPCI compétent, un ensemble de données personnelles, lui permettant d’instruire cette demande et de vérifier la conformité du projet envisagé aux dispositions légales et réglementaires.

Aussi, à compter du 1er janvier 2022, la transmission de ces pièces et informations s’effectuera par voie électronique, conformément aux dispositions des articles L.112-8 et suivants du Code des relations entre le public et l’administration.

Cette évolution devrait être accueillie favorablement dans une matière aussi technique que l’urbanisme.

En effet, afin de faciliter la compréhension par les services instructeurs de projets souvent complexes, les outils informatiques présentent de nombreux avantages : confort de lecture des pièces en permettant de zoomer/dézoomer, de faire apparaître ou non certains éléments d’architecture, d’en faciliter le classement et la transmission aux services devant être consultés pour avis, etc.

Ce faisant, et au-delà de la seule fluidification des échanges, privilégier le numérique permettra en réalité à l’administration de faire son aggiornamento, de se mettre en phase avec les techniciens (architectes, urbanistes, bureaux d’étude, etc.) utilisant en grande majorité les outils numériques dans la définition de leurs projets.

2 – Cependant, cette nouvelle étape de modernisation administrative devra répondre à deux impératifs : d’une part, la mise en place des outils informatiques permettant aux services compétents d’exploiter les données transmises, et d’autre part, la mise en place des mesures nécessaires pour sécuriser ces données.

S’agissant de ce premier impératif, un nouveau décret devrait être prochainement adopté afin de modifier le délai prévu au décret n° 2016-1491 du 4 novembre 2016 relatif aux exceptions à l’application du droit des usagers de saisir l’administration par voie électronique concernant les démarches effectuées auprès des collectivités territoriales, de leurs établissements publics ou des établissements publics de coopération intercommunale. Conformément aux demandes de l’Association des Maires de France (AMF) et de l’Assemblée des communautés de France (ADCF), l’entrée en vigueur de la saisine par voie électronique des demandes d’autorisation d’urbanisme n’entrera en vigueur qu’à compter du 1er janvier 2022, au lieu du 8 novembre 2018.

Ce faisant, la dématérialisation des demandes d’autorisation d’urbanisme entraînera une plus grande volatilité des données afférentes.

3 – Pour cette raison, et afin de répondre au second impératif, les personnes publiques devront mettre en place les mesures de collecte et de protection des données exigées en matière de téléservice, étant précisé qu’en application du RGPD, leur vigilance sur ce point devra être renforcée.

A ce titre, et aux termes de l’article 3 de l’arrêté du 4 juillet 2013[1] , les catégories de données à caractère personnel susceptibles d’être enregistrées pour la gestion de l’accès aux téléservices (en fonction du niveau d’identification requis par lesdits téléservices) sont les suivantes :

  • l’identifiant de connexion choisi par l’usager ;
  • le mot de passe choisi par l’usager ;
  • le numéro de téléphone portable de l’usager, s’il choisit ce mode d’accès ;
  • les informations contenues dans la « carte de vie quotidienne » de l’usager ;
  • le certificat électronique de l’usager, s’il choisit ce mode d’accès ;
  • le cas échéant, les clés de fédération ou « alias » générés par le système permettant à l’usager d’établir des liens avec ses différents comptes.

Ce même article précise, par ailleurs, que dans le cadre de l’accomplissement des démarches administratives, ne pourront être collectées que les informations et données à caractère personnel strictement nécessaires à l’accomplissement des démarches administratives en cause (exemple : pièces exigibles pour le dépôt d’une demande de permis de construire).

Dans ce contexte, et conformément au principe de transparence de l’article 5 du règlement européen[2], la mise en place de ce téléservice nécessitera d’indiquer clairement les conditions générales d’utilisation (CGU) de cette plateforme.

Précisément, les CGU indiqueront notamment aux usagers : le périmètre du guichet, les droits et obligations de la collectivité et de l’usager, son mode d’accès, la disponibilité et le fonctionnement du téléservice, les spécificités techniques (types de formats, taille (volume) des pièces admises à transiter par le téléservice, etc.), les règles de traitement, de conservation et de sauvegarde des données personnelles, etc.

En conclusion, afin de se préparer à cette dématérialisation des demandes d’autorisation d’urbanisme, les collectivités devront être particulièrement vigilantes à ce type d’obligations, particulièrement dans le contexte du RGPD.

[1] Arrêté du 4 juillet 2013 autorisant la mise en œuvre par les collectivités territoriales, les établissements publics de coopération intercommunale, les syndicats mixtes, les établissements publics locaux qui leur sont rattachés ainsi que les groupements d’intérêt public et les sociétés publiques locales dont ils sont membres de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d’un ou de plusieurs téléservices de l’administration électronique.

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Protection des données personnelles et action sociale/médico-sociale

De nouvelles obligations ont été créées par le RGPD (et la loi CNIL 3) concernant le recueil et le traitement des données personnelles, ce qui bouleverse en profondeur le secteur de l’action sociale et médico-sociale.

En effet, toute structure sociale ou médico-sociale, même composée seulement de quelques salariés, lorsqu’elle collecte et traite des données à caractère personnel, se voit appliquer cette nouvelle règlementation. Cela peut aussi bien être dans le cadre de ses relations avec son personnel, les tiers ou ses fournisseurs. Concrètement, l’établissement et le service social ou médico-social (ESSMS) qui enregistre dans ses fichiers les coordonnées ou les données de santé de ses usagers ou de ses salariés, ou encore échange des informations avec un prestataire ou un partenaire, y est soumis. En cas de non-respect, des sanctions administratives et financières importantes sont prévues.

Afin de prévenir ces risques, quelques points de vigilance doivent être cernés dans l’application de cette nouvelle règlementation relative au traitement des données à caractère personnel. En effet, les acteurs du secteur social et médico-social sont particulièrement visés au vu des données qu’ils sont amenés à collecter et traiter.

  • La collecte de données sensibles : une protection spécifique

En vertu de l’article 9 du RGPD, les données sensibles sont celles faisant apparaître, directement ou indirectement, les origines raciales ou éthiques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou étant relatives à la santé ou l’orientation sexuelle de celles-ci.

Les ESSMS sont amenés à collecter des données sensibles dans le cadre de leurs activités. Le RGPD permet le traitement des données sensibles, de manière dérogatoire, par certains organismes, notamment lorsque le traitement est nécessaire pour la prise en charge sanitaire et sociale ou effectué par une association ou un organisme à but non lucratif.

En tout état de cause, le responsable de traitement doit respecter un principe de transparence dans les informations qu’il communique aux personnes concernées. L’ESSMS doit ainsi être attentif afin de mettre en place des mentions d’informations spécifiques à destination de ses usagers.

Les structures de soins sont notamment amenées à faire preuve d’une vigilance accrue lorsqu’elles traitent des données de santé concernant leurs usagers ou leur personnel, données dont le champ a été élargi par le règlement à « l’état de santé de la personne » et qui sont enfin définies par le RGPD à son article 4.

  • La gestion des risques : l’obligatoire réalisation d’« études d’impact » ou de Privacy Impact Assessment (PIA)

Ce nouvel outil est obligatoire pour le traitement de données personnelles pouvant générer un risque élevé pour les droits et libertés des personnes, notamment si les données sont sensibles, à caractère hautement personnel ou encore concernent des personnes vulnérables (enfants, patients, employés, personnes âgées notamment).

Ainsi, les ESSMS ont de fortes chances d’être concernés par l’obligation d’effectuer des études d’impact sur la vie privée. Concernant la démarche méthodologique de ces études, la CNIL a mis en place un outil, le logiciel PIA, afin d’accompagner les acteurs dans leur démarche.

  • La nomination d’un délégué à la protection des données (DPD)

Dans la mesure où les ESSMS effectuent des missions de service public, la réponse à la question de savoir si ces structures doivent nommer un DPD n’est pas toujours évidente (sauf s’il s’agit d’un établissement public, auquel cas l’obligation ne fait pas de doute).

Si l’article 37 du RGPD ne prévoit pas littéralement d’obligation, contrairement aux autorités publiques ou organismes publics traitant des données, il semblerait qu’au vu des lignes directrices du G29 (accessibles sur le site de la CNIL), il soit cependant recommandé que les organismes privés chargés d’effectuer des missions de service public désignent un DPD.

En effet, dans ce cadre, les particuliers n’ont également pas le choix quant au traitement des données les concernant ou aux modalités de ce traitement et peuvent donc requérir la protection supplémentaire que peut apporter la désignation d’un DPD. En outre, les ESSMS publics étant soumis à cette obligation, il parait logique que les ESSMS privés, qui exécutent les mêmes prestations, s’y soumettent également.

En tout état de cause, lorsque la structure sociale manipulera des données sensibles, elle sera soumise à l’obligation de désigner un DPD en vertu du même article 37 (article 37, 1. c du RGPD).

 

Protection des données personnelles et logement social

Depuis de nombreuses années, la sensibilisation des organismes aux enjeux liés à la protection des données personnelles a fortement mobilisé les fédérations professionnelles et notamment l’Union Sociale pour l’Habitat. Cette dernière a notamment engagé un dialogue constructif avec la CNIL et les organismes bailleurs, donnant lieu à la publication d’un Pack de conformité « Logement Social » en avril 2014[1]. Cette mobilisation s’est poursuivie à l’occasion du RGPD.

La conformité est en effet aujourd’hui un élément essentiel de la bonne gouvernance d’un organisme de logement social. A ce sujet, Jean-Louis DUMONT, Président de l’USH précise « Le mouvement professionnel a une responsabilité vis-à-vis des locataires qui confient en toute confiance leurs données »[2]. De nombreux guides ont donc été élaborés et permettent aux organismes d’engager leurs démarches de mises en conformité.[3]

Dans les métiers de la gestion locative et de l’accompagnement social des locataires, mais également dans les métiers de l’accession sociale ainsi que, bien entendu, dans le fonctionnement quotidien des organismes dont notamment la gestion des ressources humaines, les bailleurs sociaux opèrent de nombreux traitements de données à caractère personnel.

Ces données présentent bien souvent un caractère sensible, ce qui peut paraitre évident lorsque l’on pense à l’enquête d’occupation du parc social (OPS) menée par tous les bailleurs ou tout simplement à la constitution des dossiers d’attributions, ce qui est plus difficile dans certains cas à conceptualiser pour le recueil des consommations énergétiques des logements ou l’organisation des opérations de réhabilitation.

Ainsi, dans bien des cas, le bailleur social et encore plus souvent ses prestataires, tel Monsieur Jourdain, découvrent-ils encore qu’ils procèdent à un traitement de données personnelles sans le savoir…

L’entrée en vigueur du RGPD constitue un enjeu fort pour les directions générales et nécessite, comme toute démarche de conformité, leur forte implication. En effet, les modifications de la loi applicable et notamment la disparition des formalités au profit d’une démarche de responsabilité (dénommée « accountability ») mais également la nécessité d’introduire les mesures de protection des données dès la conception du traitement (dénommée « privacy by design ») doivent amener les organismes à repenser leurs organisations. Le « RGPD » ne doit pas impliquer que les DSI, les contrôleurs internes ou les juristes, c’est une démarche d’organisation qui permettra aux organismes de poursuivre leurs démarches de transformation numérique dans le respect des droits de leurs locataires et salariés.

En conclusion, on rappellera, outre le risque d’image encouru, que le RGPD prévoit un net renforcement des sanctions pécuniaires pouvant être mises à la charge de l’organisme en cas d’absence de conformité et que la CNIL vient d’indiquer que les grandes thématiques de ses contrôles en 2018[4] seraient les traitements liés au recrutement ainsi que les pièces demandées aux demandeurs de logement.

[1] Cahier USH Repères n°1, octobre 2014 : Traitement des données à caractère personnel, mise en œuvre du pack conformité logement social de la CNIL

[2] Cahier USH n°41, Repères, octobre 2017 : Règlement européen relatif à la protection des données : impacts pour les organismes d’HLM

[3] Guide pratique d’accompagnement pour la protection des données personnelles à l’usage des coopératives HLM, juin 2018, Coops HLM ; Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, avril 2018, CNIL.

[4] https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle-strategie-de-controle-pour-2018

Protection des données personnelles et énergie

L’émergence des réseaux de distribution d‘énergie intelligents et le déploiement d’une nouvelle génération de compteurs communicants a obligé le secteur de l’énergie et, en particulier, celui de la distribution d’électricité, à se doter d’un cadre juridique spécifique relatif aux données personnelles. Ce cadre a été renforcé à la suite de l‘entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (RGPD). On s’intéressera au cas des données de comptage électriques pour illustrer la problématique.

  • Réseaux intelligents et données personnelles

La question de l’utilisation et de la protection des données est aujourd’hui un enjeu majeur en raison de l’augmentation exponentielle de ces données et de leur accessibilité à une multitude d’acteurs (fournisseurs, gestionnaires des réseaux, autorités organisatrices de la distribution d’énergie, bailleurs sociaux notamment).

Cette multiplication des données trouve son origine dans le développement des réseaux dits « intelligents » qui accompagne la transition énergétique[1] et dont les compteurs communicants sont la première brique. L’enjeu est de taille puisque déjà 7 millions de compteurs communicants (Linky), ont été installés et environ 35 millions de compteurs doivent être installés d’ici 2021.

Ces compteurs ont vocation in fine à inciter les utilisateurs des réseaux à limiter leur consommation pendant les périodes de consommation de pointe en mettant à leur disposition leurs données de comptage et à permettre aux fournisseurs de proposer à leurs clients des prix adaptés à leur consommation[2].

Ces compteurs permettent de déduire des informations sur la vie privée des consommateurs, tels que le nombre de personnes dans le foyer, les heures de lever et de coucher ou encore les périodes d’absences. De ce fait, plusieurs règles ont été posées pour préserver la confidentialité des données personnelles de consommation d’électricité. C’est la raison pour laquelle la CNIL avait indiqué que le déploiement de ces compteurs communicants « n’est pas sans risque sur la vie privée tant au regard du nombre et niveau de détail des données qu’ils permettent de collecter », le principal risque provenant de l’enregistrement de la courbe de charge.

  • La protection des données de consommation d’électricité : la courbe de charge

En 2012, la CNIL a émis des recommandations concernant le traitement des données personnelles de consommations d’énergie collectées par les compteurs communicants[3]. Puis, en 2017, deux décrets ont finalisé les modalités de mise à disposition des données personnelles de consommation à des fournisseurs ou à des tiers[4].

Les règles posées portent principalement sur le stockage et la transmission de la courbe de charge.

La courbe de charge d’électricité d’un usager est l’historique de sa consommation mesurée à une fréquence de temps donnée (le pas de temps peut être ou plus moins fin : 10 minutes, 30 minutes – par défaut – ou une heure)[5]. Cette courbe de charge permet d’établir un graphique permettant de constater aisément les périodes de fortes consommations. La courbe de charge, lorsqu’elle est enregistrée sur une période suffisamment longue (un an par exemple), sert en particulier à réaliser le bilan énergétique d’un logement ou à procéder à des simulations afin de comparer des offres tarifaires.

Le stockage de la courbe de charge dans le compteur lui-même est autorisé sans qu’il soit nécessaire de recueillir le consentement exprès de l’usager (les données sont relevées toutes les heures). L’usager peut toutefois faire jouer son droit d’opposition au stockage, à tout moment, c’est-à-dire en désactivant ce stockage et/ou en supprimant ces données.

Le consentement exprès de l’usager n’est requis que pour la remontée de la courbe de charge dans le système d’information du gestionnaire du réseau de distribution et pour sa transmission à des tiers (fournisseurs d’énergie par exemple) à des fins commerciales.

Lorsque l’usager donne son consentement au gestionnaire du réseau de distribution pour enregistrer sa courbe de charge, celui-ci enregistre par défaut les données de consommation journalières (consommation globale du foyer sur une journée – index quotidien) pour permettre à l’usager de consulter gratuitement l’historique de ses consommations. 

Ainsi, les éléments fins de consommation permettant de reconstituer la courbe de charge du consommateur ne sont transmis par le compteur au système central d’Enedis que si l’usager en fait explicitement la demande dès lors que chaque utilisateur des réseaux publics d’électricité a la libre disposition des données relatives à sa production ou à sa consommation, enregistrées par les dispositifs de comptage[6].

Actuellement, la fonctionnalité permettant au compteur Linky d’enregistrer la courbe de charge n’est pas opérationnelle. La Cour des comptes a ainsi relevé dans son récent rapport annuel que « si l’usager n’a pas demandé au préalable la transmission des informations de la courbe de charge au système central d’Enedis, il ne pourra pas disposer, avant un an, des informations nécessaires à un audit énergétique ou une comparaison des offres des fournisseurs. Il faut de plus noter que, lorsque la fonctionnalité d’enregistrement sera disponible, la mémoire des compteurs ne permettra d’enregistrer la consommation au pas horaire que sur une durée de quatre ou cinq mois et qu’Enedis n’a pas pris les dispositions pour augmenter cette capacité »[7].

  • La mise en œuvre du RGPD

Depuis le 26 mai 2018, les règles posées par le RGPD complètent ce cadre juridique. Et, à l’occasion d‘une mise en demeure prononcée deux mois plus tôt à l’encontre de la société Direct Energie (fournisseur d’énergie), la CNIL n’a pas manqué de rappeler les principes auxquels doivent se conformer les différents acteurs du monde de l’énergie

En effet, par une décision du 27 mars 2018, la CNIL a mis en demeure la société Direct Energie pour n’avoir pas respecté l’article 7 de la loi informatique et liberté du 6 janvier 1978 imposant un consentement libre, éclairé et spécifique pour le traitement des données personnelles.

La société procédait à la collecte des données de consommations quotidiennes et à la demi-heure sans l’accord de ses clients. Elle se contentait de demander à ses clients leur accord sur la mise en service du compteur (qui relève au demeurant de la gestion d’Enedis), et simultanément sur la collecte des données sans leur indiquer à quelle cadence ces données étaient recueillies. Cette collecte était présentée comme le corollaire de l’activation du compteur, permettant de bénéficier d’une « facturation au plus juste » alors même qu’aucune offre basée sur la consommation au pas de trente minutes n’existait[8].

La décision a ainsi entendu sanctionner, dans ce cas, le défaut de consentement quant à la collecte et au traitement des données personnelles. Les conditions de recueil du consentement, lequel doit être « libre, spécifique, éclairé et univoque », sont en effet au cœur de la nouvelle réglementation. L’affaire Direct Energie est éclairante sur ce point dès lors qu’il est patent que le consentement de l’usager n’avait pas été formulé correctement et qu’il avait été demandé pour deux objectifs différents (l’activation du compteur et la collecte des données).

La décision est également éclairante sur un autre principe du RGPD, celui qui impose que le traitement des données personnelles soit réalisé sur une base juridique que l’entreprise doit déterminer (consentement, exécution d’un contrat, intérêt légitime, etc.). En l’espèce, il est clair que Direct Energie n’avait pas besoin de collecter les données quotidiennes afin d’exécuter le contrat de fourniture qui le lie à son client (du moins en l’état de ses offres commerciales), contrairement à ce qui était avancé.

  • L’utilisation des données personnelles par les collectivités

On rappellera enfin que les autorités organisatrices de la distribution d’énergie (AODE), autorités concédantes, ont la faculté d’accéder à des données agrégées (donc anonymisées) de production et de consommations d’électricité sur un territoire donné.

En effet, le gestionnaire du réseau public de transport d’électricité, les gestionnaires de réseaux de transport de gaz, ainsi que les gestionnaires des réseaux publics de distribution d’électricité et de gaz sont expressément chargés par la loi de mettre à la disposition des personnes publiques, à partir des données issues de leur système de comptage, les données disponibles de transport, de consommation et de production d’électricité, de gaz naturel et de biogaz lorsque ces données s’avèrent utiles à l’exercice de leurs compétences (mission de contrôle de la concession par exemple) et à l’élaboration des documents de planification du territoire, en particulier pour l’élaboration et la mise en œuvre des plans climat-air-énergie territoriaux[9].

Ces données doivent dont être disponibles pour les collectivités autorités concédantes, pour les besoins de leur mission, ce qui exclut à notre sens tout usage commercial par ces mêmes collectivités.

[1] Loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte

[2] Directive 2009/72/CE du Parlement européen et du conseil du 13 juillet 2009 concernant les règles communes pour le marché intérieur de l’électricité transposée par la Loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité et décret 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d’électricité en application du IV de l’article 4 de la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité devenus respectivement les articles L. 341-4 et R. 341-4 du code de l’énergie

[3] Cf. Position de la CNIL du 30 novembre 2015 sur les compteurs communicants Linky et délibération n° 2012-404 du 15 novembre 2012.Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants.

[4] Décret n° 2017-948 du 10 mai 2017 relatif aux modalités de mise à disposition des consommateurs des données de consommation d’électricité et de gaz et Décret n° 2017-976 du 10 mai 2017 relatif aux modalités d’accès par les consommateurs aux données de consommation d’électricité ou de gaz naturel et à la mise à disposition de ces données par les fournisseurs 

[5] Cf. article D. 341-21 du code de l’énergie

[6] Cf. article R.341-5 du code de l’énergie

[7] Rapport public annuel public février 2018 – Cour des comptes

[8] Décision n°2018-007 du 5 mars 2018 – Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société Direct Energie

[9] Cf. Article L.2224-31 du CGCT

Protection des données personnelles et réseaux d’initiative publique

  • En quoi les acteurs des réseaux d’initiative publique peuvent-ils être concernés par le RGPD ?

Le RGPD ne réserve pas de sort particulier à la question des services de communications électroniques, ainsi que son article 95 le précise en les termes suivants : « le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications […] » .

Pour ce qui est donc des obligations spécifiques aux services de communications électroniques, il conviendra donc de faire une application combinée des dispositions applicables en matière de données personnelles ainsi qu’aux dispositions applicables au droit des communications électroniques (en particulier l’article L.34-adu COde des postes et des communications électroniques sur la collecte et la conservation des données de connexion pour les besoins de la recherches, de la constatation et de la poursuite des infractions pénales et les exigences de la loi HADOPI).

Les acteurs du monde des réseaux d’initiative publique (collectivités, groupements de collectivités, opérateurs délégataires de service public ou prestataires) pourront être amenés à traiter des données personnelles à plusieurs titres.

Il en va ainsi, s’agissant des réseaux FttH, lors du traitement des fichiers comportant les Informations Préalables Enrichies (fichiers IPE), des informations récoltées lors des prises de rendez-vous pour les opérations de raccordement final ou de pré-raccordement

Les collectivités territoriales et leurs groupements le seront a fortiori lorsqu’elles exploiteront les réseaux en régie (on peut en particulier au développement des réseaux WIFI publics)

Et à l’heure où les porteurs de projets de communications électroniques s’interrogent sur les usages qu’ils pourront en faire (e-administration, vidéoprotection, service de téléphonie mobiles), la question du traitement des données personnelles se pose avec plus d’acuité encore.

Enfin, bien sûr, les porteurs de projets pourront être amenés à traiter des données personnelles dans leur fonctionnement quotidien (au titre du traitement des données relatives à leurs agents, notamment).

  • Quelles précautions doivent être prises par les personnes publiques ?

Avant toute chose, selon ses missions (déploiement d’un réseau d’infrastructure, fourniture d’un service direct à des usagers finals dans le cadre d’un réseau ouvert, gestion d’un réseau indépendant dans le cadre d’un groupe fermé d’utilisateurs, développement d’usages…) et selon les outils juridiques qu’il utilise pour exercer ces missions (régie directe, convention de délégation de service public, marché public …), il appartiendra au porteur de projet de déterminer s’il intervient :

–    Comme responsable de traitement, c’est-à-dire, celui qui, collectant des données personnelles, doit déterminer « les finalités et les moyens du traitement » ;

–    Comme sous-traitant au sens du RGPD, c’est à dire la personne qui traite des données personnelles pour le compte du responsable de traitement ;

–    Comme simple destinataire de ces données.

Et quelle que soit sa fonction, il devra s’assurer, dans le cadre des contrats qu’il conclura ou dans le cadre d’avenants à ces contrats, que le partage des responsabilités entre ses cocontractants et lui sont parfaitement définies.

Enfin, chaque porteur de projet public devra désigner un Délégué à la Protection des Données personnelles (DPD ou DPO pour « Data Protection Officer) ».

Protection des données personnelles et mobilité

Le domaine des transports et de la mobilité n’échappe pas aux nouvelles exigences induites par la nouvelle réglementation européenne, et, en la matière, il semble que certaines problématiques soient particulièrement exposées à celles-ci.

  • La problématique du stationnement payant

En matière de stationnement payant sur voirie, les collectivités locales peuvent être conduites à recourir à de nouveaux téléservices impliquant la mise en œuvre de traitement de données personnelles. La CNIL a émis des recommandations en la matière, dont il faut relever qu’elles sont néanmoins antérieures à l’entrée en vigueur du RGPD (Recommandations du 14 novembre 2017). Toutefois, le renforcement des droits des personnes physiques concernées incite à une vigilance renforcée quant au respect de ces recommandations.

Ainsi, lors des contrôles préalables aux contrôles physiques réalisés par des agents assermentés des véhicules stationnés sur la voirie, réalisés par l’intermédiaire de véhicules (voitures ou scooters) équipés d’un dispositif de lecture automatisé des plaques d’immatriculation (dite LAPI), ne devraient être collectés que les numéros de plaque d’immatriculation ainsi que l’horodatage et la géolocalisation du véhicule : le champ de la prise de vue doit être limité à la plaque d’immatriculation. Par ailleurs, les données doivent être supprimées dès qu’il est établi que le véhicule est en règle, et, à défaut, dès lors que le contrôle par l’agent assermenté est réalisé et que la procédure de « FPS » (forfait de post-stationnement) est, le cas échéant, initiée.

Ces données anonymisées peuvent également être utilisées à des fins statistiques par l’observatoire du stationnement de la collectivité « dans des conditions appropriées à cet usage », précise la CNIL.

  • La problématique de la billettique

Par ailleurs, les applications billettiques et tickets/abonnements dématérialisés de transports se développent sur le territoire et impliquent la mise en œuvre de nombreux traitements de données à caractère personnel : identité, âge et situation professionnelle, mode et données de paiement, numéro et type d’abonnement, données de localisation, etc. La CNIL a déjà apporté d’importantes précisions sur les applications billettiques des transports publics dans une délibération du 28 avril 2011, lesquelles pourraient être adaptées au nouveau cadre du RGPD, par exemple pour intégrer le droit à la portabilité des données et à l’oubli.

En outre, dans le cadre d’enquêtes de satisfaction, les transporteurs et collectivités sont conduits à collecter des données personnelles (telles que les noms, prénoms et âges des usagers, leurs adresses mails, les lieux de point de départ et d’arrivée privilégiés de transport).

Les usagers devraient être informés de la finalité de cette collecte, laquelle pourrait être, par exemple, la réalisation d’études statistiques (si la finalité du traitement n’est pas initialement statistique mais que les données sont utilisées dans un second temps pour une telle finalité, le droit de l’Union précise que ce traitement « devrait être considéré comme une opération de traitement licite compatible » (Considérant 50 du RGPD)) ou l’amélioration du fonctionnement du réseau. Des garanties appropriées devraient être prévues par les Etats membres pour le traitement de données à caractère personnel à des fins statistiques (Considérant 156 du RGPD). Par ailleurs, il conviendra de s’assurer de la licéité de ces traitements, en le fondant expressément soit sur l’accomplissement de missions de service public soit sur l’expression univoque et éclairée du consentement des usagers à la collecte de leurs données à caractère personnel pour la finalité indiquée.

Enfin, les contrats liant les autorités organisatrices de la mobilité à leurs opérateurs devront être soigneusement analysés et faire l’objet d’avenants précis, en fonction de la qualification retenue du cocontractant, qui pourra alternativement se trouver être un responsable de traitement, un sous-traitant ou un destinataire tiers.

Protection des données personnelles et droit social

Avec le RGPD, l’Union européenne a voulu donner au citoyen un droit de regard sur la collecte de ses données à caractères personnelles.

Ce citoyen, en tant que salarié, doit également voir ses droits protégés dans sa relation de travail. Ainsi, l’employeur, en tant que collecteur d’informations personnelles, a de nouvelles obligations issues du RGPD.

Plusieurs actions s’imposent à l’employeur pour assurer sa mise en conformité.   

 Désigner un « délégué à la protection des données » (DPD)

La désignation d’un DPD est obligatoire pour les organismes publics et les entreprises dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, à  traiter de données sensibles ou relatives à des condamnations pénales et infractions.

Toutefois, même si la désignation d’un DPD n’est pas formellement obligatoire pour toutes les entreprises, la complexité technique du traitement des données et l’étendue des obligations rend la désignation du DPD plus qu’opportune.

L’étendue des attributions du DPD fait de lui le « chef d’orchestre » de la conformité de l’entreprise au RGPD. Il aura notamment pour mission d’apporter ses expertises techniques et juridiques sur les mesures de sécurité adéquates à mettre en place. Il sera surtout l’interlocuteur privilégié des salariés et de la CNIL pour toutes les questions relatives aux données personnelles.

Il convient de précision que le « DPD » peut être désigné en interne parmi les salariés de l’entreprise ou en externe, via un prestataire extérieur (avocat, conseil ou prestataire spécialisé).

Il est conseillé de désigner une personne dédiée exclusivement à cette tâche pour éviter notamment la notion de conflit d’intérêts, ou la mise à mal de son indépendance dans le cadre de la relation employé/employeur. Par ailleurs, il est fortement conseillé aux entreprises de faire réaliser un audit par des professionnels du droit et de la sécurité informatique afin d’éviter toute difficulté liées à la mise en œuvre et au contrôle du traitement des données.

 Etablir un registre des activités de traitement

Le RGPD prévoit l’obligation pour les entreprises de plus de 250 salariés de tenir un registre des traitements de données qui devra être mis à disposition de l’autorité administrative compétente.

L’objectif est d’identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données. A titre d’illustrations en ce qui concerne la gestion des ressources humaines, le recrutement, la gestion de paie, la formation, les déclarations sociales, etc, sont des activités qui engendrent la collecte d’informations personnelles.

Le registre devra répertorier l’ensemble des traitements relatifs aux ressources humaines, en déterminer la finalité et prévoir les mesures de sécurité adéquates. À cette fin, il devra notamment contenir :

  • les noms et coordonnées des responsables du traitement et des sous-traitants ;
  • les personnes concernées par le traitement et les données traitées ;
  • les mesures de sécurité techniques et organisationnelles mises en place.

L’élaboration et l’actualisation du registre peuvent paraître lourdes. Cependant ce document permet d’organiser de façon structurée les modalités du traitement des données des employés et facilite l’exercice de leurs droits à modifier, rectifier ou supprimer tout ou partie de leurs données personnelles. Dans ce contexte, même si cette obligation n’est en principe valable que pour les entreprises de plus de 250 salariés, elle est vivement conseillée pour toutes les entreprises en ce qu’elle permet de  garantir la sécurité des données collectées.

  Informer et dans certains cas obtenir le consentement préalable des salariés (et candidats)

Concrètement, les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise. Cette information peut se faire sur plusieurs supports tels que le règlement Intérieur de l’entreprise ou encore le contrat de travail et contient, de manière non exhaustive :

  • les modalités du traitement et ses finalités ;
  • un rappel des droits de l’employé sur ses données ;
  • si les données peuvent faire l’objet d’un transfert à une autre entité juridique (au sein d’un Groupe d’entreprises par exemple).

Il faut souligner que la collecte de certaines données (photographie du salarié par exemple) imposera l’obtention du consentement préalable de l’employé concerné. Plus particulièrement, ce consentement devra être recueilli de façon explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher.

 Ne collecter que des données personnelles nécessaires

Si l’employeur est amené à traiter un nombre important de données personnelles, il doit pour autant, ne traiter que les données nécessaires à l’objectif pour lequel il traite ces données.

Par exemple, lors de la phase de recrutement d’un employé, les données collectées devront être limitées à celles strictement nécessaires à l’évaluation des capacités du candidat à occuper le poste proposé. Par conséquent, les formulaires de candidature ne peuvent imposer la divulgation de la situation matrimoniale d’un candidat ou l’étendue de sa paternité/maternité.

Des modalités particulières sont par ailleurs prévues pour les emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas, l’employeur a l’interdiction de conserver ledit extrait ou des notes relatives à celui-ci.

 Garantir la sécurité et la confidentialité des données personnelles collectées

Les entreprises devront prendre toutes les mesures techniques et organisationnelles pour assurer la confidentialité des données à caractère personnel et éviter toute divulgation à des tiers non autorisés.

Concernant les mesures organisationnelles, on peut citer la désignation d’un DPD, le contrôle de l’accès aux locaux hébergeant les serveurs, l’adoption d’une charte ou encore la mise en œuvre de procédures spécifiques à l’identification des nouveaux traitements, etc.

S’agissant des mesures techniques pouvant être mises en œuvres, cela peut être les mises à jour des antivirus et logiciels, changement régulier des mots de passe, chiffrement des données dans certaines situations, etc.

En outre, désormais toute faille de sécurité devra être signalée dans un délai de 72 heures à l’autorité de contrôle compétente (la Cnil en France) ainsi qu’à l’employé concerné. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Le RGPD crée également de nouveaux droits comme le droit à la portabilité des données personnelles ou le droit à l’oubli. Tout employé pourra saisir son service RH (ou la personne désignée) pour exercer les droits qu’il détient sur ses données personnelles. Sa demande devra être suivie d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.

L’employeur doit donc mesurer la problématique du stockage de ces données puisqu’il devra connaître leur emplacement exact afin de répondre efficacement aux demandes des employés.

 

 Respecter la durée de conservation des données personnelles des salariés (et candidats)

Le RGPD rappelle que les données personnelles des salariés ne peuvent être conservées que pour la durée nécessaire :

  • à l’exécution de leur contrat de travail ;
  • et/ou au respect d’obligations légales (fiscales par exemple) ;
  • et/ou à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.

À titre d’illustrations, les données collectées sur un candidat non retenu à l’embauche doivent être effacées deux ans après le dernier contact et les données personnelles d’un salarié relatives à la paie ne peuvent être conservées au-delà de cinq ans.

 

 

La mise en conformité au RGPD : Un enjeu majeur pour l’ensemble des acteurs publics et de l’économie sociale et solidaire

Près de 4 mois après l’entrée en vigueur du Règlement Général de la Protection des Données (RGPD), le Cabinet SEBAN & Associés a souhaité dresser un premier état des lieux de la récente réforme de la protection des données à caractère personnel, trop souvent présentée comme une rupture brutale anxiogène là où elle correspond bien davantage à un changement de paradigme porteur d’opportunités et conduit à s’inscrire dans la durée.

L’ambition de cette Lettre d’Actualité juridique dédiée aux enjeux de la mise en conformité des acteurs publics sera dès lors de proposer une présentation dynamique des principales évolutions issues de ce cadre juridique renouvelé (I), de partager quelques conseils pratiques et opérationnels de mise en conformité issus de nos retours d’expérience (II), puis, au moyen de brèves rédigées par les différents secteurs du Cabinet de révéler la multiplicité des situations impactées (III).

I-             Ce que le RGPD a vraiment bouleversé

Parce que l’entrée en vigueur du RGPD a incontestablement ouvert un besoin nouveau pour un grand nombre d’acteurs, certains n’ont pas hésité à se revendiquer spécialistes de la matière, faisant montre de grandes approximations et ajoutant malheureusement à la confusion du discours ambiant.

C’est pourquoi quelques petites clarifications s’imposent aux fins d’appréhender cette réforme dans sa juste proportion.

L’entrée en vigueur du RGPD n’est, tout d’abord, pas un cataclysme juridique en France, puisque, dans notre droit national, les données à caractère personnel étaient protégées depuis plus de 40 ans (loi CNIL n°78/17 du 6 janvier 1978) et que les règles d’or conditionnant la régularité d’un traitement (article 5 et 6 du RGPD) demeurent très largement inchangées.

De même, le consentement ne devient pas une condition obligatoire de régularité d’un traitement de données à caractère personnel. Le consentement demeure, en effet, uniquement, l’une des bases juridiques susceptible de fonder un traitement (article 6 du RGPD) et, s’agissant des acteurs publics, le recours au consentement des personnes concernées pour fonder un traitement est extrêmement résiduel et a vocation à le rester sous l’égide du RGPD. Il doit donc être retenu que le RGPD n’a pas étendu le champ des traitements fondé sur le consentement mais a uniquement durci les conditions de son recueil (à partir d’une information suffisante et via un acte positif clair, notamment).

Enfin, les acteurs publics qui ne sont pas en conformité avec les nouvelles obligations issues du RGPD depuis le 25 mai 2018 ne vont pas se voir infliger immédiatement une amende financière pouvant atteindre 20 millions d’euros. Si, en dépit des tentatives du Sénat, le législateur a décidé de ne pas exonérer les collectivités territoriales (contrairement à l’Etat) au prononcé de sanctions financières à leur encontre, il n’en demeure pas moins que la CNIL a d’ores et déjà indiqué qu’elle ferait preuve de clémence, dans un premier temps, s’agissant des obligations nouvelles issues du RGPD. N’ayant, à ce jour, pas elle-même satisfait à l’ensemble de ses propres obligations (publication de la liste des traitements soumis à analyse d’impact, diffusion de référentiels, etc.), la CNIL ne saurait raisonnablement reprocher aux acteurs publics de ne pas être, à ce jour, parfaitement en conformité avec la nouvelle logique portée par le RGPD. En revanche, la CNIL a d’ores et déjà prévenu qu’elle renforcerait très largement son contrôle quant au respect des règles préexistantes issues de la loi CNIL, et n’hésiterait pas à sanctionner les organismes qui les méconnaîtraient. L’urgence est dès lors la vérification du respect de ces règles vieilles de 40 ans, à laquelle, il faut l’admettre, il n’était pas toujours porté une attention suffisante. Et c’est d’ailleurs, là, à notre sens, que se situe le principal changement !

En réalité, en effet, les plus grandes évolutions liées à l’entrée en vigueur du RGPD procèdent surtout de la prise de conscience généralisée qui a accompagné son entrée en vigueur et de la logique de responsabilisation et de vigilance permanente portée par ce texte.

De sorte que c’est bien ce changement de paradigme qui constitue le principal bouleversement, dont les acteurs publics doivent prendre la mesure, lequel se matérialise à travers les trois nouvelles obligations concrètes suivantes.

– Les acteurs publics seront tout d’abord désormais tenus de désigner un délégué à la protection des données. L’article 37 du RGPD prévoit, en effet, désormais expressément que toutes les autorités et tous les organismes publics, sans aucune exception, sont tenus de désigner un délégué à la protection des données. Alors que, jusqu’à présent, seules 2% des communes, la moitié des EPCI et des départements et 2/3 des régions avaient désigné un correspondant informatique et liberté (CIL), le RGPD impose désormais la généralisation obligatoire de ces désignations, autorisant toutefois la possibilité d’avoir recours à un délégué à la protection des données externe et / ou mutualisé. Dans ses lignes directrices consacrées à ce nouvel acteur, le G29 (regroupement de toutes les CNIL européennes) recommande d’ailleurs largement, au-delà, que les personnes privées exerçant une mission de service public dans des conditions comparables à celles des personnes publiques se dotent également d’un délégué à la protection des données. Eu égard aux garanties d’indépendance et de compétence que se doit de revêtir ce délégué à la protection des données, les enjeux entourant sa désignation ne sont pas neutres et doivent être attentivement considérés. Beaucoup de la réussite et des perspectives positives dressées par le processus de mise en conformité dont il aura la charge dépendra des qualités techniques et humaines de ce délégué à la protection des données.

– Ce dernier aura en effet comme principale mission nouvelle d’établir un registre des traitements, lequel devra permettre d’attester de la parfaite conformité de l’organisme au RGPD. Pour ce faire, il lui appartiendra de procéder au recensement de l’ensemble des traitements ayant fait l’objet ou non de formalités préalables auprès de la CNIL déployés au sein de l’organisme et de faire un audit général des mesures de sécurité mises en œuvre pour en garantir la parfaite sécurité. Un travail de dentelle devra dès lors être opéré au sein de chaque service pour déceler l’ensemble des traitements existants et les conditions précises de leur exécution. S’en suivra très probablement l’impulsion de nouvelles méthodes de travail, lesquelles devront être amenées habilement pour être acceptées et appliquées par tous.

– Ce délégué aura ensuite une mission plus particulièrement juridique relative à la mise en conformité de l’ensemble des contrats liant son organisme dont l’exécution pourrait donner lieu à un traitement de données à caractère personnel. L’une des évolutions les plus sensibles du RGPD tient en effet à la responsabilisation des sous-traitants, laquelle implique cependant des nouvelles obligations, en termes de contractualisation, pour clarifier précisément les responsabilités de chaque entité s’agissant de la mise en œuvre d’un traitement de données à caractère personnel. Pour les acteurs publics, cette évolution est dès lors particulièrement bénéfique en ce qu’elle va contraindre leurs cocontractants à se préoccuper davantage de ces enjeux et à leur proposer des outils intégrant, par eux-mêmes, les enjeux de protection des données à caractère personnel (conforme au nouveau principe « Privacy by design »). Cependant, dans un premier temps, cela va les contraindre à un effort complémentaire dans la rédaction de leurs contrats. La parfaite maîtrise de la réglementation est d’ailleurs, à ce titre, essentielle, puisqu’il est constant qu’elle est sujette à interprétation et que dans le cadre d’une renégociation contractuelle, chacun tentera de faire valoir ses propres intérêts et de minimiser ses responsabilités.

II-            Quelques conseils pratiques pour contenir l’effort de mise en conformité et en saisir toutes les opportunités

Les premiers retours d’expérience sur les mises en conformité au RGPD permettent aujourd’hui de dégager plusieurs règles de conduite garantes d’une perception positive de ce nouvel effort à engager pour les acteurs publics.

Nul besoin de préciser que la conviction de l’utilité d’une réforme conditionne pour beaucoup la réussite de son déploiement.

A cet effet et en plus d’être en capacité de faire preuve de beaucoup d’enthousiasme dans la mise en œuvre d’une nouvelle réglementation représentant un enjeu de libertés fondamentales certain et porteuse, à bien des égards, de débats idéologiques passionnants, le processus de mise en conformité doit être engagé, en application des trois principes directeurs suivants.

– Le respect d’une méthodologie rigoureuse. Le premier conseil qui nous semble devoir être présenté, s’agissant de ce processus de mise en conformité, consiste dans le suivi d’une méthodologie rigoureuse, établie dans l’objet de minimiser autant que possible les efforts nécessités. Outre le déroulé proposé par la CNIL en 6 étapes (disponible sur son site internet), il nous semble, à cet effet, particulièrement opportun de penser le travail d’audit directement dans le souci de la documentation de la conformité attendue ultérieurement et, par suite, via l’établissement concomitante d’un pré-registre et d’un référentiel de sécurité. En tout état de cause et pour éviter à la fois les risques de dispersion et d’épuisement, la définition d’une méthodologie au lancement du processus de mise en conformité et son suivi rigoureux constitue un gage notoire d’efficacité.

– La priorisation des actions. La seconde recommandation qui mérite opportunément d’être respectée consiste en la capacité de définir des actions à mener prioritairement à d’autres.

Condition d’une répartition des efforts équilibrée, une telle priorisation sera aussi, en effet, la garantie d’une limitation des risques de sanction de la CNIL. Plus précisément, trois types de priorisation devront être respectés et idéalement conciliés :

  • Une priorité selon le risque, qui consiste à prioriser selon les sanctions effectives encourues. A ce titre et parce que la CNIL a annoncé qu’elle sanctionnerait en premier lieu les atteintes aux principes de la réglementation relative à la protection des données antérieurs au RGPD, il devra être effectué ce travail de vérification liminaire de la conformité de l’organisme aux règles qui préexistaient à l’entrée en vigueur du RGPD. Conformément à ce critère de priorité, il sera également décidé d’accorder une attention particulière aux demandes des personnes concernées relatives à l’un des droits consacrés par cette réglementation afin de limiter les risques de plainte potentielle desdits administrés auprès de la CNIL. Il est entendu, en effet, que plus la CNIL recevra de plaintes à l’égard d’un organisme, plus elle sera tenté de le contrôler.
  • Une priorité selon les enjeux, qui consiste, notamment, à procéder prioritairement à la révision des contrats présentant un enjeu important, en termes de responsabilité pour le pouvoir adjudicateur. Dit autrement, il s’agit de modifier, en premier lieu, les contrats portant sur les traitements de données à caractère personnel les plus risqués (parce qu’ils portent sur des données sensibles ou parce les opérations qu’ils concernent sont en tant que telle risquées).
  • Une priorité selon l’effort de mise en conformité requis, consistant, enfin, à prioriser les actions de mise en conformité rapides et visibles pour être en mesure de démontrer immédiatement un engagement réel dans la mise en conformité au RGPD.

– La mise à profit du travail d’introspection. La dernière préconisation pratique qu’il convient de considérer, bien qu’elle ne soit pas la plus aisée à mettre en œuvre, a trait à la mise à profit du processus de mise en conformité au RGPD, dans les autres missions et activités de l’organisme.

Au-delà de la réduction des informations traitées, de l’optimisation de l’usage de ces données et d’une plus grande fluidité des échanges entre les différents intervenants d’un traitement, que devra en tout état de cause permettre le déploiement effectif de cette mise en conformité, l’objet serait ainsi notamment de se servir de ce travail d’introspection pour permettre à l’organisme de respecter par exemple ses obligations en matière d’open data, d’effectuer une réforme de la gouvernance d’un organisme ou encore de faire de la meilleure transparence et de la rénovation de l’utilisation des données un véritable engagement politique.

*

Dans un tel contexte de mutation, le Cabinet SEBAN & Associés, fidèle à son engagement en faveur des acteurs publics et para-publics locaux, s’est doté de moyens importants pour accompagner sa clientèle dans la mise en conformité de leurs pratiques à l’égard de ce nouveau cadre de protection des données personnelles. Il apparaît de façon particulièrement évidente qu’une juste et saine application de ces textes suppose une connaissance fine de l’univers de l’organisation concernée et qu’une approche « métier », secteur d’activité par secteur d’activité, permet seule de cerner les enjeux et de proposer des solutions adaptées et praticables.

Dans les brèves qui suivront, qui n’ont aucunement la prétention de l’exhaustivité, les différents référents du Cabinet, qui ont vocation à soutenir ponctuellement l’activité de l’équipe dédiée au droit des données, exposent synthétiquement les différents enjeux identifiés dans leur champ de compétence, permettant de prendre conscience de la diversité et de la transversalité des questionnements induits par l’application du nouveau cadre juridique.

Protection des données personnelles et construction (l’exemple du BIM)

Une mise en relation des principes issus du RGPD et du développement du BIM (Building Information Modeling) dans le secteur du BTP et ses impacts juridiques sur les acteurs publics de la construction s’avère indispensable.

En effet, rappelons que le BIM peut être défini comme un processus collaboratif permettant aux différents intervenants à une opération de construction de partager, à tous les stades du projet, les informations relatives à la conception, l’exécution et l’exploitation d’un bâtiment. Ce travail collaboratif s’effectue notamment autour d’une maquette numérique accessible à l’ensemble des intervenants.

Plusieurs niveaux, classés de 0 à 3, déterminent le degré d’interaction numérique de ce processus collaboratif.

A ce jour, le cadre juridique du BIM n’est pas défini, y compris en droit de la commande publique, alors même que l’ordonnance n° 2015-899 du 23 juillet 2015 et son décret n° 2016-360 du 25 mars 2016, pris en application de la directive européenne 2014/24/UE, prévoient la possibilité pour les maîtres d’ouvrage d’exiger la réalisation du projet en mode BIM de leur prestataire (article 42 du décret du 25 mars 2016).

Dans ces conditions, le contrat demeure pour le moment la loi des parties.

Or, le BIM impliquant une mise en commun de données, surtout dans le cas d’une collaboration élevée entre les intervenants (niveaux 2 et 3), des difficultés liées à la facilité d’exportation de ces données peuvent survenir.

Ainsi, dans la mesure où la mise en place du BIM peut appeler à la fois une collecte de données professionnelles et personnelles, la question de l’application du RGPD à un projet numérisé se pose nécessairement.

A noter que la suppression du régime déclaratif auprès de la CNIL des données personnelles est bénéfique dans le cadre du BIM car le contenu de ces données ne pourra être connu qu’au fur et à mesure de l’avancement du projet et non aux prémices de son développement.

Pour autant, la nouvelle logique de responsabilisation implique de s’interroger sur la désignation du délégué à la protection des données (DPD) au sein d’un projet de construction numérisé : celui-ci sera-t-il le BIM Manager (chargé de veiller au respect des normes techniques et environnementales) ? Le maître d’œuvre ? Ou le maître d’ouvrage public ?

Dans ce dernier cas, les acteurs publics devront veiller à intégrer les données personnelles éventuellement collectées au sein d’un projet de construction numérisé au système de traitement choisi : externalisation par le biais d’un prestataire de services dans le cadre de la sous-traitance du RGPD ou collecte interne.

S’agissant de la sous-traitance, il doit être précisé que cette notion au sens du RGPD ne doit pas être confondue avec celle de sous-traitant au sens de la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance.

En effet, la loi de 1975 définit la sous-traitance comme étant une opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître d’ouvrage (article 1er).

Pour le RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4 du RGPD).

Ainsi, les titulaires de marchés publics peuvent, alors qu’ils sont considérés comme entrepreneurs vis-à-vis des acheteurs publics au regard de la loi de 1975, être considérés comme des sous-traitants vis-à-vis de l’acheteur public au regard du RGPD dans le cadre de l’exécution du marché public.

A noter également que la désignation du maître d’ouvrage public en qualité de BIM Manager et de délégué à la protection des données doit faire l’objet d’une vigilance particulière au titre des risques d’immixtion du maître d’ouvrage public dans la gestion du projet qui peut être qualifiée de fautive.

En conclusion, si l’entrée en vigueur du RGPD implique une responsabilisation généralisée des acteurs publics, tous domaines confondus, le BIM, outil numérique encore peu encadré, doit désormais attirer d’autant plus l’attention des maîtres d’ouvrage publics qui souhaitent y recourir s’agissant de la collecte de données personnelles.

Protection des données personnelles et droit des sociétés

Le RGPD substitue au régime de formalités préalables prévu par la loi informatique et libertés du 6 janvier 1978, un système fondé sur la responsabilité des acteurs qui devront démontrer la conformité de leurs traitements à ce règlement à tout moment.

Les entreprises traitant les données personnelles de leurs clients sont particulièrement impactées par ce nouveau corpus dans la mesure où il crée un certain nombre d’obligations nouvelles, tendant notamment à la tenue de registres ou à l’analyse d’impact.

  • Une vigilance accrue en matière de contrats commerciaux

Il convient de noter que, précédemment, le non-respect d’une disposition de la loi informatique et libertés pouvait entrainer la nullité du contrat.

En effet, un arrêt de la chambre commerciale de la Cour de cassation (Cass. com 25 juin 2013, n°12-17037), au visa des articles 1128 du Code civil et 22 de la loi informatique et liberté, a prononcé la nullité de la cession d’un fichier de clientèle non déclaré à la CNIL pour illicéité de l’objet.

Cette jurisprudence a depuis été consacrée puisque « un fichier client non déclaré à la CNIL est hors commerce et ne peut faire l’objet d’une disposition contractuelle » (CA Bordeaux, Civ. 1, 16 janv. 2017).

Cette position devrait continuer à s’appliquer.

En effet, le RGPD renforce encore davantage les obligations des parties à un contrat informatique.

On entend par là les contrats d’hébergement, de maintenance, de cloud computing, ou tout contrat ayant pour objet le traitement de données personnelles passé entre deux professionnels.

L’hébergeur a donc à charge de protéger la preuve de sa transmission de tous documents, procédures, guides et chartes qu’il remet à son futur partenaire lors des négociations, afin d’assurer qu’il sera en mesure de respecter les nouvelles obligations européennes.

Les parties sont alors incitées à discuter de manière approfondie de leurs politiques respectives de protection des données à caractère personnel avant de conclure un contrat.

Par ailleurs, selon le RGPD, les parties à un contrat peuvent prendre la qualité de responsable du traitement, de coresponsable de traitement, de sous-traitant, voire de tiers destinataire.

Dès lors, la qualité de chaque partie aura un impact sur les obligations qu’elle porte, et sur la forme du contrat. Toutes les entreprises sont donc aujourd’hui amenées à revoir les contrats qu’elles ont passés. Il s’agit pour elles d’une opération minutieuse mais essentielle, pour se mettre en conformité avec la nouvelle réglementation.

  • Une nouvelle organisation du traitement des données personnelles

Le RGPD va conduire les entreprises à réorganiser leurs services traitant des données personnelles afin de se conformer aux nouvelles obligations qui leur sont imposées.

Ainsi, on peut observer que les entreprises sont dorénavant conduites à renforcer :

–    L’obligation de protéger toutes leurs données : le niveau de cette exigence dépend du type de données que les entreprises collectent, l’usage qu’elles en font ou, tout simplement, leur taille. Ainsi, les entreprises de plus de 250 salariés ont l’obligation de tenir un registre recensant l’ensemble des traitements effectués dans le cadre de leur activité. Il en est de même des entreprises qui traitent des données sensibles ou susceptible de présenter un risque pour les personnes concernées, ou encore qui font du suivi comportemental à grande échelle, ou encore dont le cœur d’activité nécessite des traitements récurrents. Concrètement, peu d’entreprises devraient échapper à cette obligation.

–    L’obligation de mettre à jour systématiquement ces données : L’objectif est de « limiter la quantité de données traitées dès le départ ». Cela implique pour les entreprises de bien cerner les données dont elles ont réellement besoin, et de définir les moyens pour les protéger.

–    L’information des clients et salariés : Il s’agit aussi d’informer les clients, salariés ou sous-traitants des données récoltées et de leur préciser dans quel but, ainsi que de tous les outils mis en place pour garantir leurs droits.

–    Le contrôle des données en procédant à la nomination d’un délégué à la protection des données (DPD) : Les entreprises peuvent être soumises à l’obligation de nommer en leur sein ou en externe un DPD, selon qu’elles gèrent ou non des traitements de données à grande échelle ou de nature sensible. Quoi qu’il en soit, il est fortement encouragé de nommer, à tout le moins, au sein de l’entreprise, un référent données personnelles qui sera particulièrement sensibilisé à ces sujets, afin de veiller à la pleine conformité permanente au cadre légal de la gestion des données personnelles par l’organisation.

D’éventuels manquements aux règles du RGPD exposeront à des sanctions pouvant aller jusque 20 millions d’euros ou 4% de leur chiffre d’affaires global (le chiffre le plus important étant retenu).

Protection des données personnelles et copropriété

Les nouvelles règles d’utilisation et de diffusion des données personnelles issues du RGPD visent principalement à renforcer les droits des personnes physiques et à responsabiliser les acteurs traitant des données.  

Elles ont donc vocation à s’appliquer à toutes personnes physiques ou morales (administration, société, association, etc.) détenant et traitant des données à caractère personnel.

Or, les syndics de copropriété gèrent au quotidien des données à caractère personnel (données comptables, financières et techniques, tenue d’une liste à jour des copropriétaires, immatriculation de la copropriété, etc.).

Ils sont donc concernés par le RGPD et doivent par conséquent se conformer aux exigences imposées par ce règlement.

  • Avant d’identifier le traitement à mettre en place pour se conformer au RGPD, chaque structure de syndic doit procéder à un audit interne de toutes les catégories de données matérielles et immatérielles dont elle a la gestion, afin de faire la part entre les diverses informations traitées ainsi que l’objet de chacune des opérations effectuées. Cet audit doit également concerner la destination de chaque information détenue ou échangée, son lieu d’hébergement (virtuel ou matériel), identifier la durée de conservation des informations concernées.

C’est grâce à cet état des lieux que pourra être sereinement envisagé la mise en place d’un traitement documenté, suivi et approprié des données, nécessaire à la mise en conformité avec les exigences du RGPD.

  • Conformément au b) du 1 de l’article 37 du règlement, le responsable du traitement, en l’occurrence le syndic, devra en tout état de cause désigner un délégué à la protection des données (qui peut être interne ou externe à l’entreprise), son activité consistant en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (aucune précision n’étant donnée sur le volume des dossiers traités, il convient pour le syndic de se conformer à cette exigence dès lors qu’il gère un nombre significatif de dossiers, ce qui a priori est toujours le cas).

 

  • L’article 30 du règlement exige que chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. L’exigence s’imposera aux structures de syndic en tant qu’elles mettent régulièrement en œuvre de tels traitements.

Protection des données personnelles et sanctions pénales

Depuis le 25 mai 2018, le règlement européen sur la protection des données (RGPD) a introduit de nouvelles règles d’utilisation et de diffusion des données personnelles concernant l’ensemble des personnes physiques et morales ayant vocation à détenir et traiter des données à caractère personnel.

Outre les sanctions administratives alourdies prévues par le RGPD, celui-ci impose aux Etats de prévoir des sanctions autres qu’administratives ; rappelons en effet qu’aux termes de l’article 84 1° du RGPD :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives ».

En droit pénal français ces infractions existaient déjà et se trouvaient notamment :

  • Au Livre II, Titre II, chapitre VI, section 5 de la partie législative code pénal «les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » ;
  • Aux articles R. 625-10 à R. 625-13 du code pénal.

Ainsi sont punis d’une peine maximum de 5 ans d’emprisonnement et d’une amende pouvant aller jusqu’à 300.000 euros, le fait par les personnes responsables du traitement de :

  • procéder à celui-ci sans respecter des formalités préalables à leur mise en œuvre par la loi (articles 226-16 du Code pénal) ;
  • détourner la finalité des données personnelles (article 226-21 du Code pénal) ;
  • procéder à ce traitement en violation de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité (articles 226-17 et 226-17-1 du Code pénal) ;
  • collecter de données par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) ;
  • procéder à un traitement de données concernant une personne malgré son refus, lorsque ce traitement est fait à des fins de prospection ou lorsque cette opposition est fondée sur des motifs légitimes (articles 226-18-1 du Code pénal) ;
  • mettre ou conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci (articles 226-19 du Code pénal) ;
  • procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et Libertés (article 226-22-1 du Code pénal).

Par ailleurs, l’absence d’information des personnes concernées par le traitement et le non-respect de leurs droits peuvent faire encourir au responsable du traitement une peine pouvant aller jusqu’à 1.500 euros par infraction constatée (article R. 625-10 et suivants du Code pénal).

Rappelons enfin que le cumul des sanctions administratives et pénales étant possible, l’article 47 de Loi 78-17 du 6 janvier 1978 modifiée dispose que lorsque la formation restreinte de la CNIL a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.

Notre engagement pour la protection des données personnelles

Depuis l’entrée en vigueur du RGPD, le Cabinet SEBAN & Associés souhaite être exemplaire dans sa conformité à ce Règlement, tant vis-à-vis de ses clients que de ses collaborateurs et salariés, les avocats y ont été particulièrement sensibilisés.

A cet effet, plusieurs actions ont été mises en œuvre grâce au travail conjoint du Secrétariat général et des avocats du secteur RGPD : modification des clauses insérées dans les conventions d’honoraires, contrats de collaboration, contrats de travail et différents courriers ; modifications des mentions légales de nos sites Internet (le site institutionnel et e-seb@n.fr) et création d’un registre des activités de traitement.

Le Cabinet SEBAN & Associés veille à ne collecter et ne traiter que des données strictement nécessaires au regard de la finalité pour laquelle elles sont traitées. Les traitements mis en œuvre par le Cabinet SEBAN & Associés répondent à une finalité explicite, légitime et déterminée. Les destinataires des données à caractère personnel collectées sont les avocats et le personnel administratif du Cabinet, lesquels sont soumis à un strict devoir de confidentialité. Les données sont conservées pour la durée nécessaire aux actions pour lesquelles elles ont été collectées (exécution d’un marché ; gestion d’un contentieux ; recrutement d’un salarié ; etc.).

Par ailleurs, le Cabinet SEBAN & Associés assure la sécurité des données à caractère personnel en mettant en place une protection des données renforcée par l’utilisation de moyens de sécurisation : sécurisation des locaux et des serveurs ; accès par mot de passe aux sessions informatiques, etc. Toutes ces modalités sont précisées dans le Registre des activités de traitement du Cabinet.

Toutes les équipes du Cabinet SEBAN & Associés sont mobilisées, outre la création d’un secteur dédié, des référents ont été désignés pour chacun des secteurs d’activité garantissant ainsi à nos clients l’assistance adéquate dans leurs problématiques liées à ces nouvelles exigences.

La saga TEOM se poursuit devant le Conseil d’Etat

Le Conseil d’Etat poursuit son œuvre prétorienne dans le cadre de son contrôle sur la proportionnalité des taux de taxe d’enlèvement des ordures ménagères (TEOM) fixés par les collectivités compétentes.

Par une décision rendue en mars 2014 (CE, 31 mars 2014, Société Auchan, req. n° 368111), le Conseil d’Etat a jugé que la TEOM devait financer sans excédent manifeste (pas plus de 15%) le coût du service public de gestion des déchets. La pratique révélait souvent, en effet, un vote des taux en excédent pour permettre un financement supplémentaire vers le budget général de la collectivité.

Depuis cet arrêt, les difficultés ont commencé, et s’accentuent encore aujourd’hui, pour les collectivités territoriales en charge de ce service public. En effet, de plus en plus de contribuables (entreprises, associations de contribuables, élus de l’opposition) introduisent des recours, soit directement à l’encontre de la délibération fixant le ou les taux de TEOM sur le territoire de la collectivité, soit, le plus souvent, à l’encontre du titre de recettes émis par le Direction des finances publiques compétentes (la TEOM étant recouvrée en même temps que les autres impôts locaux).

Dans chacun de ces cas, il appartient à la collectivité de démontrer qu’au jour de l’adoption des taux, il n’existait pas de disproportion manifeste entre les recettes prévisionnelles qui découleront de l’application des taux votés et le cout réel du service. Mais il est délicat de se prêter à ce calcul, dans la mesure où les juridictions pouvaient révéler des divergences quant aux modalités de ce calcul.

D’abord, le Conseil d’Etat a considéré que seules les dépenses réelles du service pouvaient être prises en compte, c’est-à-dire les dépenses réelles de fonctionnement augmentées des dotations aux amortissements des immobilisations affectées au service public de gestion des déchets (CE, 19 mars 2018, Sté Cora, req. n° 402946). Il a en revanche écarté les dépenses dites générales, c’est-à-dire la fraction de dépenses liées au fonctionnement plus général de la collectivité et affectée au service (frais de personnels, part des moyens techniques et administratifs affectés au service public, coût ventilé des bâtiments et charges générales, …). Si cette position est contestable, elle a au moins eu le mérite de fixer plus précisément les dépenses qu’il était possible de prendre en compte pour le calcul du coût du service, alors que les juridictions du fond avaient des positions divergentes sur cette question.

Dans ses trois dernières décisions – objet de la présente analyse – le Conseil d’Etat précise que :

– la somme des excédents de fonctionnement résultant de l’exécution des budgets des années précédentes et reportée en section de fonctionnement n’a pas à être prise en compte au titre des recettes du service (CE, 25 juin 2018, Sté Auchan, req. n° 414056) ;

– seuls les éléments du budget primitif, et non ceux – définitifs, issus du compte administratif ou du rapport annuel sur le prix et la qualité du service, peuvent constituer la base du calcul. Si le juge constate une différence manifeste entre les documents prévisionnels et définitifs, il peut seulement ordonner un supplément d’instruction (CE, 26 juillet 2018, SCI Le Grand But, req. n° 415274) ;

– que la collectivité ait ou non institué la redevance spéciale prévue par l’article L. 2333-78 du Code général des collectivités territoriales et quel qu’en soit le produit (aujourd’hui l’instauration de cette redevance n’est plus obligatoire), le juge doit rechercher si le produit de la taxe n’est pas manifestement disproportionné par rapport au coût de collecte et de traitement des seuls déchets ménagers, non couvert par les recettes non fiscales affectées à ces opérations, c’est-à-dire n’incluant pas le produit de la redevance spéciale lorsque celle-ci a été instituée. Au surplus, les données générales, issues du rapport de la Cour des comptes de 2011 et de l’étude de l’association Amorce en partenariat avec l’Ademe de 2014, selon lesquelles les collectivités territoriales collectent et traitent un volume de 20 % de déchets non ménagers, ne suffisent pas à établir que le produit de la redevance spéciale était insuffisant pour couvrir le coût des déchets non ménagers : le juge doit alors rechercher, au besoin au moyen d’un supplément d’instruction s’il estime non probants les éléments produits par le requérant, quelle était la part des coûts du service relatifs aux déchets non ménagers, pour procéder à la comparaison entre le produit de la taxe et le coût de collecte et de traitement des seuls déchets ménagers, après déduction des recettes non fiscales affectées à ces opérations, c’est-à-dire n’incluant pas le produit de la redevance spéciale (CE, 26 juillet 2018, L’immobilière Groupe Casino, req. n° 413897).
Ces décisions, si elles permettent de définir plus précisément les modalités de calcul du coût du service et sa comparaison avec les recettes prévisionnelles de TEOM, ne rendent pour autant pas plus aisée la tâche des collectivités dans la démonstration du coût de ce service.

Recommandation du Médiateur de l’énergie sur le prix des abonnements d’électricité et la publicité des offres afférentes à ces contrats

Une cliente avait souscrit un premier contrat en novembre 2016 avec un fournisseur d’électricité qui prévoyait des tarifs fixes pour l’abonnement et les consommations d’électricité. A la suite du rachat de ce fournisseur d’électricité, l’acquéreur avait proposé à celle-ci, le 8 novembre 2017, une nouvelle offre avec une réduction de 10% par rapport au tarif réglementé sur le prix hors taxes du kWh. Cette dernière avait accepté la nouvelle offre dans la mesure où le contrat garantissait un prix fixe.

Les deux premières factures ont été établies conformément aux prix prévus contractuellement, mais la cliente a vu le montant de ses factures augmenter à partir du 1er février 2018. Elle a donc saisi le Médiateur de l’énergie.

Ce dernier s’est livré à une analyse du contrat en cause et a constaté que, nonobstant la mention d’un prix fixe, les grilles de prix des deux offres souscrites successivement prévoyaient toutes deux un prix fixe pour les consommations en kWh (« hors évolution des impôts, taxes et contributions de toute nature »), mais indexé concernant l’abonnement, dans la mesure où son prix est aligné sur le tarif réglementé de vente de l’électricité. 

Le médiateur de l’énergie considère que dès lors que les tarifs réglementés évoluant régulièrement sur décision des pouvoirs publics, le fournisseur était fondé à répercuter cette évolution dans sa facturation.

En revanche, il considère que le fournisseur « devrait corriger l’information qui accompagne son “ Offre Electricité verte ”, qui, de par son contenu ambiguë, […] a laissé croire que les prix fixes garantis concernaient aussi l’abonnement ».