Protection des données personnelles et mutualisation intercommunale

Les intercommunalités sont susceptibles d’être intéressées par les nouvelles règles instaurées par le RGPD à deux égards :

  1. Le RGPD implique la désignation obligatoire d’un délégué à la protection des données (DPD) et ce depuis le 25 mai 2018 (article 37 du RGPD) ; dès lors, les structures intercommunales sont nombreuses à se questionner sur les dispositifs qui peuvent être mis en place pour la mutualisation du DPD (I) ;
  2. Les structures intercommunales et leurs adhérents sont directement concernée par la question du traitement des données lorsque, en raison d’un transfert de compétence ou d’une réorganisation des services communaux/intercommunaux, les informations sur les agents sont rassemblées et échangées (II).
  • Sur la problématique de la mutualisation des DPD

Différentes possibilités s’offrent aux communes et aux intercommunalités pour procéder à la désignation de leur DPD  : soit en interne, par exemple, en attribuant cette mission à un agent déjà en poste ou en transformant le poste de correspondant informatique et libertés (CIL) en DPD, soit en ayant en recours à l’externalisation (avec un prestataire de services privé par exemple), soit en optant pour une mutualisation/coopération entre communes et EPCI. C’est cette dernière option qui nous intéresse ici.

On indiquera d’ailleurs que l’article 37 du RGPD précité dans son 3° rend possible une mutualisation du DPD : 

« 3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille »

Si les structures locales optent pour une mutualisation du DPD, plusieurs outils juridiques de mutualisation peuvent être envisagés.

D’abord, il pourrait être envisagé d’opérer une mise à disposition individuelle de l’agent d’une collectivité au profit d’une autre, sur la base de l’article 61 de la loi n° 84-53 du 26 janvier 1984.

Dans ce cadre, la mise à disposition individuelle d’un agent implique nécessairement l’accord de ce dernier, celui de la collectivité d’accueil, ainsi que la consultation de la commission administrative paritaire compétente. La mise à disposition est ensuite prononcée par arrêté de l’autorité territoriale investie du pouvoir de nomination. L’article 61.1.II de la loi n° 84.-53 susvisée impose également que la mise à disposition donne lieu à remboursement (portant sur les modalités de remboursement de la rémunération du fonctionnaire mis à disposition notamment). Les modalités de remboursement devant être définies dans une convention de mise à disposition.

Il pourrait ensuite être envisagé de mettre en place un service unique pour plusieurs collectivités, qui comprendrait le ou les agents concernés par le traitement des données et qui serait appelé à intervenir pour les collectivités membres du service unique.

S’agissant des communes membres d’un EPCI à fiscalité propre et de cet EPCI à fiscalité propre, l’article L. 5211-4-2 du CGCT prévoit la possibilité de mettre en place un service commun pour les services non rattachés à une compétence. Une convention prévoit les modalités de ce service commun (article L. 5211-4-2 du CGCT). La mutualisation permise par la mise en place d’un service commun concerne ainsi les services chargés de l’exercice de missions fonctionnelles ou opérationnelles.

Un service unifié peut aussi être créé (article L. 5111-1-1 du CGCT). Celui-ci a pour objet d’assurer l’exercice en commun d’une compétence reconnue par la loi ou transférée. La mise en place de ce dispositif s’effectue par la voie d’une convention qui peut prévoir :

  • soit la mise à disposition du service et des équipements d’un des cocontractants à la convention au profit d’un autre de ces cocontractants ;
  • soit le regroupement des services et équipements existants de chaque cocontractant à la convention au sein d’un service unifié relevant d’un seul de ces cocontractants.

Dans les deux cas, la convention doit fixer les conditions de remboursement. Le personnel du service mis à disposition ou du service unifié est placé sous l’autorité fonctionnelle de l’autorité administrative pour laquelle il exerce sa mission.

Ces possibilités légales ont dû être considérées comme insuffisantes. Il est vrai qu’elles ne permettent pas une mutualisation entre toutes les catégories de collectivités et c’est vraisemblablement pour ce motif que l’article 31 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles prévoit que : « Sans préjudice du dernier alinéa de l’article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. Les collectivités territoriales et leurs groupements peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel ».

On le voit, le service unifié ici proposé recouvre des hypothèses de mutualisation très larges puisqu’il englobe l’ensemble des collectivités territoriales et de leurs groupements.

En outre, il est également possible d’envisager, non pas une mutualisation en tant que telle du DPD, mais plutôt une mutualisation des moyens destinés à choisir le DPD ; il s’agira par exemple de mettre en place un groupement de commandes destiné à désigner un DPD externe cette-fois ci.

On attirera néanmoins l’attention sur les problématiques qui peuvent être rencontrées dans le cadre de la mise en place d’un DPD mutualisé : questions de conflit d’intérêts éventuel, risque de remise en cause de son indépendance par exemple.

  • Problématiques du respect du RGPD en cas de mutualisation des agents

Hormis les problématiques qui peuvent se rencontrer en matière de mutualisation du DPD, il n’est pas à exclure que d’autres questions se posent en matière de protection des données personnelles des agents mutualisés.

En effet, en cas de transfert de compétences à l’intercommunalité, les textes prévoient que les agents qui exercent l’intégralité de leurs missions sur le service ou la partie de service transféré sont transférés. Pour les agents qui exercent seulement une partie de leurs missions sur le service ou la partie de service, ils sont simplement mis à disposition.

Dans ces différentes hypothèses, il est fréquent que les données à caractère personnel relatives aux agents concernés soient traitées par les services intercommunaux, voire par des consultants extérieurs compétents en matière de RH. En effet, des fiches comprenant un certain nombre d’informations à caractère personnel sont souvent établies et doivent être renseignées par les communes, pour pouvoir mener un état des lieux de l’organisation de la collectivité et identifier les agents appelés à être transférés ou susceptibles d’intégrer à un service commun.

Il convient alors d’être vigilant quant au traitement des données réalisé et s’assurer du respect des règles du RGPD.

Protection des données personnelles et fonction publique territoriale

En principe, les Collectivités territoriales ont déjà, dans le cadre de la loi « informatique et libertés », mis en place des procédures internes de traitement des données personnelles de leurs agents. Toutefois, l’entrée en vigueur du RGPD et la nouvelle logique de responsabilisation et d’information constituent l’occasion d’évaluer les procédures déjà en vigueur et de les adapter aux nouvelles normes. La tâche n’est pas si aisée qu’elle semble paraître et plusieurs points de vigilance devront être pris en considération par les services des ressources humaines.

D’abord, le RGPD a accordé de nouveaux droits aux agents publics : accéder à leurs données, en obtenir une copie, les rectifier, s’opposer à leur utilisation et le droit à l’oubli. Pour ce faire, les collectivités doivent disposer d’un registre précis des fichiers détenus par les services de la collectivité, les informations qu’ils détiennent sur leurs agents, leur usage, leur localisation exacte et les personnes qui peuvent y accéder. Pour ce faire, un audit précis est nécessaire au sein des différents services. Ce recensement est indispensable pour permettre aux services des ressources humaines qui devront répondre clairement et précisément dans les délais contraints par la nouvelle réglementation de la RGPD, aux questions que les agents peuvent se poser sur leurs données personnelles. Par exemple, s’agissant des dossiers individuels des agents, dans la plupart des collectivités, ils sont conservés dans des armoires fermées à clé ou dans des dossiers informatiques, ce qui permet de garantir leur confidentialité. Toutefois, l’utilisation des données figurant dans ce dossier est souvent beaucoup moins encadrée. La question de la conservation de certains documents se pose, et notamment les arrêts de travail pendant toute la carrière de l’agent. Cette conservation pourrait être en contradiction avec le droit à l’oubli dont disposent désormais les agents publics.

De plus, les supports sur lesquels sont stockées les données personnelles des agents doivent être sécurisés. Par exemple, les informations relatives aux comptes-rendus des entretiens professionnels qui sont conservées durant toute la carrière de l’agent sont souvent stockées sur plusieurs formats (papier et numérique). De même, une procédure doit être mise en place s’agissant des personnes pouvant avoir accès à ces évaluations. En effet, les membres des commissions administratives paritaires où les supérieurs hiérarchiques dans le cadre de mutation interne sont souvent amenés à y avoir accès sans restriction.

Le mode d’identification des agents au sein des collectivités est, aussi, à revoir. Par exemple, dans de nombreuses collectivités, des matricules sont attribués à chaque agent, qui figurent sur leur fiche de paye et permettent au service des ressources humaines de les identifier et avoir accès à un certain nombre de données. Or, si la gestion des fichiers de paies est externalisée, se pose la question de la qualification et du contrôle du prestataire afin de s’assurer de son respect de la réglementation. De même, s’agissant de CVthèques, se pose la question du devenir des CV des candidats qui devront être informés de leur sort, soit directement dans l’annonce, soit lorsqu’ils déposent leur CV sur la plateforme dédiée.

Enfin, une vigilance accrue devra être portée sur les systèmes d’information des ressources humaines des collectivités, avec notamment le contrôle d’accès aux locaux, le badgeage, la gestion des horaires des agents… Autant d’outils informatiques qui permettent à ces services d’obtenir des données personnelles sur les agents dont la confidentialité doit être assurée et le traitement de ces informations nécessite dès lors la plus grande transparence de la part de ces services.

En conclusion, un audit complet des procédures de traitement des données personnelles des agents semble s’imposer au service des ressources humaines et notamment de recensement afin de permettre à ces derniers de se mettre en conformité avec le RGPD mais également de garantir l’exercice des nouveaux droits dont les agents publics disposent aujourd’hui, la responsabilité de la collectivité pouvant éventuellement être engagée si ces derniers n’étaient pas respectés. Une action en responsabilité est envisageable si un préjudice moral peut être démontré par l’agent et plus largement la collectivité s’expose d’autres sanctions telles que définies dans le RGPD.

Protection des données personnelles et urbanisme (l’exemple des téléservices)

1 – Déposer une demande d’autorisation d’urbanisme, c’est avant tout, transmettre à la Mairie ou l’EPCI compétent, un ensemble de données personnelles, lui permettant d’instruire cette demande et de vérifier la conformité du projet envisagé aux dispositions légales et réglementaires.

Aussi, à compter du 1er janvier 2022, la transmission de ces pièces et informations s’effectuera par voie électronique, conformément aux dispositions des articles L.112-8 et suivants du Code des relations entre le public et l’administration.

Cette évolution devrait être accueillie favorablement dans une matière aussi technique que l’urbanisme.

En effet, afin de faciliter la compréhension par les services instructeurs de projets souvent complexes, les outils informatiques présentent de nombreux avantages : confort de lecture des pièces en permettant de zoomer/dézoomer, de faire apparaître ou non certains éléments d’architecture, d’en faciliter le classement et la transmission aux services devant être consultés pour avis, etc.

Ce faisant, et au-delà de la seule fluidification des échanges, privilégier le numérique permettra en réalité à l’administration de faire son aggiornamento, de se mettre en phase avec les techniciens (architectes, urbanistes, bureaux d’étude, etc.) utilisant en grande majorité les outils numériques dans la définition de leurs projets.

2 – Cependant, cette nouvelle étape de modernisation administrative devra répondre à deux impératifs : d’une part, la mise en place des outils informatiques permettant aux services compétents d’exploiter les données transmises, et d’autre part, la mise en place des mesures nécessaires pour sécuriser ces données.

S’agissant de ce premier impératif, un nouveau décret devrait être prochainement adopté afin de modifier le délai prévu au décret n° 2016-1491 du 4 novembre 2016 relatif aux exceptions à l’application du droit des usagers de saisir l’administration par voie électronique concernant les démarches effectuées auprès des collectivités territoriales, de leurs établissements publics ou des établissements publics de coopération intercommunale. Conformément aux demandes de l’Association des Maires de France (AMF) et de l’Assemblée des communautés de France (ADCF), l’entrée en vigueur de la saisine par voie électronique des demandes d’autorisation d’urbanisme n’entrera en vigueur qu’à compter du 1er janvier 2022, au lieu du 8 novembre 2018.

Ce faisant, la dématérialisation des demandes d’autorisation d’urbanisme entraînera une plus grande volatilité des données afférentes.

3 – Pour cette raison, et afin de répondre au second impératif, les personnes publiques devront mettre en place les mesures de collecte et de protection des données exigées en matière de téléservice, étant précisé qu’en application du RGPD, leur vigilance sur ce point devra être renforcée.

A ce titre, et aux termes de l’article 3 de l’arrêté du 4 juillet 2013[1] , les catégories de données à caractère personnel susceptibles d’être enregistrées pour la gestion de l’accès aux téléservices (en fonction du niveau d’identification requis par lesdits téléservices) sont les suivantes :

  • l’identifiant de connexion choisi par l’usager ;
  • le mot de passe choisi par l’usager ;
  • le numéro de téléphone portable de l’usager, s’il choisit ce mode d’accès ;
  • les informations contenues dans la « carte de vie quotidienne » de l’usager ;
  • le certificat électronique de l’usager, s’il choisit ce mode d’accès ;
  • le cas échéant, les clés de fédération ou « alias » générés par le système permettant à l’usager d’établir des liens avec ses différents comptes.

Ce même article précise, par ailleurs, que dans le cadre de l’accomplissement des démarches administratives, ne pourront être collectées que les informations et données à caractère personnel strictement nécessaires à l’accomplissement des démarches administratives en cause (exemple : pièces exigibles pour le dépôt d’une demande de permis de construire).

Dans ce contexte, et conformément au principe de transparence de l’article 5 du règlement européen[2], la mise en place de ce téléservice nécessitera d’indiquer clairement les conditions générales d’utilisation (CGU) de cette plateforme.

Précisément, les CGU indiqueront notamment aux usagers : le périmètre du guichet, les droits et obligations de la collectivité et de l’usager, son mode d’accès, la disponibilité et le fonctionnement du téléservice, les spécificités techniques (types de formats, taille (volume) des pièces admises à transiter par le téléservice, etc.), les règles de traitement, de conservation et de sauvegarde des données personnelles, etc.

En conclusion, afin de se préparer à cette dématérialisation des demandes d’autorisation d’urbanisme, les collectivités devront être particulièrement vigilantes à ce type d’obligations, particulièrement dans le contexte du RGPD.

[1] Arrêté du 4 juillet 2013 autorisant la mise en œuvre par les collectivités territoriales, les établissements publics de coopération intercommunale, les syndicats mixtes, les établissements publics locaux qui leur sont rattachés ainsi que les groupements d’intérêt public et les sociétés publiques locales dont ils sont membres de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d’un ou de plusieurs téléservices de l’administration électronique.

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Protection des données personnelles et action sociale/médico-sociale

De nouvelles obligations ont été créées par le RGPD (et la loi CNIL 3) concernant le recueil et le traitement des données personnelles, ce qui bouleverse en profondeur le secteur de l’action sociale et médico-sociale.

En effet, toute structure sociale ou médico-sociale, même composée seulement de quelques salariés, lorsqu’elle collecte et traite des données à caractère personnel, se voit appliquer cette nouvelle règlementation. Cela peut aussi bien être dans le cadre de ses relations avec son personnel, les tiers ou ses fournisseurs. Concrètement, l’établissement et le service social ou médico-social (ESSMS) qui enregistre dans ses fichiers les coordonnées ou les données de santé de ses usagers ou de ses salariés, ou encore échange des informations avec un prestataire ou un partenaire, y est soumis. En cas de non-respect, des sanctions administratives et financières importantes sont prévues.

Afin de prévenir ces risques, quelques points de vigilance doivent être cernés dans l’application de cette nouvelle règlementation relative au traitement des données à caractère personnel. En effet, les acteurs du secteur social et médico-social sont particulièrement visés au vu des données qu’ils sont amenés à collecter et traiter.

  • La collecte de données sensibles : une protection spécifique

En vertu de l’article 9 du RGPD, les données sensibles sont celles faisant apparaître, directement ou indirectement, les origines raciales ou éthiques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou étant relatives à la santé ou l’orientation sexuelle de celles-ci.

Les ESSMS sont amenés à collecter des données sensibles dans le cadre de leurs activités. Le RGPD permet le traitement des données sensibles, de manière dérogatoire, par certains organismes, notamment lorsque le traitement est nécessaire pour la prise en charge sanitaire et sociale ou effectué par une association ou un organisme à but non lucratif.

En tout état de cause, le responsable de traitement doit respecter un principe de transparence dans les informations qu’il communique aux personnes concernées. L’ESSMS doit ainsi être attentif afin de mettre en place des mentions d’informations spécifiques à destination de ses usagers.

Les structures de soins sont notamment amenées à faire preuve d’une vigilance accrue lorsqu’elles traitent des données de santé concernant leurs usagers ou leur personnel, données dont le champ a été élargi par le règlement à « l’état de santé de la personne » et qui sont enfin définies par le RGPD à son article 4.

  • La gestion des risques : l’obligatoire réalisation d’« études d’impact » ou de Privacy Impact Assessment (PIA)

Ce nouvel outil est obligatoire pour le traitement de données personnelles pouvant générer un risque élevé pour les droits et libertés des personnes, notamment si les données sont sensibles, à caractère hautement personnel ou encore concernent des personnes vulnérables (enfants, patients, employés, personnes âgées notamment).

Ainsi, les ESSMS ont de fortes chances d’être concernés par l’obligation d’effectuer des études d’impact sur la vie privée. Concernant la démarche méthodologique de ces études, la CNIL a mis en place un outil, le logiciel PIA, afin d’accompagner les acteurs dans leur démarche.

  • La nomination d’un délégué à la protection des données (DPD)

Dans la mesure où les ESSMS effectuent des missions de service public, la réponse à la question de savoir si ces structures doivent nommer un DPD n’est pas toujours évidente (sauf s’il s’agit d’un établissement public, auquel cas l’obligation ne fait pas de doute).

Si l’article 37 du RGPD ne prévoit pas littéralement d’obligation, contrairement aux autorités publiques ou organismes publics traitant des données, il semblerait qu’au vu des lignes directrices du G29 (accessibles sur le site de la CNIL), il soit cependant recommandé que les organismes privés chargés d’effectuer des missions de service public désignent un DPD.

En effet, dans ce cadre, les particuliers n’ont également pas le choix quant au traitement des données les concernant ou aux modalités de ce traitement et peuvent donc requérir la protection supplémentaire que peut apporter la désignation d’un DPD. En outre, les ESSMS publics étant soumis à cette obligation, il parait logique que les ESSMS privés, qui exécutent les mêmes prestations, s’y soumettent également.

En tout état de cause, lorsque la structure sociale manipulera des données sensibles, elle sera soumise à l’obligation de désigner un DPD en vertu du même article 37 (article 37, 1. c du RGPD).

 

Protection des données personnelles et logement social

Depuis de nombreuses années, la sensibilisation des organismes aux enjeux liés à la protection des données personnelles a fortement mobilisé les fédérations professionnelles et notamment l’Union Sociale pour l’Habitat. Cette dernière a notamment engagé un dialogue constructif avec la CNIL et les organismes bailleurs, donnant lieu à la publication d’un Pack de conformité « Logement Social » en avril 2014[1]. Cette mobilisation s’est poursuivie à l’occasion du RGPD.

La conformité est en effet aujourd’hui un élément essentiel de la bonne gouvernance d’un organisme de logement social. A ce sujet, Jean-Louis DUMONT, Président de l’USH précise « Le mouvement professionnel a une responsabilité vis-à-vis des locataires qui confient en toute confiance leurs données »[2]. De nombreux guides ont donc été élaborés et permettent aux organismes d’engager leurs démarches de mises en conformité.[3]

Dans les métiers de la gestion locative et de l’accompagnement social des locataires, mais également dans les métiers de l’accession sociale ainsi que, bien entendu, dans le fonctionnement quotidien des organismes dont notamment la gestion des ressources humaines, les bailleurs sociaux opèrent de nombreux traitements de données à caractère personnel.

Ces données présentent bien souvent un caractère sensible, ce qui peut paraitre évident lorsque l’on pense à l’enquête d’occupation du parc social (OPS) menée par tous les bailleurs ou tout simplement à la constitution des dossiers d’attributions, ce qui est plus difficile dans certains cas à conceptualiser pour le recueil des consommations énergétiques des logements ou l’organisation des opérations de réhabilitation.

Ainsi, dans bien des cas, le bailleur social et encore plus souvent ses prestataires, tel Monsieur Jourdain, découvrent-ils encore qu’ils procèdent à un traitement de données personnelles sans le savoir…

L’entrée en vigueur du RGPD constitue un enjeu fort pour les directions générales et nécessite, comme toute démarche de conformité, leur forte implication. En effet, les modifications de la loi applicable et notamment la disparition des formalités au profit d’une démarche de responsabilité (dénommée « accountability ») mais également la nécessité d’introduire les mesures de protection des données dès la conception du traitement (dénommée « privacy by design ») doivent amener les organismes à repenser leurs organisations. Le « RGPD » ne doit pas impliquer que les DSI, les contrôleurs internes ou les juristes, c’est une démarche d’organisation qui permettra aux organismes de poursuivre leurs démarches de transformation numérique dans le respect des droits de leurs locataires et salariés.

En conclusion, on rappellera, outre le risque d’image encouru, que le RGPD prévoit un net renforcement des sanctions pécuniaires pouvant être mises à la charge de l’organisme en cas d’absence de conformité et que la CNIL vient d’indiquer que les grandes thématiques de ses contrôles en 2018[4] seraient les traitements liés au recrutement ainsi que les pièces demandées aux demandeurs de logement.

[1] Cahier USH Repères n°1, octobre 2014 : Traitement des données à caractère personnel, mise en œuvre du pack conformité logement social de la CNIL

[2] Cahier USH n°41, Repères, octobre 2017 : Règlement européen relatif à la protection des données : impacts pour les organismes d’HLM

[3] Guide pratique d’accompagnement pour la protection des données personnelles à l’usage des coopératives HLM, juin 2018, Coops HLM ; Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, avril 2018, CNIL.

[4] https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle-strategie-de-controle-pour-2018

Protection des données personnelles et énergie

L’émergence des réseaux de distribution d‘énergie intelligents et le déploiement d’une nouvelle génération de compteurs communicants a obligé le secteur de l’énergie et, en particulier, celui de la distribution d’électricité, à se doter d’un cadre juridique spécifique relatif aux données personnelles. Ce cadre a été renforcé à la suite de l‘entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (RGPD). On s’intéressera au cas des données de comptage électriques pour illustrer la problématique.

  • Réseaux intelligents et données personnelles

La question de l’utilisation et de la protection des données est aujourd’hui un enjeu majeur en raison de l’augmentation exponentielle de ces données et de leur accessibilité à une multitude d’acteurs (fournisseurs, gestionnaires des réseaux, autorités organisatrices de la distribution d’énergie, bailleurs sociaux notamment).

Cette multiplication des données trouve son origine dans le développement des réseaux dits « intelligents » qui accompagne la transition énergétique[1] et dont les compteurs communicants sont la première brique. L’enjeu est de taille puisque déjà 7 millions de compteurs communicants (Linky), ont été installés et environ 35 millions de compteurs doivent être installés d’ici 2021.

Ces compteurs ont vocation in fine à inciter les utilisateurs des réseaux à limiter leur consommation pendant les périodes de consommation de pointe en mettant à leur disposition leurs données de comptage et à permettre aux fournisseurs de proposer à leurs clients des prix adaptés à leur consommation[2].

Ces compteurs permettent de déduire des informations sur la vie privée des consommateurs, tels que le nombre de personnes dans le foyer, les heures de lever et de coucher ou encore les périodes d’absences. De ce fait, plusieurs règles ont été posées pour préserver la confidentialité des données personnelles de consommation d’électricité. C’est la raison pour laquelle la CNIL avait indiqué que le déploiement de ces compteurs communicants « n’est pas sans risque sur la vie privée tant au regard du nombre et niveau de détail des données qu’ils permettent de collecter », le principal risque provenant de l’enregistrement de la courbe de charge.

  • La protection des données de consommation d’électricité : la courbe de charge

En 2012, la CNIL a émis des recommandations concernant le traitement des données personnelles de consommations d’énergie collectées par les compteurs communicants[3]. Puis, en 2017, deux décrets ont finalisé les modalités de mise à disposition des données personnelles de consommation à des fournisseurs ou à des tiers[4].

Les règles posées portent principalement sur le stockage et la transmission de la courbe de charge.

La courbe de charge d’électricité d’un usager est l’historique de sa consommation mesurée à une fréquence de temps donnée (le pas de temps peut être ou plus moins fin : 10 minutes, 30 minutes – par défaut – ou une heure)[5]. Cette courbe de charge permet d’établir un graphique permettant de constater aisément les périodes de fortes consommations. La courbe de charge, lorsqu’elle est enregistrée sur une période suffisamment longue (un an par exemple), sert en particulier à réaliser le bilan énergétique d’un logement ou à procéder à des simulations afin de comparer des offres tarifaires.

Le stockage de la courbe de charge dans le compteur lui-même est autorisé sans qu’il soit nécessaire de recueillir le consentement exprès de l’usager (les données sont relevées toutes les heures). L’usager peut toutefois faire jouer son droit d’opposition au stockage, à tout moment, c’est-à-dire en désactivant ce stockage et/ou en supprimant ces données.

Le consentement exprès de l’usager n’est requis que pour la remontée de la courbe de charge dans le système d’information du gestionnaire du réseau de distribution et pour sa transmission à des tiers (fournisseurs d’énergie par exemple) à des fins commerciales.

Lorsque l’usager donne son consentement au gestionnaire du réseau de distribution pour enregistrer sa courbe de charge, celui-ci enregistre par défaut les données de consommation journalières (consommation globale du foyer sur une journée – index quotidien) pour permettre à l’usager de consulter gratuitement l’historique de ses consommations. 

Ainsi, les éléments fins de consommation permettant de reconstituer la courbe de charge du consommateur ne sont transmis par le compteur au système central d’Enedis que si l’usager en fait explicitement la demande dès lors que chaque utilisateur des réseaux publics d’électricité a la libre disposition des données relatives à sa production ou à sa consommation, enregistrées par les dispositifs de comptage[6].

Actuellement, la fonctionnalité permettant au compteur Linky d’enregistrer la courbe de charge n’est pas opérationnelle. La Cour des comptes a ainsi relevé dans son récent rapport annuel que « si l’usager n’a pas demandé au préalable la transmission des informations de la courbe de charge au système central d’Enedis, il ne pourra pas disposer, avant un an, des informations nécessaires à un audit énergétique ou une comparaison des offres des fournisseurs. Il faut de plus noter que, lorsque la fonctionnalité d’enregistrement sera disponible, la mémoire des compteurs ne permettra d’enregistrer la consommation au pas horaire que sur une durée de quatre ou cinq mois et qu’Enedis n’a pas pris les dispositions pour augmenter cette capacité »[7].

  • La mise en œuvre du RGPD

Depuis le 26 mai 2018, les règles posées par le RGPD complètent ce cadre juridique. Et, à l’occasion d‘une mise en demeure prononcée deux mois plus tôt à l’encontre de la société Direct Energie (fournisseur d’énergie), la CNIL n’a pas manqué de rappeler les principes auxquels doivent se conformer les différents acteurs du monde de l’énergie

En effet, par une décision du 27 mars 2018, la CNIL a mis en demeure la société Direct Energie pour n’avoir pas respecté l’article 7 de la loi informatique et liberté du 6 janvier 1978 imposant un consentement libre, éclairé et spécifique pour le traitement des données personnelles.

La société procédait à la collecte des données de consommations quotidiennes et à la demi-heure sans l’accord de ses clients. Elle se contentait de demander à ses clients leur accord sur la mise en service du compteur (qui relève au demeurant de la gestion d’Enedis), et simultanément sur la collecte des données sans leur indiquer à quelle cadence ces données étaient recueillies. Cette collecte était présentée comme le corollaire de l’activation du compteur, permettant de bénéficier d’une « facturation au plus juste » alors même qu’aucune offre basée sur la consommation au pas de trente minutes n’existait[8].

La décision a ainsi entendu sanctionner, dans ce cas, le défaut de consentement quant à la collecte et au traitement des données personnelles. Les conditions de recueil du consentement, lequel doit être « libre, spécifique, éclairé et univoque », sont en effet au cœur de la nouvelle réglementation. L’affaire Direct Energie est éclairante sur ce point dès lors qu’il est patent que le consentement de l’usager n’avait pas été formulé correctement et qu’il avait été demandé pour deux objectifs différents (l’activation du compteur et la collecte des données).

La décision est également éclairante sur un autre principe du RGPD, celui qui impose que le traitement des données personnelles soit réalisé sur une base juridique que l’entreprise doit déterminer (consentement, exécution d’un contrat, intérêt légitime, etc.). En l’espèce, il est clair que Direct Energie n’avait pas besoin de collecter les données quotidiennes afin d’exécuter le contrat de fourniture qui le lie à son client (du moins en l’état de ses offres commerciales), contrairement à ce qui était avancé.

  • L’utilisation des données personnelles par les collectivités

On rappellera enfin que les autorités organisatrices de la distribution d’énergie (AODE), autorités concédantes, ont la faculté d’accéder à des données agrégées (donc anonymisées) de production et de consommations d’électricité sur un territoire donné.

En effet, le gestionnaire du réseau public de transport d’électricité, les gestionnaires de réseaux de transport de gaz, ainsi que les gestionnaires des réseaux publics de distribution d’électricité et de gaz sont expressément chargés par la loi de mettre à la disposition des personnes publiques, à partir des données issues de leur système de comptage, les données disponibles de transport, de consommation et de production d’électricité, de gaz naturel et de biogaz lorsque ces données s’avèrent utiles à l’exercice de leurs compétences (mission de contrôle de la concession par exemple) et à l’élaboration des documents de planification du territoire, en particulier pour l’élaboration et la mise en œuvre des plans climat-air-énergie territoriaux[9].

Ces données doivent dont être disponibles pour les collectivités autorités concédantes, pour les besoins de leur mission, ce qui exclut à notre sens tout usage commercial par ces mêmes collectivités.

[1] Loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte

[2] Directive 2009/72/CE du Parlement européen et du conseil du 13 juillet 2009 concernant les règles communes pour le marché intérieur de l’électricité transposée par la Loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité et décret 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d’électricité en application du IV de l’article 4 de la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité devenus respectivement les articles L. 341-4 et R. 341-4 du code de l’énergie

[3] Cf. Position de la CNIL du 30 novembre 2015 sur les compteurs communicants Linky et délibération n° 2012-404 du 15 novembre 2012.Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants.

[4] Décret n° 2017-948 du 10 mai 2017 relatif aux modalités de mise à disposition des consommateurs des données de consommation d’électricité et de gaz et Décret n° 2017-976 du 10 mai 2017 relatif aux modalités d’accès par les consommateurs aux données de consommation d’électricité ou de gaz naturel et à la mise à disposition de ces données par les fournisseurs 

[5] Cf. article D. 341-21 du code de l’énergie

[6] Cf. article R.341-5 du code de l’énergie

[7] Rapport public annuel public février 2018 – Cour des comptes

[8] Décision n°2018-007 du 5 mars 2018 – Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société Direct Energie

[9] Cf. Article L.2224-31 du CGCT

Protection des données personnelles et réseaux d’initiative publique

  • En quoi les acteurs des réseaux d’initiative publique peuvent-ils être concernés par le RGPD ?

Le RGPD ne réserve pas de sort particulier à la question des services de communications électroniques, ainsi que son article 95 le précise en les termes suivants : « le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications […] » .

Pour ce qui est donc des obligations spécifiques aux services de communications électroniques, il conviendra donc de faire une application combinée des dispositions applicables en matière de données personnelles ainsi qu’aux dispositions applicables au droit des communications électroniques (en particulier l’article L.34-adu COde des postes et des communications électroniques sur la collecte et la conservation des données de connexion pour les besoins de la recherches, de la constatation et de la poursuite des infractions pénales et les exigences de la loi HADOPI).

Les acteurs du monde des réseaux d’initiative publique (collectivités, groupements de collectivités, opérateurs délégataires de service public ou prestataires) pourront être amenés à traiter des données personnelles à plusieurs titres.

Il en va ainsi, s’agissant des réseaux FttH, lors du traitement des fichiers comportant les Informations Préalables Enrichies (fichiers IPE), des informations récoltées lors des prises de rendez-vous pour les opérations de raccordement final ou de pré-raccordement

Les collectivités territoriales et leurs groupements le seront a fortiori lorsqu’elles exploiteront les réseaux en régie (on peut en particulier au développement des réseaux WIFI publics)

Et à l’heure où les porteurs de projets de communications électroniques s’interrogent sur les usages qu’ils pourront en faire (e-administration, vidéoprotection, service de téléphonie mobiles), la question du traitement des données personnelles se pose avec plus d’acuité encore.

Enfin, bien sûr, les porteurs de projets pourront être amenés à traiter des données personnelles dans leur fonctionnement quotidien (au titre du traitement des données relatives à leurs agents, notamment).

  • Quelles précautions doivent être prises par les personnes publiques ?

Avant toute chose, selon ses missions (déploiement d’un réseau d’infrastructure, fourniture d’un service direct à des usagers finals dans le cadre d’un réseau ouvert, gestion d’un réseau indépendant dans le cadre d’un groupe fermé d’utilisateurs, développement d’usages…) et selon les outils juridiques qu’il utilise pour exercer ces missions (régie directe, convention de délégation de service public, marché public …), il appartiendra au porteur de projet de déterminer s’il intervient :

–    Comme responsable de traitement, c’est-à-dire, celui qui, collectant des données personnelles, doit déterminer « les finalités et les moyens du traitement » ;

–    Comme sous-traitant au sens du RGPD, c’est à dire la personne qui traite des données personnelles pour le compte du responsable de traitement ;

–    Comme simple destinataire de ces données.

Et quelle que soit sa fonction, il devra s’assurer, dans le cadre des contrats qu’il conclura ou dans le cadre d’avenants à ces contrats, que le partage des responsabilités entre ses cocontractants et lui sont parfaitement définies.

Enfin, chaque porteur de projet public devra désigner un Délégué à la Protection des Données personnelles (DPD ou DPO pour « Data Protection Officer) ».

Protection des données personnelles et mobilité

Le domaine des transports et de la mobilité n’échappe pas aux nouvelles exigences induites par la nouvelle réglementation européenne, et, en la matière, il semble que certaines problématiques soient particulièrement exposées à celles-ci.

  • La problématique du stationnement payant

En matière de stationnement payant sur voirie, les collectivités locales peuvent être conduites à recourir à de nouveaux téléservices impliquant la mise en œuvre de traitement de données personnelles. La CNIL a émis des recommandations en la matière, dont il faut relever qu’elles sont néanmoins antérieures à l’entrée en vigueur du RGPD (Recommandations du 14 novembre 2017). Toutefois, le renforcement des droits des personnes physiques concernées incite à une vigilance renforcée quant au respect de ces recommandations.

Ainsi, lors des contrôles préalables aux contrôles physiques réalisés par des agents assermentés des véhicules stationnés sur la voirie, réalisés par l’intermédiaire de véhicules (voitures ou scooters) équipés d’un dispositif de lecture automatisé des plaques d’immatriculation (dite LAPI), ne devraient être collectés que les numéros de plaque d’immatriculation ainsi que l’horodatage et la géolocalisation du véhicule : le champ de la prise de vue doit être limité à la plaque d’immatriculation. Par ailleurs, les données doivent être supprimées dès qu’il est établi que le véhicule est en règle, et, à défaut, dès lors que le contrôle par l’agent assermenté est réalisé et que la procédure de « FPS » (forfait de post-stationnement) est, le cas échéant, initiée.

Ces données anonymisées peuvent également être utilisées à des fins statistiques par l’observatoire du stationnement de la collectivité « dans des conditions appropriées à cet usage », précise la CNIL.

  • La problématique de la billettique

Par ailleurs, les applications billettiques et tickets/abonnements dématérialisés de transports se développent sur le territoire et impliquent la mise en œuvre de nombreux traitements de données à caractère personnel : identité, âge et situation professionnelle, mode et données de paiement, numéro et type d’abonnement, données de localisation, etc. La CNIL a déjà apporté d’importantes précisions sur les applications billettiques des transports publics dans une délibération du 28 avril 2011, lesquelles pourraient être adaptées au nouveau cadre du RGPD, par exemple pour intégrer le droit à la portabilité des données et à l’oubli.

En outre, dans le cadre d’enquêtes de satisfaction, les transporteurs et collectivités sont conduits à collecter des données personnelles (telles que les noms, prénoms et âges des usagers, leurs adresses mails, les lieux de point de départ et d’arrivée privilégiés de transport).

Les usagers devraient être informés de la finalité de cette collecte, laquelle pourrait être, par exemple, la réalisation d’études statistiques (si la finalité du traitement n’est pas initialement statistique mais que les données sont utilisées dans un second temps pour une telle finalité, le droit de l’Union précise que ce traitement « devrait être considéré comme une opération de traitement licite compatible » (Considérant 50 du RGPD)) ou l’amélioration du fonctionnement du réseau. Des garanties appropriées devraient être prévues par les Etats membres pour le traitement de données à caractère personnel à des fins statistiques (Considérant 156 du RGPD). Par ailleurs, il conviendra de s’assurer de la licéité de ces traitements, en le fondant expressément soit sur l’accomplissement de missions de service public soit sur l’expression univoque et éclairée du consentement des usagers à la collecte de leurs données à caractère personnel pour la finalité indiquée.

Enfin, les contrats liant les autorités organisatrices de la mobilité à leurs opérateurs devront être soigneusement analysés et faire l’objet d’avenants précis, en fonction de la qualification retenue du cocontractant, qui pourra alternativement se trouver être un responsable de traitement, un sous-traitant ou un destinataire tiers.

Protection des données personnelles et droit social

Avec le RGPD, l’Union européenne a voulu donner au citoyen un droit de regard sur la collecte de ses données à caractères personnelles.

Ce citoyen, en tant que salarié, doit également voir ses droits protégés dans sa relation de travail. Ainsi, l’employeur, en tant que collecteur d’informations personnelles, a de nouvelles obligations issues du RGPD.

Plusieurs actions s’imposent à l’employeur pour assurer sa mise en conformité.   

 Désigner un « délégué à la protection des données » (DPD)

La désignation d’un DPD est obligatoire pour les organismes publics et les entreprises dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, à  traiter de données sensibles ou relatives à des condamnations pénales et infractions.

Toutefois, même si la désignation d’un DPD n’est pas formellement obligatoire pour toutes les entreprises, la complexité technique du traitement des données et l’étendue des obligations rend la désignation du DPD plus qu’opportune.

L’étendue des attributions du DPD fait de lui le « chef d’orchestre » de la conformité de l’entreprise au RGPD. Il aura notamment pour mission d’apporter ses expertises techniques et juridiques sur les mesures de sécurité adéquates à mettre en place. Il sera surtout l’interlocuteur privilégié des salariés et de la CNIL pour toutes les questions relatives aux données personnelles.

Il convient de précision que le « DPD » peut être désigné en interne parmi les salariés de l’entreprise ou en externe, via un prestataire extérieur (avocat, conseil ou prestataire spécialisé).

Il est conseillé de désigner une personne dédiée exclusivement à cette tâche pour éviter notamment la notion de conflit d’intérêts, ou la mise à mal de son indépendance dans le cadre de la relation employé/employeur. Par ailleurs, il est fortement conseillé aux entreprises de faire réaliser un audit par des professionnels du droit et de la sécurité informatique afin d’éviter toute difficulté liées à la mise en œuvre et au contrôle du traitement des données.

 Etablir un registre des activités de traitement

Le RGPD prévoit l’obligation pour les entreprises de plus de 250 salariés de tenir un registre des traitements de données qui devra être mis à disposition de l’autorité administrative compétente.

L’objectif est d’identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données. A titre d’illustrations en ce qui concerne la gestion des ressources humaines, le recrutement, la gestion de paie, la formation, les déclarations sociales, etc, sont des activités qui engendrent la collecte d’informations personnelles.

Le registre devra répertorier l’ensemble des traitements relatifs aux ressources humaines, en déterminer la finalité et prévoir les mesures de sécurité adéquates. À cette fin, il devra notamment contenir :

  • les noms et coordonnées des responsables du traitement et des sous-traitants ;
  • les personnes concernées par le traitement et les données traitées ;
  • les mesures de sécurité techniques et organisationnelles mises en place.

L’élaboration et l’actualisation du registre peuvent paraître lourdes. Cependant ce document permet d’organiser de façon structurée les modalités du traitement des données des employés et facilite l’exercice de leurs droits à modifier, rectifier ou supprimer tout ou partie de leurs données personnelles. Dans ce contexte, même si cette obligation n’est en principe valable que pour les entreprises de plus de 250 salariés, elle est vivement conseillée pour toutes les entreprises en ce qu’elle permet de  garantir la sécurité des données collectées.

  Informer et dans certains cas obtenir le consentement préalable des salariés (et candidats)

Concrètement, les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise. Cette information peut se faire sur plusieurs supports tels que le règlement Intérieur de l’entreprise ou encore le contrat de travail et contient, de manière non exhaustive :

  • les modalités du traitement et ses finalités ;
  • un rappel des droits de l’employé sur ses données ;
  • si les données peuvent faire l’objet d’un transfert à une autre entité juridique (au sein d’un Groupe d’entreprises par exemple).

Il faut souligner que la collecte de certaines données (photographie du salarié par exemple) imposera l’obtention du consentement préalable de l’employé concerné. Plus particulièrement, ce consentement devra être recueilli de façon explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher.

 Ne collecter que des données personnelles nécessaires

Si l’employeur est amené à traiter un nombre important de données personnelles, il doit pour autant, ne traiter que les données nécessaires à l’objectif pour lequel il traite ces données.

Par exemple, lors de la phase de recrutement d’un employé, les données collectées devront être limitées à celles strictement nécessaires à l’évaluation des capacités du candidat à occuper le poste proposé. Par conséquent, les formulaires de candidature ne peuvent imposer la divulgation de la situation matrimoniale d’un candidat ou l’étendue de sa paternité/maternité.

Des modalités particulières sont par ailleurs prévues pour les emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas, l’employeur a l’interdiction de conserver ledit extrait ou des notes relatives à celui-ci.

 Garantir la sécurité et la confidentialité des données personnelles collectées

Les entreprises devront prendre toutes les mesures techniques et organisationnelles pour assurer la confidentialité des données à caractère personnel et éviter toute divulgation à des tiers non autorisés.

Concernant les mesures organisationnelles, on peut citer la désignation d’un DPD, le contrôle de l’accès aux locaux hébergeant les serveurs, l’adoption d’une charte ou encore la mise en œuvre de procédures spécifiques à l’identification des nouveaux traitements, etc.

S’agissant des mesures techniques pouvant être mises en œuvres, cela peut être les mises à jour des antivirus et logiciels, changement régulier des mots de passe, chiffrement des données dans certaines situations, etc.

En outre, désormais toute faille de sécurité devra être signalée dans un délai de 72 heures à l’autorité de contrôle compétente (la Cnil en France) ainsi qu’à l’employé concerné. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Le RGPD crée également de nouveaux droits comme le droit à la portabilité des données personnelles ou le droit à l’oubli. Tout employé pourra saisir son service RH (ou la personne désignée) pour exercer les droits qu’il détient sur ses données personnelles. Sa demande devra être suivie d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.

L’employeur doit donc mesurer la problématique du stockage de ces données puisqu’il devra connaître leur emplacement exact afin de répondre efficacement aux demandes des employés.

 

 Respecter la durée de conservation des données personnelles des salariés (et candidats)

Le RGPD rappelle que les données personnelles des salariés ne peuvent être conservées que pour la durée nécessaire :

  • à l’exécution de leur contrat de travail ;
  • et/ou au respect d’obligations légales (fiscales par exemple) ;
  • et/ou à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.

À titre d’illustrations, les données collectées sur un candidat non retenu à l’embauche doivent être effacées deux ans après le dernier contact et les données personnelles d’un salarié relatives à la paie ne peuvent être conservées au-delà de cinq ans.

 

 

La mise en conformité au RGPD : Un enjeu majeur pour l’ensemble des acteurs publics et de l’économie sociale et solidaire

Près de 4 mois après l’entrée en vigueur du Règlement Général de la Protection des Données (RGPD), le Cabinet SEBAN & Associés a souhaité dresser un premier état des lieux de la récente réforme de la protection des données à caractère personnel, trop souvent présentée comme une rupture brutale anxiogène là où elle correspond bien davantage à un changement de paradigme porteur d’opportunités et conduit à s’inscrire dans la durée.

L’ambition de cette Lettre d’Actualité juridique dédiée aux enjeux de la mise en conformité des acteurs publics sera dès lors de proposer une présentation dynamique des principales évolutions issues de ce cadre juridique renouvelé (I), de partager quelques conseils pratiques et opérationnels de mise en conformité issus de nos retours d’expérience (II), puis, au moyen de brèves rédigées par les différents secteurs du Cabinet de révéler la multiplicité des situations impactées (III).

I-             Ce que le RGPD a vraiment bouleversé

Parce que l’entrée en vigueur du RGPD a incontestablement ouvert un besoin nouveau pour un grand nombre d’acteurs, certains n’ont pas hésité à se revendiquer spécialistes de la matière, faisant montre de grandes approximations et ajoutant malheureusement à la confusion du discours ambiant.

C’est pourquoi quelques petites clarifications s’imposent aux fins d’appréhender cette réforme dans sa juste proportion.

L’entrée en vigueur du RGPD n’est, tout d’abord, pas un cataclysme juridique en France, puisque, dans notre droit national, les données à caractère personnel étaient protégées depuis plus de 40 ans (loi CNIL n°78/17 du 6 janvier 1978) et que les règles d’or conditionnant la régularité d’un traitement (article 5 et 6 du RGPD) demeurent très largement inchangées.

De même, le consentement ne devient pas une condition obligatoire de régularité d’un traitement de données à caractère personnel. Le consentement demeure, en effet, uniquement, l’une des bases juridiques susceptible de fonder un traitement (article 6 du RGPD) et, s’agissant des acteurs publics, le recours au consentement des personnes concernées pour fonder un traitement est extrêmement résiduel et a vocation à le rester sous l’égide du RGPD. Il doit donc être retenu que le RGPD n’a pas étendu le champ des traitements fondé sur le consentement mais a uniquement durci les conditions de son recueil (à partir d’une information suffisante et via un acte positif clair, notamment).

Enfin, les acteurs publics qui ne sont pas en conformité avec les nouvelles obligations issues du RGPD depuis le 25 mai 2018 ne vont pas se voir infliger immédiatement une amende financière pouvant atteindre 20 millions d’euros. Si, en dépit des tentatives du Sénat, le législateur a décidé de ne pas exonérer les collectivités territoriales (contrairement à l’Etat) au prononcé de sanctions financières à leur encontre, il n’en demeure pas moins que la CNIL a d’ores et déjà indiqué qu’elle ferait preuve de clémence, dans un premier temps, s’agissant des obligations nouvelles issues du RGPD. N’ayant, à ce jour, pas elle-même satisfait à l’ensemble de ses propres obligations (publication de la liste des traitements soumis à analyse d’impact, diffusion de référentiels, etc.), la CNIL ne saurait raisonnablement reprocher aux acteurs publics de ne pas être, à ce jour, parfaitement en conformité avec la nouvelle logique portée par le RGPD. En revanche, la CNIL a d’ores et déjà prévenu qu’elle renforcerait très largement son contrôle quant au respect des règles préexistantes issues de la loi CNIL, et n’hésiterait pas à sanctionner les organismes qui les méconnaîtraient. L’urgence est dès lors la vérification du respect de ces règles vieilles de 40 ans, à laquelle, il faut l’admettre, il n’était pas toujours porté une attention suffisante. Et c’est d’ailleurs, là, à notre sens, que se situe le principal changement !

En réalité, en effet, les plus grandes évolutions liées à l’entrée en vigueur du RGPD procèdent surtout de la prise de conscience généralisée qui a accompagné son entrée en vigueur et de la logique de responsabilisation et de vigilance permanente portée par ce texte.

De sorte que c’est bien ce changement de paradigme qui constitue le principal bouleversement, dont les acteurs publics doivent prendre la mesure, lequel se matérialise à travers les trois nouvelles obligations concrètes suivantes.

– Les acteurs publics seront tout d’abord désormais tenus de désigner un délégué à la protection des données. L’article 37 du RGPD prévoit, en effet, désormais expressément que toutes les autorités et tous les organismes publics, sans aucune exception, sont tenus de désigner un délégué à la protection des données. Alors que, jusqu’à présent, seules 2% des communes, la moitié des EPCI et des départements et 2/3 des régions avaient désigné un correspondant informatique et liberté (CIL), le RGPD impose désormais la généralisation obligatoire de ces désignations, autorisant toutefois la possibilité d’avoir recours à un délégué à la protection des données externe et / ou mutualisé. Dans ses lignes directrices consacrées à ce nouvel acteur, le G29 (regroupement de toutes les CNIL européennes) recommande d’ailleurs largement, au-delà, que les personnes privées exerçant une mission de service public dans des conditions comparables à celles des personnes publiques se dotent également d’un délégué à la protection des données. Eu égard aux garanties d’indépendance et de compétence que se doit de revêtir ce délégué à la protection des données, les enjeux entourant sa désignation ne sont pas neutres et doivent être attentivement considérés. Beaucoup de la réussite et des perspectives positives dressées par le processus de mise en conformité dont il aura la charge dépendra des qualités techniques et humaines de ce délégué à la protection des données.

– Ce dernier aura en effet comme principale mission nouvelle d’établir un registre des traitements, lequel devra permettre d’attester de la parfaite conformité de l’organisme au RGPD. Pour ce faire, il lui appartiendra de procéder au recensement de l’ensemble des traitements ayant fait l’objet ou non de formalités préalables auprès de la CNIL déployés au sein de l’organisme et de faire un audit général des mesures de sécurité mises en œuvre pour en garantir la parfaite sécurité. Un travail de dentelle devra dès lors être opéré au sein de chaque service pour déceler l’ensemble des traitements existants et les conditions précises de leur exécution. S’en suivra très probablement l’impulsion de nouvelles méthodes de travail, lesquelles devront être amenées habilement pour être acceptées et appliquées par tous.

– Ce délégué aura ensuite une mission plus particulièrement juridique relative à la mise en conformité de l’ensemble des contrats liant son organisme dont l’exécution pourrait donner lieu à un traitement de données à caractère personnel. L’une des évolutions les plus sensibles du RGPD tient en effet à la responsabilisation des sous-traitants, laquelle implique cependant des nouvelles obligations, en termes de contractualisation, pour clarifier précisément les responsabilités de chaque entité s’agissant de la mise en œuvre d’un traitement de données à caractère personnel. Pour les acteurs publics, cette évolution est dès lors particulièrement bénéfique en ce qu’elle va contraindre leurs cocontractants à se préoccuper davantage de ces enjeux et à leur proposer des outils intégrant, par eux-mêmes, les enjeux de protection des données à caractère personnel (conforme au nouveau principe « Privacy by design »). Cependant, dans un premier temps, cela va les contraindre à un effort complémentaire dans la rédaction de leurs contrats. La parfaite maîtrise de la réglementation est d’ailleurs, à ce titre, essentielle, puisqu’il est constant qu’elle est sujette à interprétation et que dans le cadre d’une renégociation contractuelle, chacun tentera de faire valoir ses propres intérêts et de minimiser ses responsabilités.

II-            Quelques conseils pratiques pour contenir l’effort de mise en conformité et en saisir toutes les opportunités

Les premiers retours d’expérience sur les mises en conformité au RGPD permettent aujourd’hui de dégager plusieurs règles de conduite garantes d’une perception positive de ce nouvel effort à engager pour les acteurs publics.

Nul besoin de préciser que la conviction de l’utilité d’une réforme conditionne pour beaucoup la réussite de son déploiement.

A cet effet et en plus d’être en capacité de faire preuve de beaucoup d’enthousiasme dans la mise en œuvre d’une nouvelle réglementation représentant un enjeu de libertés fondamentales certain et porteuse, à bien des égards, de débats idéologiques passionnants, le processus de mise en conformité doit être engagé, en application des trois principes directeurs suivants.

– Le respect d’une méthodologie rigoureuse. Le premier conseil qui nous semble devoir être présenté, s’agissant de ce processus de mise en conformité, consiste dans le suivi d’une méthodologie rigoureuse, établie dans l’objet de minimiser autant que possible les efforts nécessités. Outre le déroulé proposé par la CNIL en 6 étapes (disponible sur son site internet), il nous semble, à cet effet, particulièrement opportun de penser le travail d’audit directement dans le souci de la documentation de la conformité attendue ultérieurement et, par suite, via l’établissement concomitante d’un pré-registre et d’un référentiel de sécurité. En tout état de cause et pour éviter à la fois les risques de dispersion et d’épuisement, la définition d’une méthodologie au lancement du processus de mise en conformité et son suivi rigoureux constitue un gage notoire d’efficacité.

– La priorisation des actions. La seconde recommandation qui mérite opportunément d’être respectée consiste en la capacité de définir des actions à mener prioritairement à d’autres.

Condition d’une répartition des efforts équilibrée, une telle priorisation sera aussi, en effet, la garantie d’une limitation des risques de sanction de la CNIL. Plus précisément, trois types de priorisation devront être respectés et idéalement conciliés :

  • Une priorité selon le risque, qui consiste à prioriser selon les sanctions effectives encourues. A ce titre et parce que la CNIL a annoncé qu’elle sanctionnerait en premier lieu les atteintes aux principes de la réglementation relative à la protection des données antérieurs au RGPD, il devra être effectué ce travail de vérification liminaire de la conformité de l’organisme aux règles qui préexistaient à l’entrée en vigueur du RGPD. Conformément à ce critère de priorité, il sera également décidé d’accorder une attention particulière aux demandes des personnes concernées relatives à l’un des droits consacrés par cette réglementation afin de limiter les risques de plainte potentielle desdits administrés auprès de la CNIL. Il est entendu, en effet, que plus la CNIL recevra de plaintes à l’égard d’un organisme, plus elle sera tenté de le contrôler.
  • Une priorité selon les enjeux, qui consiste, notamment, à procéder prioritairement à la révision des contrats présentant un enjeu important, en termes de responsabilité pour le pouvoir adjudicateur. Dit autrement, il s’agit de modifier, en premier lieu, les contrats portant sur les traitements de données à caractère personnel les plus risqués (parce qu’ils portent sur des données sensibles ou parce les opérations qu’ils concernent sont en tant que telle risquées).
  • Une priorité selon l’effort de mise en conformité requis, consistant, enfin, à prioriser les actions de mise en conformité rapides et visibles pour être en mesure de démontrer immédiatement un engagement réel dans la mise en conformité au RGPD.

– La mise à profit du travail d’introspection. La dernière préconisation pratique qu’il convient de considérer, bien qu’elle ne soit pas la plus aisée à mettre en œuvre, a trait à la mise à profit du processus de mise en conformité au RGPD, dans les autres missions et activités de l’organisme.

Au-delà de la réduction des informations traitées, de l’optimisation de l’usage de ces données et d’une plus grande fluidité des échanges entre les différents intervenants d’un traitement, que devra en tout état de cause permettre le déploiement effectif de cette mise en conformité, l’objet serait ainsi notamment de se servir de ce travail d’introspection pour permettre à l’organisme de respecter par exemple ses obligations en matière d’open data, d’effectuer une réforme de la gouvernance d’un organisme ou encore de faire de la meilleure transparence et de la rénovation de l’utilisation des données un véritable engagement politique.

*

Dans un tel contexte de mutation, le Cabinet SEBAN & Associés, fidèle à son engagement en faveur des acteurs publics et para-publics locaux, s’est doté de moyens importants pour accompagner sa clientèle dans la mise en conformité de leurs pratiques à l’égard de ce nouveau cadre de protection des données personnelles. Il apparaît de façon particulièrement évidente qu’une juste et saine application de ces textes suppose une connaissance fine de l’univers de l’organisation concernée et qu’une approche « métier », secteur d’activité par secteur d’activité, permet seule de cerner les enjeux et de proposer des solutions adaptées et praticables.

Dans les brèves qui suivront, qui n’ont aucunement la prétention de l’exhaustivité, les différents référents du Cabinet, qui ont vocation à soutenir ponctuellement l’activité de l’équipe dédiée au droit des données, exposent synthétiquement les différents enjeux identifiés dans leur champ de compétence, permettant de prendre conscience de la diversité et de la transversalité des questionnements induits par l’application du nouveau cadre juridique.

Protection des données personnelles et construction (l’exemple du BIM)

Une mise en relation des principes issus du RGPD et du développement du BIM (Building Information Modeling) dans le secteur du BTP et ses impacts juridiques sur les acteurs publics de la construction s’avère indispensable.

En effet, rappelons que le BIM peut être défini comme un processus collaboratif permettant aux différents intervenants à une opération de construction de partager, à tous les stades du projet, les informations relatives à la conception, l’exécution et l’exploitation d’un bâtiment. Ce travail collaboratif s’effectue notamment autour d’une maquette numérique accessible à l’ensemble des intervenants.

Plusieurs niveaux, classés de 0 à 3, déterminent le degré d’interaction numérique de ce processus collaboratif.

A ce jour, le cadre juridique du BIM n’est pas défini, y compris en droit de la commande publique, alors même que l’ordonnance n° 2015-899 du 23 juillet 2015 et son décret n° 2016-360 du 25 mars 2016, pris en application de la directive européenne 2014/24/UE, prévoient la possibilité pour les maîtres d’ouvrage d’exiger la réalisation du projet en mode BIM de leur prestataire (article 42 du décret du 25 mars 2016).

Dans ces conditions, le contrat demeure pour le moment la loi des parties.

Or, le BIM impliquant une mise en commun de données, surtout dans le cas d’une collaboration élevée entre les intervenants (niveaux 2 et 3), des difficultés liées à la facilité d’exportation de ces données peuvent survenir.

Ainsi, dans la mesure où la mise en place du BIM peut appeler à la fois une collecte de données professionnelles et personnelles, la question de l’application du RGPD à un projet numérisé se pose nécessairement.

A noter que la suppression du régime déclaratif auprès de la CNIL des données personnelles est bénéfique dans le cadre du BIM car le contenu de ces données ne pourra être connu qu’au fur et à mesure de l’avancement du projet et non aux prémices de son développement.

Pour autant, la nouvelle logique de responsabilisation implique de s’interroger sur la désignation du délégué à la protection des données (DPD) au sein d’un projet de construction numérisé : celui-ci sera-t-il le BIM Manager (chargé de veiller au respect des normes techniques et environnementales) ? Le maître d’œuvre ? Ou le maître d’ouvrage public ?

Dans ce dernier cas, les acteurs publics devront veiller à intégrer les données personnelles éventuellement collectées au sein d’un projet de construction numérisé au système de traitement choisi : externalisation par le biais d’un prestataire de services dans le cadre de la sous-traitance du RGPD ou collecte interne.

S’agissant de la sous-traitance, il doit être précisé que cette notion au sens du RGPD ne doit pas être confondue avec celle de sous-traitant au sens de la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance.

En effet, la loi de 1975 définit la sous-traitance comme étant une opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître d’ouvrage (article 1er).

Pour le RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4 du RGPD).

Ainsi, les titulaires de marchés publics peuvent, alors qu’ils sont considérés comme entrepreneurs vis-à-vis des acheteurs publics au regard de la loi de 1975, être considérés comme des sous-traitants vis-à-vis de l’acheteur public au regard du RGPD dans le cadre de l’exécution du marché public.

A noter également que la désignation du maître d’ouvrage public en qualité de BIM Manager et de délégué à la protection des données doit faire l’objet d’une vigilance particulière au titre des risques d’immixtion du maître d’ouvrage public dans la gestion du projet qui peut être qualifiée de fautive.

En conclusion, si l’entrée en vigueur du RGPD implique une responsabilisation généralisée des acteurs publics, tous domaines confondus, le BIM, outil numérique encore peu encadré, doit désormais attirer d’autant plus l’attention des maîtres d’ouvrage publics qui souhaitent y recourir s’agissant de la collecte de données personnelles.

Protection des données personnelles et droit des sociétés

Le RGPD substitue au régime de formalités préalables prévu par la loi informatique et libertés du 6 janvier 1978, un système fondé sur la responsabilité des acteurs qui devront démontrer la conformité de leurs traitements à ce règlement à tout moment.

Les entreprises traitant les données personnelles de leurs clients sont particulièrement impactées par ce nouveau corpus dans la mesure où il crée un certain nombre d’obligations nouvelles, tendant notamment à la tenue de registres ou à l’analyse d’impact.

  • Une vigilance accrue en matière de contrats commerciaux

Il convient de noter que, précédemment, le non-respect d’une disposition de la loi informatique et libertés pouvait entrainer la nullité du contrat.

En effet, un arrêt de la chambre commerciale de la Cour de cassation (Cass. com 25 juin 2013, n°12-17037), au visa des articles 1128 du Code civil et 22 de la loi informatique et liberté, a prononcé la nullité de la cession d’un fichier de clientèle non déclaré à la CNIL pour illicéité de l’objet.

Cette jurisprudence a depuis été consacrée puisque « un fichier client non déclaré à la CNIL est hors commerce et ne peut faire l’objet d’une disposition contractuelle » (CA Bordeaux, Civ. 1, 16 janv. 2017).

Cette position devrait continuer à s’appliquer.

En effet, le RGPD renforce encore davantage les obligations des parties à un contrat informatique.

On entend par là les contrats d’hébergement, de maintenance, de cloud computing, ou tout contrat ayant pour objet le traitement de données personnelles passé entre deux professionnels.

L’hébergeur a donc à charge de protéger la preuve de sa transmission de tous documents, procédures, guides et chartes qu’il remet à son futur partenaire lors des négociations, afin d’assurer qu’il sera en mesure de respecter les nouvelles obligations européennes.

Les parties sont alors incitées à discuter de manière approfondie de leurs politiques respectives de protection des données à caractère personnel avant de conclure un contrat.

Par ailleurs, selon le RGPD, les parties à un contrat peuvent prendre la qualité de responsable du traitement, de coresponsable de traitement, de sous-traitant, voire de tiers destinataire.

Dès lors, la qualité de chaque partie aura un impact sur les obligations qu’elle porte, et sur la forme du contrat. Toutes les entreprises sont donc aujourd’hui amenées à revoir les contrats qu’elles ont passés. Il s’agit pour elles d’une opération minutieuse mais essentielle, pour se mettre en conformité avec la nouvelle réglementation.

  • Une nouvelle organisation du traitement des données personnelles

Le RGPD va conduire les entreprises à réorganiser leurs services traitant des données personnelles afin de se conformer aux nouvelles obligations qui leur sont imposées.

Ainsi, on peut observer que les entreprises sont dorénavant conduites à renforcer :

–    L’obligation de protéger toutes leurs données : le niveau de cette exigence dépend du type de données que les entreprises collectent, l’usage qu’elles en font ou, tout simplement, leur taille. Ainsi, les entreprises de plus de 250 salariés ont l’obligation de tenir un registre recensant l’ensemble des traitements effectués dans le cadre de leur activité. Il en est de même des entreprises qui traitent des données sensibles ou susceptible de présenter un risque pour les personnes concernées, ou encore qui font du suivi comportemental à grande échelle, ou encore dont le cœur d’activité nécessite des traitements récurrents. Concrètement, peu d’entreprises devraient échapper à cette obligation.

–    L’obligation de mettre à jour systématiquement ces données : L’objectif est de « limiter la quantité de données traitées dès le départ ». Cela implique pour les entreprises de bien cerner les données dont elles ont réellement besoin, et de définir les moyens pour les protéger.

–    L’information des clients et salariés : Il s’agit aussi d’informer les clients, salariés ou sous-traitants des données récoltées et de leur préciser dans quel but, ainsi que de tous les outils mis en place pour garantir leurs droits.

–    Le contrôle des données en procédant à la nomination d’un délégué à la protection des données (DPD) : Les entreprises peuvent être soumises à l’obligation de nommer en leur sein ou en externe un DPD, selon qu’elles gèrent ou non des traitements de données à grande échelle ou de nature sensible. Quoi qu’il en soit, il est fortement encouragé de nommer, à tout le moins, au sein de l’entreprise, un référent données personnelles qui sera particulièrement sensibilisé à ces sujets, afin de veiller à la pleine conformité permanente au cadre légal de la gestion des données personnelles par l’organisation.

D’éventuels manquements aux règles du RGPD exposeront à des sanctions pouvant aller jusque 20 millions d’euros ou 4% de leur chiffre d’affaires global (le chiffre le plus important étant retenu).

Protection des données personnelles et copropriété

Les nouvelles règles d’utilisation et de diffusion des données personnelles issues du RGPD visent principalement à renforcer les droits des personnes physiques et à responsabiliser les acteurs traitant des données.  

Elles ont donc vocation à s’appliquer à toutes personnes physiques ou morales (administration, société, association, etc.) détenant et traitant des données à caractère personnel.

Or, les syndics de copropriété gèrent au quotidien des données à caractère personnel (données comptables, financières et techniques, tenue d’une liste à jour des copropriétaires, immatriculation de la copropriété, etc.).

Ils sont donc concernés par le RGPD et doivent par conséquent se conformer aux exigences imposées par ce règlement.

  • Avant d’identifier le traitement à mettre en place pour se conformer au RGPD, chaque structure de syndic doit procéder à un audit interne de toutes les catégories de données matérielles et immatérielles dont elle a la gestion, afin de faire la part entre les diverses informations traitées ainsi que l’objet de chacune des opérations effectuées. Cet audit doit également concerner la destination de chaque information détenue ou échangée, son lieu d’hébergement (virtuel ou matériel), identifier la durée de conservation des informations concernées.

C’est grâce à cet état des lieux que pourra être sereinement envisagé la mise en place d’un traitement documenté, suivi et approprié des données, nécessaire à la mise en conformité avec les exigences du RGPD.

  • Conformément au b) du 1 de l’article 37 du règlement, le responsable du traitement, en l’occurrence le syndic, devra en tout état de cause désigner un délégué à la protection des données (qui peut être interne ou externe à l’entreprise), son activité consistant en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (aucune précision n’étant donnée sur le volume des dossiers traités, il convient pour le syndic de se conformer à cette exigence dès lors qu’il gère un nombre significatif de dossiers, ce qui a priori est toujours le cas).

 

  • L’article 30 du règlement exige que chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. L’exigence s’imposera aux structures de syndic en tant qu’elles mettent régulièrement en œuvre de tels traitements.

Protection des données personnelles et sanctions pénales

Depuis le 25 mai 2018, le règlement européen sur la protection des données (RGPD) a introduit de nouvelles règles d’utilisation et de diffusion des données personnelles concernant l’ensemble des personnes physiques et morales ayant vocation à détenir et traiter des données à caractère personnel.

Outre les sanctions administratives alourdies prévues par le RGPD, celui-ci impose aux Etats de prévoir des sanctions autres qu’administratives ; rappelons en effet qu’aux termes de l’article 84 1° du RGPD :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives ».

En droit pénal français ces infractions existaient déjà et se trouvaient notamment :

  • Au Livre II, Titre II, chapitre VI, section 5 de la partie législative code pénal «les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » ;
  • Aux articles R. 625-10 à R. 625-13 du code pénal.

Ainsi sont punis d’une peine maximum de 5 ans d’emprisonnement et d’une amende pouvant aller jusqu’à 300.000 euros, le fait par les personnes responsables du traitement de :

  • procéder à celui-ci sans respecter des formalités préalables à leur mise en œuvre par la loi (articles 226-16 du Code pénal) ;
  • détourner la finalité des données personnelles (article 226-21 du Code pénal) ;
  • procéder à ce traitement en violation de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité (articles 226-17 et 226-17-1 du Code pénal) ;
  • collecter de données par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) ;
  • procéder à un traitement de données concernant une personne malgré son refus, lorsque ce traitement est fait à des fins de prospection ou lorsque cette opposition est fondée sur des motifs légitimes (articles 226-18-1 du Code pénal) ;
  • mettre ou conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci (articles 226-19 du Code pénal) ;
  • procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et Libertés (article 226-22-1 du Code pénal).

Par ailleurs, l’absence d’information des personnes concernées par le traitement et le non-respect de leurs droits peuvent faire encourir au responsable du traitement une peine pouvant aller jusqu’à 1.500 euros par infraction constatée (article R. 625-10 et suivants du Code pénal).

Rappelons enfin que le cumul des sanctions administratives et pénales étant possible, l’article 47 de Loi 78-17 du 6 janvier 1978 modifiée dispose que lorsque la formation restreinte de la CNIL a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.

Notre engagement pour la protection des données personnelles

Depuis l’entrée en vigueur du RGPD, le Cabinet SEBAN & Associés souhaite être exemplaire dans sa conformité à ce Règlement, tant vis-à-vis de ses clients que de ses collaborateurs et salariés, les avocats y ont été particulièrement sensibilisés.

A cet effet, plusieurs actions ont été mises en œuvre grâce au travail conjoint du Secrétariat général et des avocats du secteur RGPD : modification des clauses insérées dans les conventions d’honoraires, contrats de collaboration, contrats de travail et différents courriers ; modifications des mentions légales de nos sites Internet (le site institutionnel et e-seb@n.fr) et création d’un registre des activités de traitement.

Le Cabinet SEBAN & Associés veille à ne collecter et ne traiter que des données strictement nécessaires au regard de la finalité pour laquelle elles sont traitées. Les traitements mis en œuvre par le Cabinet SEBAN & Associés répondent à une finalité explicite, légitime et déterminée. Les destinataires des données à caractère personnel collectées sont les avocats et le personnel administratif du Cabinet, lesquels sont soumis à un strict devoir de confidentialité. Les données sont conservées pour la durée nécessaire aux actions pour lesquelles elles ont été collectées (exécution d’un marché ; gestion d’un contentieux ; recrutement d’un salarié ; etc.).

Par ailleurs, le Cabinet SEBAN & Associés assure la sécurité des données à caractère personnel en mettant en place une protection des données renforcée par l’utilisation de moyens de sécurisation : sécurisation des locaux et des serveurs ; accès par mot de passe aux sessions informatiques, etc. Toutes ces modalités sont précisées dans le Registre des activités de traitement du Cabinet.

Toutes les équipes du Cabinet SEBAN & Associés sont mobilisées, outre la création d’un secteur dédié, des référents ont été désignés pour chacun des secteurs d’activité garantissant ainsi à nos clients l’assistance adéquate dans leurs problématiques liées à ces nouvelles exigences.

La saga TEOM se poursuit devant le Conseil d’Etat

Le Conseil d’Etat poursuit son œuvre prétorienne dans le cadre de son contrôle sur la proportionnalité des taux de taxe d’enlèvement des ordures ménagères (TEOM) fixés par les collectivités compétentes.

Par une décision rendue en mars 2014 (CE, 31 mars 2014, Société Auchan, req. n° 368111), le Conseil d’Etat a jugé que la TEOM devait financer sans excédent manifeste (pas plus de 15%) le coût du service public de gestion des déchets. La pratique révélait souvent, en effet, un vote des taux en excédent pour permettre un financement supplémentaire vers le budget général de la collectivité.

Depuis cet arrêt, les difficultés ont commencé, et s’accentuent encore aujourd’hui, pour les collectivités territoriales en charge de ce service public. En effet, de plus en plus de contribuables (entreprises, associations de contribuables, élus de l’opposition) introduisent des recours, soit directement à l’encontre de la délibération fixant le ou les taux de TEOM sur le territoire de la collectivité, soit, le plus souvent, à l’encontre du titre de recettes émis par le Direction des finances publiques compétentes (la TEOM étant recouvrée en même temps que les autres impôts locaux).

Dans chacun de ces cas, il appartient à la collectivité de démontrer qu’au jour de l’adoption des taux, il n’existait pas de disproportion manifeste entre les recettes prévisionnelles qui découleront de l’application des taux votés et le cout réel du service. Mais il est délicat de se prêter à ce calcul, dans la mesure où les juridictions pouvaient révéler des divergences quant aux modalités de ce calcul.

D’abord, le Conseil d’Etat a considéré que seules les dépenses réelles du service pouvaient être prises en compte, c’est-à-dire les dépenses réelles de fonctionnement augmentées des dotations aux amortissements des immobilisations affectées au service public de gestion des déchets (CE, 19 mars 2018, Sté Cora, req. n° 402946). Il a en revanche écarté les dépenses dites générales, c’est-à-dire la fraction de dépenses liées au fonctionnement plus général de la collectivité et affectée au service (frais de personnels, part des moyens techniques et administratifs affectés au service public, coût ventilé des bâtiments et charges générales, …). Si cette position est contestable, elle a au moins eu le mérite de fixer plus précisément les dépenses qu’il était possible de prendre en compte pour le calcul du coût du service, alors que les juridictions du fond avaient des positions divergentes sur cette question.

Dans ses trois dernières décisions – objet de la présente analyse – le Conseil d’Etat précise que :

– la somme des excédents de fonctionnement résultant de l’exécution des budgets des années précédentes et reportée en section de fonctionnement n’a pas à être prise en compte au titre des recettes du service (CE, 25 juin 2018, Sté Auchan, req. n° 414056) ;

– seuls les éléments du budget primitif, et non ceux – définitifs, issus du compte administratif ou du rapport annuel sur le prix et la qualité du service, peuvent constituer la base du calcul. Si le juge constate une différence manifeste entre les documents prévisionnels et définitifs, il peut seulement ordonner un supplément d’instruction (CE, 26 juillet 2018, SCI Le Grand But, req. n° 415274) ;

– que la collectivité ait ou non institué la redevance spéciale prévue par l’article L. 2333-78 du Code général des collectivités territoriales et quel qu’en soit le produit (aujourd’hui l’instauration de cette redevance n’est plus obligatoire), le juge doit rechercher si le produit de la taxe n’est pas manifestement disproportionné par rapport au coût de collecte et de traitement des seuls déchets ménagers, non couvert par les recettes non fiscales affectées à ces opérations, c’est-à-dire n’incluant pas le produit de la redevance spéciale lorsque celle-ci a été instituée. Au surplus, les données générales, issues du rapport de la Cour des comptes de 2011 et de l’étude de l’association Amorce en partenariat avec l’Ademe de 2014, selon lesquelles les collectivités territoriales collectent et traitent un volume de 20 % de déchets non ménagers, ne suffisent pas à établir que le produit de la redevance spéciale était insuffisant pour couvrir le coût des déchets non ménagers : le juge doit alors rechercher, au besoin au moyen d’un supplément d’instruction s’il estime non probants les éléments produits par le requérant, quelle était la part des coûts du service relatifs aux déchets non ménagers, pour procéder à la comparaison entre le produit de la taxe et le coût de collecte et de traitement des seuls déchets ménagers, après déduction des recettes non fiscales affectées à ces opérations, c’est-à-dire n’incluant pas le produit de la redevance spéciale (CE, 26 juillet 2018, L’immobilière Groupe Casino, req. n° 413897).
Ces décisions, si elles permettent de définir plus précisément les modalités de calcul du coût du service et sa comparaison avec les recettes prévisionnelles de TEOM, ne rendent pour autant pas plus aisée la tâche des collectivités dans la démonstration du coût de ce service.

Recommandation du Médiateur de l’énergie sur le prix des abonnements d’électricité et la publicité des offres afférentes à ces contrats

Une cliente avait souscrit un premier contrat en novembre 2016 avec un fournisseur d’électricité qui prévoyait des tarifs fixes pour l’abonnement et les consommations d’électricité. A la suite du rachat de ce fournisseur d’électricité, l’acquéreur avait proposé à celle-ci, le 8 novembre 2017, une nouvelle offre avec une réduction de 10% par rapport au tarif réglementé sur le prix hors taxes du kWh. Cette dernière avait accepté la nouvelle offre dans la mesure où le contrat garantissait un prix fixe.

Les deux premières factures ont été établies conformément aux prix prévus contractuellement, mais la cliente a vu le montant de ses factures augmenter à partir du 1er février 2018. Elle a donc saisi le Médiateur de l’énergie.

Ce dernier s’est livré à une analyse du contrat en cause et a constaté que, nonobstant la mention d’un prix fixe, les grilles de prix des deux offres souscrites successivement prévoyaient toutes deux un prix fixe pour les consommations en kWh (« hors évolution des impôts, taxes et contributions de toute nature »), mais indexé concernant l’abonnement, dans la mesure où son prix est aligné sur le tarif réglementé de vente de l’électricité. 

Le médiateur de l’énergie considère que dès lors que les tarifs réglementés évoluant régulièrement sur décision des pouvoirs publics, le fournisseur était fondé à répercuter cette évolution dans sa facturation.

En revanche, il considère que le fournisseur « devrait corriger l’information qui accompagne son “ Offre Electricité verte ”, qui, de par son contenu ambiguë, […] a laissé croire que les prix fixes garantis concernaient aussi l’abonnement ».

Décision du Cordis relative à une demande de modification des conditions de raccordement d’une installation de consommation au réseau public de distribution d’électricité

R et Mme R (ci-après, les « requérants ») ont adressé à la société Enedis, par une lettre du 4 août 2015, une demande de modification du raccordement de leurs installations pour passer d’un raccordement de type C3 à un raccordement de type C5.

Le 19 août 2015, la société Enedis a communiqué aux requérants une proposition de raccordement en se fondant sur la version 4 du barème pour la facturation des raccordements au réseau public de distribution d’électricité concédé à ERDF.

Les requérants ayant jugé la proposition de la société Enedis excessive. ils ont donc saisi le comité de règlement des différends et des sanctions (ci-après, le « Cordis ») d’une demande tendant notamment à ce qu’il constate que la société Enedis avait rompu l’égalité devant les charges publiques par le caractère excessif du montant des travaux de raccordement envisagés. Les requérants ont également conclu à la condamnation de la société Enedis au titre des préjudices qu’ils estimaient avoir suivi. Enfin, les requérants demandaient au Cordis d’ordonner à la société Enedis la modification des propositions techniques et financières relatives à leur demande de raccordement.

Avant de se prononcer au fond, le Cordis rappelle les dispositions de l’article L. 134-19 du Code de l’énergie. Il juge ainsi qu’il ne suffit pas qu’un différend oppose un gestionnaire de réseau à un utilisateur pour que le comité soit compétent pour le trancher. Le Cordis poursuit en jugeant qu’une demande de constat d’une méconnaissance de l’obligation d’égalité devant les charges publiques a pour objet de mettre en œuvre la responsabilité sans faute de la personne publique, notamment du fait des lois ou du fait de décisions administratives régulières, en vue d’obtenir réparation d’un préjudice et qu’il ne lui appartient pas, au titre des dispositions précitées du Code de l’énergie, fondant la compétence du Cordis, de statuer sur les demandes tendant à la réparation d’un préjudice.

Le Cordis rejette donc pour incompétence les demandes des requérants tendant à la condamnation de la société Enedis au titre d’une rupture d’égalité devant les charges publiques. Il se reconnaît néanmoins compétent pour apprécier la demande tendant à ce qu’il soit ordonnée à la société Enedis la modification des propositions techniques et financières relatives à la demande de raccordement des requérants.

Le Cordis commence alors par rappeler qu’au titre de l’article L. 342-8 du Code de l’énergie, « lorsque le gestionnaire du réseau public de distribution est le maître d’ouvrage des travaux, les principes généraux de calcul de la contribution qui lui est due sont arrêtés par l’autorité administrative sur proposition de la Commission de régulation de l’énergie. Ils peuvent prendre la forme de barèmes. Les barèmes de raccordement, établis par chaque gestionnaire de réseau de plus de 100 000 clients, sont soumis à l’approbation de la Commission de régulation de l’énergie ».

Il rappelle ensuite qu’au titre de l’arrêté du 28 août 2007 fixant les principes de calcul de la contribution mentionnée aux articles 4 et 18 de la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité, chaque gestionnaire de réseau public de distribution établit un barème de raccordement qui entre en vigueur trois mois après son approbation par la Commission de régulation de l’énergie.

En l’espèce, le Cordis relève que la société Enedis avait appliqué la version 4 du barème de raccordement fut ce à la demande des requérants du 4 août 2015. Or, il relève que ce barème avait été approuvé par la Commission de régulation de l’énergie le 8 juillet 2015 et n’entrait en vigueur qu’à compter du 8 octobre 2015. Il en conclut que c’est donc la version 3 de ce barème qui aurait dû être appliquée à la demande de raccordement des requérants.

En conséquence, le Cordis fait droit à la demande des requérants sur ce point et ordonne à la société Enedis de communiquer une proposition technique et financière, en application de l’article 14 de son barème de raccordement, version 3, pour la modification du raccordement de leurs installations.

Les nouveaux tarifs réglementés de vente d’électricité applicables au 1er août 2018

Publiés au Journal Officiel de la République française du 31 juillet 2018, le Ministre de la transition écologique et solidaire et le Ministre de l’économie et des finances ont pris conjointement trois décisions par lesquelles ils fixent les tarifs réglementés de vente de l’électricité (ci-après les « TRVE ») : 

–       La décision du 27 juillet 2018 relative aux tarifs règlementés de vente de l’électricité applicables aux consommateurs non résidentiels en France métropolitaine continentale ;

–       La décision du 27 juillet 2018 relative aux tarifs réglementés de vente de l’électricité applicables aux consommateurs résidentiels en France métropolitaine continentale ;

–       La décision du 27 juillet 2018 relative aux tarifs réglementés de vente de l’électricité Jaunes et Verts applicables aux consommateurs en France métropolitaine continentale.

Ces trois décisions tarifaires font suite à la décision du Conseil d’Etat  du 18 mai 2018, Société Engie et Association nationale des opérateurs détaillants en énergie, (n°413688 et 414656) – portant sur l’annulation partielle des TRVE jusqu’alors applicables – et à la proposition de la Commission de régulation de l’énergie du 12 juillet 2018 conformément à l’article L. 337-4 du Code de l’énergie (cf. notre Focus du 7 juin 2018 sur le sujet).

Par la décision du Conseil d’Etat du 18 mai 2018 précitée, les TRVE jusqu’alors applicables ont été annulés au motif que la décision dans laquelle ils étaient fixés « est applicable à tous les consommateurs finals, domestiques ou non domestiques, pour leurs sites souscrivant une puissance inférieure ou égale à 36 kilovoltampères » (cf. CE, 18 mai 2018, Société Engie et Association nationale des opérateurs détaillants en énergie, n° 413688 et 414656).

Les décisions tarifaires commentées se déclinent désormais en trois catégories de consommateurs finals : (i) les consommateurs domestiques, (ii) les consommateurs non-domestiques, ces derniers étant visés à l’article L. 337-7 du Code de l’énergie, et (iii) les consommateurs bénéficiant encore des tarifs réglementés « Jaunes » ou « Verts » visés à l’article L. 337-9 du Code de l’énergie.

Surtout, la décision portant sur les TRVE applicables aux non résidentiels précise que les options tarifaires proposées sont en voie d’extinction « pour les sites non résidentiels appartenant à une grande entreprise », et cela en application de la décision du Conseil d’Etat précitée.

C’est également le cas pour les sites non résidentiels appartenant à une grande entreprise s’agissant des deux options tarifaires applicables aux tarifs réglementés de vente dits « Verts », en voie d’extinction par application de la décision du Conseil d’Etat précitée.

Et, aux termes des articles 2 respectifs des décisions portant sur les TRVE applicable aux non résidentiels et aux tarifs « Jaunes » et « Vert » : « on entend par grande entreprise toute entreprise répondant aux critères d’une grande entreprise au sens du décret n° 2008-1354 du 18 décembre 2018 relatif aux décrets permettant de déterminer la catégorie d’appartenance d’une entreprise pour les besoins de l’analyse statistique et économique ».

Enfin, ces trois décisions tarifaires sont entrées en vigueur depuis le 1er août 2018.

Publication d’une instruction ministérielle portant sur la loi relative à la mise en œuvre du transfert des compétences « eau » et « assainissement » aux communautés de communes.

Moins d’un mois après la publication de la loi n° 2018-702 du 3 août 2018 relative à la mise en œuvre du transfert des compétences « eau » et « assainissement » aux communautés de communes, l’instruction ministérielle relative à l’application de ce texte est parue le 28 août dernier.

Elle revient sur l’instauration – conditionnée et temporaire – du report du transfert des compétences « eau » et « assainissement » des communes vers les communautés de communes : alors que l’article 64 de la loi n° 2015-991 du 7 août 2015 devait rendre celles-ci obligatoires à compter du 1er janvier 2020, les communes membres d’une communauté de communes peuvent obtenir un report de ce transfert obligatoire au 1er janvier 2026.

Cette faculté est toutefois strictement conditionnée, nous rappelle l’instruction, puisqu’elle « est exclusivement réservée aux communes membres de communautés de communes n’exerçant, à la date de publication de la loi, ni à titre optionnel, ni à titre facultatif, la compétence en cause, y compris partiellement, à l’exception notable du service public d’assainissement collectif ». Autrement dit, une communauté de communes exerçant une compétence facultative limitée par exemple à la production d’eau potable (et non à la distribution aux usagers), deviendra immanquablement compétente pour l’ensemble de la compétence « eau » au 1er janvier 2020. En revanche, si la communauté en cause est dotée d’une compétence « eau » mais pas de compétence « assainissement », seul le report de la compétence « eau » est exclu.

Dans le cas où la communauté de communes en cause ne disposait pas de compétence en « eau » ou en « assainissement », l’Instruction rappelle que le report n’est pas automatique : il faut que les communes délibèrent selon un mécanisme de « minorité de blocage », à l’image de ce qui existe déjà pour le plan local d’urbanisme. Concrètement, avant le 1er juillet 2019, au moins 25 % des communes membres de la communauté de communes, représentant au moins 20 % de la population, devront avoir délibéré en ce sens.

Elle précise enfin, ce qui ressort d’ailleurs expressément du texte que, même en cas de mise en œuvre du report, le transfert de la compétence aux communautés de communes reste possible avant le 1er janvier 2026 : outre la faculté que les communes conservent de transférer la compétence selon la procédure de droit commun, il suffit que le conseil communautaire délibère en ce sens et que les communes n’aient pas délibéré en réunissant les conditions de la minorité de blocage expliquée précédemment, dans le délai de trois mois « qui suit » la délibération communautaire, sans préciser le point de départ de ce délai : transmission au contrôle de légalité, notification aux maires des communes membres ?

L’Instruction revient par ailleurs sur les autres apports de la loi : une clarification – attendue – des « eaux pluviales », vis-à-vis de la compétence « assainissement », avec une reformulation du libellé de la compétence « assainissement » :

–       Pour les communautés urbaines et les métropoles, ce service public administratif est expressément rattaché à la compétence « assainissement », la compétence devenant « assainissement des eaux usées, dans les conditions prévues à l’article L. 2224-8, gestion des eaux pluviales urbaines au sens de l’article L. 2226-1 » ;

–       Pour les communautés d’agglomération et les communautés de communes, la compétence est désormais définie comme « assainissement des eaux usées, dans les conditions prévues à l’article L. 2224-8 [du CGCT] », article qui ne prévoit pas la gestion des eaux pluviales. L’Instruction en tire les conclusions et précise ainsi que, pour les communautés d’agglomération, l’eau pluviale, ou plus exactement la compétence « eaux pluviales urbaines », devient une compétence facultative, jusqu’au 1er janvier 2020 toutefois : à cette date en effet, elle deviendra une compétence obligatoire à part entière. Pour les communautés de communes en revanche, aucune compétence obligatoire de ce type n’étant prévue, elle pourra demeurer du ressort communal.

Apport utile de l’Instruction, elle revient sur les critères permettant d’identifier le caractère « urbain » des « eaux pluviales urbaines » :

–       Pour les EPCI dotés d’un plan local d’urbanisme ou d’un document d’urbanisme en tenant lieu, la compétence de l’EPCI en la matière doit être exercée dans les zones urbanisées et à urbaniser, ainsi que dans les zones constructibles délimitées par une carte communale ;

–       En l’absence de tels documents, dans les territoires couverts dès lors simplement par le Règlement national d’urbanisme (RNU), la détermination des parties urbanisées relève de l’appréciation de l’autorité locale, l’Instruction rappelant que « la partie urbanisée ne se limite pas nécessairement au centre bourg », et ajoutant que « la partie urbanisée d’une commune étant celle qui regroupe un nombre suffisant d’habitations desservies par des voies d’accès».

Toujours à propos des « eaux pluviales », l’Instruction rappelle qu’étant un service public administratif, elle doit être financée par le budget de l’EPCI et non par des redevances à l’usager (alors que l’assainissement est un service public industriel et commercial, financé par les redevances). L’Instruction indique ainsi que « par conséquent, l’assemblée délibérante de la collectivité ou de l’EPCI compétent en matière d’assainissement devra fixer forfaitairement la proportion des charges de fonctionnement et d’investissement qui fera l’objet d’une participation du budget général versé au budget annexe du service public d’assainissement », en renvoyant ses modalités exactes d’application à la circulaire du 12 décembre 1978 relative aux modalités d’application du décret n°67-945 du 24 octobre 1967 concernant l’institution, le recouvrement et l’affectation des redevances dues par les usagers des réseaux d’assainissement et des stations d’épuration.

Enfin, l’Instruction revient sur l’assouplissement des dispositions relatives au mécanisme spécifique de représentation-substitution des communes par les communautés de communes et les communautés d’agglomération au sein des syndicats de communes ou des syndicats mixtes spécifiques à l’exercice des compétences « eau » et « assainissement » : désormais, la représentation-substitution s’applique dès lors lorsque le syndicat intervient sur le territoire de deux EPCI à fiscalité propre (trois étaient auparavant requis).