Un règlement européen du 27 avril 2016 relatif à la protection des données personnelles (Reg. Parlement européen et du Conseil, n° 2016/679 du 27 avril 2016), qui est entré en vigueur le 25 mai 2018, vient renforcer les obligations auxquelles sont soumises les collectivités territoriales en matière de protection des données personnelles. Elles sont, à ce titre, tenues d’instaurer des mesures techniques et organisationnelles afin d’assurer la protection des données.

L’article 30 du règlement du 27 avril 2016 précité prévoit ainsi l’obligation de tenir un registre de traitement des données ayant pour vocation de démontrer la conformité des activités de traitement des données à la règlementation applicable. L’obligation de tenue d’un registre ne s’applique pas en principe à une organisation comptant moins de 250 employés, sauf si le traitement qu’elle effectue est susceptible de comporter un risque pour les droits et libertés des personnes concernées. Dès lors les collectivités territoriales vont être obligés de créer et de suivre ce registre, même si elles ont moins de 250 agents, compte tenu des traitements informatiques qu’elles utilisent (logiciel ressources humaines, état-civil, élections, etc…)

Les organismes publics responsables du traitement de données personnelles doivent également désigner un délégué à la protection des données (article 37 du règlement n° 2016-679 précité du 27 avril 2016) qui sera chargé de la mise en conformité des modalités de traitement des données aux règles relatives à la protection des données.

Les organismes publics traitant des données personnelles pourront faire l’objet de contrôles de la Commission Nationale de l’Informatique et des Libertés (CNIL), ceux-ci pouvant donner lieu à la prononciation de sanctions, en cas de non-respect de la réglementation relative à la protection des données personnelles.