Dans un contexte d’évolution des relations entre l’administration et le public et de dématérialisation croissante des services publics, les collectivités sont amenées à être de plus en plus présentes en ligne : sur leur site institutionnel, les réseaux sociaux ou encore en mettant en œuvre des téléservices. Intégrez les bonnes pratiques vous garantissant une présence en ligne en conformité avec le RGPD.
Votre collectivité utilise un site web et des comptes sociaux pour communiquer ?
Vérifiez si vous protégez suffisamment les données personnelles des personnes qui visitent votre site et vos réseaux sociaux.
Le caractère viral des plateformes comme Facebook, Twitter, LinkedIn ou Instagram mérite d’attacher un soin particulier à protéger les données des publics qui vous suivent.
À la clé : moins de risques de piratage et de fuites de données et une réputation en ligne préservée !
Vous avez un site institutionnel ?
Votre site présente votre collectivité, vos activités et vos actualités. Vous proposez un formulaire de contact et éventuellement l’inscription à un bulletin d’information.
Sur un site institutionnel, quelques réflexes de base sont à retenir. Prévoyez au minimum :
Des « mentions CNIL » en bas des formulaires de contact et d’abonnement. Des modèles sont proposés par la CNIL sur son site web.
Un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique.
Des mentions légales identifiant l’éditeur du site.
Votre site dépose des cookies ou des traceurs publicitaires ?
Lors de la consultation de votre site web vous pouvez déposer des cookies et autres traceurs sur les outils utilisés par les internautes (ordinateur, tablette, smartphone, etc.) pour analyser leur navigation et leurs habitudes de consultation.
Selon l’objectif du traceur que vous utilisez sur votre site, il est nécessaire, soit d’informer l’internaute de son existence (exemple : de session pour un téléservice), soit d’obtenir son consentement avant de déposer ou de lire un traceur sur son terminal.
Si votre site utilise des fonctionnalités offertes par d’autres sites (exemples : solutions de statistiques, boutons sociaux, vidéos provenant de plateformes tierces telles que Google, YouTube, Facebook, etc.), vous devez obtenir le consentement des visiteurs.
Vous mettez en place des téléservices ?
Un téléservice constitue le « guichet d’accueil » numérique proposé par une collectivité permettant aux usagers d’accomplir certaines démarches ou formalités administratives : demande de permis de construire, inscription au ramassage scolaire, demande de logement social, demande de pièces extraites de l’état civil, etc...
Un site web diffusant des informations sur la commune ou l’inscription à un bulletin municipal ne constitue pas un téléservice.
Les téléservices qui reposent sur la collecte de données personnelles constituent des traitements soumis à la réglementation sur la protection des données personnelles.
La collectivité, et son , doivent respecter des principes essentiels pour garantir le respect de la vie privée des usagers :
La pertinence et la proportionnalité
Le téléservice permet de faire transiter des données entre les usagers et les « applications métiers », les informations collectées et enregistrées doivent être pertinentes et strictement nécessaires à l’accomplissement de la démarche concernée.
Exemple de pertinence et proportionnalité
Ne pas imposer une authentification préalable de l’usager si celle-ci n’est pas strictement nécessaire à l’accomplissement d’une démarche ou d’une formalité administrative (la création d’un compte utilisateur pour se voir délivrer la copie d’un acte de mariage) et ne pas recueillir des données supplémentaires qui ne seraient pas strictement nécessaires (demander le numéro de carte d’identité pour la délivrance d’un extrait d’acte d’état civil).
La pluralité des identifiants
Pour mettre en œuvre un téléservice, la CNIL recommande l’utilisation d’un identifiant par service public proposé.
Exemple d’identifiant
Une collectivité qui propose un téléservice permettant d’accomplir différentes démarches administratives devra générer un identifiant par service public : état civil, permis de construire, etc.
Vous pouvez également utiliser le service « FranceConnect » pour gérer l’identification de vos usagers dans les démarches. Ce service est développé par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) pour simplifier les démarches en ligne.
Le cloisonnement des données des différentes sphères administratives
Le doit maintenir un cloisonnement des informations personnelles collectées en fonction de la finalité de leur collecte, qui est garanti par une politique de gestion des droits des personnes habilitées à accéder aux données en fonction de leurs missions.
La sécurité des données
Les mesures de sécurité décrites dans le Guide de la sécurité des données personnelles de la CNIL, avec une attention particulière aux questions relatives à la sécurisation des sites web, constituent un socle de bonnes pratiques à respecter pour mettre en œuvre un téléservice.
En matière de téléservice, la CNIL rappelle qu’une analyse de risque de la sécurité des systèmes d’informations est requise pour l’homologation du Référentiel Général de Sécurité (RGS). Des conseils méthodologiques sont disponibles.
Bonne pratique
Le doit être associé à la mise en oeuvre des téléservices.
