Réponse
Une administration publique est soumise aux règles du RGPD lorsqu'elle traite des données à caractère personnel concernant une personne. Il incombe aux administrations nationales de soutenir les administrations régionales et locales dans la préparation de l’application du RGPD.
En général, les données à caractère personnel détenues par les administrations publiques sont traitées sur la base d’une obligation légale ou dans la mesure où elles sont nécessaires à l’exécution des missions d’intérêt public ou à l’exercice de l’autorité publique dont les administrations sont investies.
Quand elle traite des données à caractère personnel, une administration publique doit s'assurer de respecter des principes fondamentaux tels que:
- le traitement loyal et licite;
- la limitation des finalités;
- la minimisation et la conservation des données.
Dans le cas du traitement fondé sur la loi, cette loi devrait déjà garantir le respect de ces principes (par exemple, les types de données, la durée de conservation et les garanties appropriées).
Avant le traitement des données à caractère personnel, les personnes concernées doivent être informées du traitement, notamment de ses finalités, des types de données collectées, des destinataires, et des droits de ces personnes à la protection des données.
Une administration publique doit nommer un délégué à la protection des données (DPD), toutefois, un seul délégué à la protection des données peut être désigné pour plusieurs organismes publics, et donc être commun à ces organismes, ou il peut sous-traiter un DPD externe. Elle doit également s'assurer d’avoir mis en œuvre les mesures techniques et organisationnelles appropriées pour sécuriser les données à caractère personnel. Si des parties du traitement sont sous-traitées à une organisation extérieure (dénommée «sous-traitant»), un contrat ou un autre acte juridique doit être conclu qui certifie que le sous-traitant fournit les garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées qui respectent les normes du RGPD.
Au cas où des données à caractère personnel détenues seraient divulguées de manière accidentelle ou illicite à des destinataires non autorisés, ou si elles étaient temporairement inaccessibles ou altérées, cette violation doit être notifiée à l’autorité de protection des données (APD) dans les meilleurs délais et au plus tard 72 heures après avoir pris connaissance de la violation. L'administration publique pourrait également devoir informer les personnes concernées de la violation.
Vous pouvez trouver plus d’informations sur les obligations des administrations publiques en vertu du RGPD dans la section «Entreprises et organisations».