Quantcast

Les 12 travaux de la mise en conformité des collectivités au RGPD

15 mai 2018, PAR Emile Marzolf
  • 04
    MIN
  • 0

© Fotolia

Une poignée de collectivités sont déjà prêtes pour l’entrée en application du Règlement général sur la protection des données (RGPD), le 25 mai, quand les autres amorcent tout juste leur transition. Mais toutes font face aux mêmes défis : préparer leurs agents aux nouvelles règles et établir la cartographie des traitements de données.


Certaines collectivités, comme Issy-les-Moulineaux, n’auront aucune difficulté à répondre aux obligations du règlement européen sur la protection des données, le RGPD, à compter du 25 mai, date de son entrée en application. Et pour cause, la ville des Hauts-de-Seine s’est dotée, dès 2009, d’un correspondant informatique et libertés (CIL) chargé de renseigner et de contrôler l’étendue et la finalité des traitements de données qu’elle opère. Le gros du travail est donc déjà accompli, mais pour les autres, tout – ou presque – reste encore à faire.

Sur le fond, la réglementation française était déjà très stricte en matière de protection des données personnelles. Toutefois, en imposant une logique de responsabilisation des acteurs publics, le RGPD vient bousculer toute l’organisation des collectivités territoriales, qui se lancent activement dans des campagnes d’information et d’audit, afin, d’une part, de préparer leurs agents aux nouvelles obligations et d’autre part, de dresser la liste des traitements et des données qu’elles opèrent [lire notre article sur le RGPD].

Informer et sensibiliser

Si les dispositions du règlement exigent un certain nombre d’adaptations techniques, notamment avec la tenue d’un registre des traitements, la transition est avant tout une affaire de prise de conscience. Avant même de s’engager dans les aspects techniques de la mise en conformité, le délégué à la protection des données (DPD) de la métropole européenne de Lille, Bernard Charles, s’est activé à convaincre le “top management” des enjeux de la protection des données. “J’ai d’abord planché devant le comité de direction avec un plan de travail sur le RGPD avec l’idée que, pour que cela fonctionne, il fallait leur faire comprendre que ce n’était pas une contrainte supplémentaire, mais une logique de conformité et de confiance autant avec le personnel qu’avec les citoyens”, explique l’actuel CIL et futur DPD de la métropole de Lille.

Pour bien des agents et directeurs, l’arrivée de nouvelles obligations est en effet synonyme de complexité. À Ville-d’Avray (Hauts-de-Seine), l’adjoint au maire, Thierry Siouffi, fait donc son possible pour convaincre de l’utilité du règlement dans chacun des services. “Nous avons d’abord sensibilisé l’ensemble des différents services sur l’enjeu de la donnée”, afin, explique-t-il, de prendre en compte toutes les spécificités, “car chaque service a son propre usage et sa propre maturité vis-à-vis de la donnée”.

Pis, certains agents n’ont pas même conscience qu’ils manipulent des données personnelles. Il convient donc en premier lieu de faire prendre conscience du “patrimoine digital” que possède le service et a fortiori, la collectivité. L’information et la formation des agents est l’une des priorités à Issy-les-Moulineaux, dont le directeur des systèmes d’information, Jean-Paul Poggioli, considère que “la principale faiblesse de tous les systèmes de sécurité reste l’utilisateur”. La commune aide donc les agents à s’approprier les enjeux de protection des données à travers des formations au numérique, qui intégreront sous peu un module consacré au règlement européen.

Établir une feuille de route

En parallèle de ce premier et essentiel travail de sensibilisation, les collectivités doivent adapter leur fonctionnement pour, notamment, tenir un registre des traitements qu’elles opèrent. Pour nombre d’entre elles, le défi n’est pas tant technique que pratique. À la métropole de Lille et à Issy-les-Moulineaux, par exemple, chacun des nouveaux traitements viendra directement intégrer le registre déjà mis en place par le CIL.

Pour d’autres, qui n’ont pas eu de CIL par le passé, on part souvent d’une feuille blanche et on peine encore à mesurer l’ampleur des changements que la mise en conformité occasionne. “Nous avons encore du mal à identifier les difficultés, concède Frédéric Frances, responsable du pôle numérique du centre départemental de gestion de la fonction publique territoriale du Lot, et pour tout ce qui est traitement dans les logiciels métiers, on n’est pas à l’abri de certaines surprises.” C’est pour éviter ce type d’écueil que Ville-d’Avray a récemment chargé un cabinet de conseil d’une étude qui doit durer un peu plus d’un mois et qui vise à “analyser l’existant et remettre tout à plat pour éviter les surprises, interroger tous les services pour que dans chaque métier, chacun puisse s’exprimer sur ses travaux, besoins et contraintes, et aboutir à un plan de route global qui prenne en compte toutes les spécificités”.

Cartographier l’ensemble des traitements

Le plus difficile reste encore de s’assurer que la cartographie des traitements soit complète. “Je vais mener un travail de bénédictin pour rencontrer l’ensemble des services, car aujourd’hui, j’ai des éléments de cartographie, mais il va falloir s’assurer qu’elle est exhaustive”, explique ainsi le DPD de la métropole lilloise. Ce processus doit en effet prendre en compte toutes les données, y compris celles qui ne sont pas structurées et figurent dans des fichiers Excel, “à droite et à gauche, sans que l’informatique ou le CIL soit au courant”, analyse le DSI d’Issy-les-Moulineaux, qui estime entre 30 000 et 40 000 euros le coût des études techniques qui devront permettre d’avoir une visibilité complète des traitements à risques de sa commune.

Avant même les chantiers techniques et opérationnels de la mise en conformité, la sensibilisation aux enjeux du RGPD est le premier défi à relever. Ce travail de pédagogie doit permettre non seulement à tous les agents des différents services de comprendre les principes de la protection des données, mais aussi de faciliter la cartographie des traitements. Car pour nombre de collectivités, notamment les plus petites, ce travail ne fait que commencer, la plupart n’ayant pas même nommé leur DPD ni établi leur feuille de route.