Le RGPD, prendre la mesure de l’enjeu

Le règlement européen sur la protection des données (RGPD) qui s’applique depuis le 25 mai dernier est un progrès au bénéfice des citoyens. Pour les collectivités c’est aussi un défi leur conférant davantage de responsabilité, difficile à mettre en place surtout pour les plus petites d’entre elles.

Tous concernés par le RGPD ! Les acteurs de la sphère publique, dont les collectivités mais aussi leurs fournisseurs, n’échappent pas à la règle ou plutôt au Règlement (UE) 2016/679 du 27 avril 2016 entré en vigueur le 25 mai 2018 (« RGPD » pour règlement général sur la protection des données). Il s’agit notamment des données des citoyens, que les collectivités traitent soit pour alimenter les services qu’elles offrent soit dans le cadre de leur gestion interne. Un enjeu crucial quand on connaît la multiplicité des métiers exercées en leur sein : cantines, élections, état civil, voirie, urbanisme…

Si le texte n’apporte pas de nouveautés en termes de mesures techniques à prendre pour la protection des données – la loi Informatique et Libertés définit les obligations pesant en la matière -, ce qui compte aujourd’hui c’est que les entités concernées doivent être en mesure, explique la CNIL, « de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées ». A contrario, l’utilisation de données personnelles nécessite le consentement des particuliers, ce que font par exemple les plateformes bien connues du grand public, sachant qu’elles doivent en expliquer la motivation.

 

Se tenir prêt à tout moment

On entre dans une nouvelle logique, celle de la responsabilisation, qui dispense les acteurs de tout un ensemble de formalités obligatoires, entre autres vis-à-vis de la CNIL, mais qui nécessite un véritable changement de culture. Concrètement, il faut désormais, et à tout moment, être non seulement « dans les clous » (et cela depuis la conception du service) mais encore, pouvoir le prouver : par exemple à un citoyen qui demande une extraction de ses données personnelles à sa mairie, ce qui se fait parfois, ou à une autorité de contrôle. Cela signifie prendre des mesures spécifiques, notamment nommer un « délégué à la protection des données » (DPD ou DPO pour « Data Protection Officer »), démarche obligatoire, afin de piloter, informer, contrôler…), tenir un registre des activités, encadrer les opérations sous-traitées, assurer un accès sécurisé aux téléservices…

 

Multiplicité des métiers

A l’échelle des villes, explique en substance Jean-Charles Bossard, Senior Strategic Advisor chez Localeo, la mise en place peut être extrêmement ardue pour plusieurs raisons. Le RGPD constitue une obligation supplémentaire en lien avec les droits des citoyens, s’ajoutant par exemple à celle en lien avec la saisine par voie électronique. Autre facteur de complexité, les dizaines de métiers exercés – social, éducation, bibliothèques, espaces verts, sécurité, sports… – dont la gestion s’appuie sur de nombreuses applications métiers (on compte environ un logiciel par tranche de 10 000 habitants environ : cantines, voirie, élections, SIG, communications…).  Pas toujours facile dans ce cadre de parfaitement connaître la localisation et l’utilisation qui est faite des informations, comme le prévoit le RGPD. Sans oublier, ni l’hétérogénéité des systèmes d’information ni les fichiers répliqués parfois des dizaines de fois pour la gestion interne ! Pour autant, au regard des entreprises, précise Luména Duluc, déléguée générale du CLUSIF, les collectivités sont assez bien familiarisées avec l’institution du CIL (Correspondant Informatique et Libertés) ce qui constitue un avantage puisque ce dernier est appelé à être remplacé par le DPD.

 

Diversité des solutions

Quoi qu’il en soit, le RGPD aura permis aux collectivités de renforcer leur sensibilisation à la question (notamment sur la duplication des fichiers), estime Jean-Charles Bossard. La professionnalisation se renforce (par exemple au niveau de la gestion des mails) : bref, « il sera de plus en plus difficile de bricoler ! ». Il institue également un dialogue entre des acteurs tels que le RSSI, le DPO, le responsable du traitement… Si les grandes villes ont pris leurs dispositions, on imagine en revanche assez facilement le désarroi des plus petites collectivités – c’est la même chose pour les petites entreprises ou certaines professions libérales – face à des contraintes dont elles ont parfois du mal à prendre la mesure.

Que faire, alors ? Pour sa part, le CLUSIF propose sur son site une intéressante infographie téléchargeable résumant l’enjeu du problème dans toutes ses approches, permettant d’aborder le RGPD par différents point d’entrée (l’accès, la tenue du registre, mise en place du traitement…) en fonction des acteurs, des actions… L’occasion de prendre du recul et de réfléchir en termes d’organisation. Sur le terrain, des villes, agglomérations et syndicats mixtes, comme l’ALPI (Agence landaise pour l’Informatique) ou Soluris (en Charente-Maritime) proposent un service de DPD mutualisé aux structures plus petites. Mais il est aussi possible de faire appel, comme DPD, à des acteurs du secteur privé (externalisation). Certains d’entre eux seront présents sur AP Connect, le salon des solutions IT pour les administrations publiques (29 et 30 janvier 2019 à l’Espace Grande Arche – Paris La Défense).

 

Pour obtenir votre badge visiteur gratuit pour le Salon AP Connect, cliquez ici

Partager cet article