Article réservé aux abonnés Archimag.com

DPO en collectivité territoriale : communiquer et se rendre indispensable

  • poitiers_dpo.jpg

    "Il a fallu passer d’une logique d’obligation réglementaire à une logique de responsabilité avec le RGPD", Yohan Brossard, Grand Poitiers (Pixabay/TomSteiner)
  • Sommaire du dossier :

     

    Yohan Brossard est délégué à la protection des données (DPO) au sein de Grand Poitiers. Il explique la mise en place du RGPD dans une collectivité qui compte 191 000 habitants.

    Libelle banniere.gif

    Yohann-BrossardComment mettre en place le RGPD dans une collectivité de la taille de Grand Poitiers Communauté Urbaine ?

    Il faut d’abord avoir du temps car c’est un travail au long cours. Il faut également « accrocher » les agents car la protection des données est un sujet transverse. Pour cela il faut non seulement aborder l’angle juridique, mais également montrer en quoi le sujet intéresse les agents dans leur activité quotidienne.  Nous avons donc mis en place une campagne de sensibilisation et de communication à l’aide d’infographies et de présentations qui sont disponibles dans l’intranet de la collectivité. Nous avons ensuite réalisé une cartographie des traitements. 

    Dans le cas particulier de Grand Poitiers Communauté Urbaine, nous travaillons sur le RGPD depuis un certain temps. À titre personnel, j’étais Correspondant informatique et libertés (Cil) depuis 2012 et la collectivité a mutualisé cette fonction dès 2008. Nous bénéficions ainsi d’une expérience de plus de dix ans. Nous avons donc pu anticiper le RGPD. Nous y travaillons depuis janvier 2017, soit près d’un an et demi avant son entrée en vigueur.

    Comment réussir le passage de quelques communes à une collectivité qui compte aujourd’hui plusieurs dizaines d’entités ?

    Grand Poitiers Communauté Urbaine est en charge du RGPD pour le compte de 33 communes (sur 40), 25 centres communaux d’action sociale (CCAS) et deux syndicats intercommunaux à vocation scolaire (Sivos). Nous avons décidé de faire bénéficier les communes et les plus petites structures de l’expérience que nous avons acquise avec Grand Poitiers. Pour réussir ce passage, nous avons nommé des référents par entité (commune, CCAS, Sivos). Ces référents sont les interlocuteurs privilégiés dans le domaine de la protection des données au sein de leur entité.  Par ailleurs, nous sommes désormais deux agents dédiés à la protection des données. 

    Au niveau des ressources humaines, nous disposons donc d’un DPO (moi-même), d’un chargé de mission à la protection des données, et des référents dans les différentes entités.  Nous remontons les sujets auprès des directeurs généraux des services et auprès des maires. Il est important d’avoir ce temps d’échanges et de présentation pour asseoir le sujet. Après une quarantaine de réunions menées tout au long de 2018, nous avons constitué une boîte à outils avec des fiches pratiques thématiques sur de nombreux thèmes qui répondent aux besoins des communes : mise en conformité des sites web, gestion des ressources humaines, gestion des mots de passe...  Et depuis le mois de janvier dernier, nous réalisons un bilan personnalisé pour les communes en élaborant une feuille de route qui met en avant les priorités d’action.

    Quelles difficultés avez-vous rencontrées ?

    Le RGPD a généré beaucoup d’inquiétude à travers ce qu’en disaient les médias. Nous avons dû expliquer que la mise en conformité ne se ferait pas en six mois. Il a fallu changer d’état d’esprit et passer d’une logique d’obligation réglementaire à une logique de responsabilité avec le RGPD. Certaines fonctions considèrent toujours le RGPD comme une contrainte, d’autres l’acceptent car nous devons nous mettre en conformité avec ce règlement. Au fil du temps, j’ai constaté une très nette amélioration dans la remontée d’information. Aujourd’hui pour tout nouveau projet (urbanisme, sport…), je suis systématiquement associé en amont. 

    Comment se passent les relations du DPO avec les autres fonctions de Grand Poitiers Communauté Urbaine ?

    En termes de gouvernance, nous disposons d’un réseau dédié à la protection des données. En tant que DPO, je m’adresse à cinq relais dans les directions que j’avais jugées les plus stratégiques. Nous avons des réunions régulières auxquelles se joint la responsable de la sécurité des systèmes d’information.

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    RGPD
    Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en application, s’imposant dans le secteur privé comme dans le secteur public. Un an après, quel est le chemin parcouru par les organismes et les délégués à la protection des données (DPO) pour se mettre en conformité ?
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    des bibliothèques proposant des ressources numériques ont constaté depuis le début du confinement une augmentation des usages de leurs ressources en ligne, selon une enquête flash menée par le ministère de la Culture fin mars 2020.
    Recevez l'essentiel de l'actu !
    Publicité

    Data 2020.PNG