Difficile pour une petite collectivité de recruter à temps plein un délégué à la protection des données (DPO). Alors, comment procéder ?
Le RGPD permet heureusement aux organismes publics, collectivités et établissements publics, de mutualiser cette fonction pour en partager le coût. Un seul DPO, ce successeur du correspondant informatique et libertés (CIL), peut être désigné pour plusieurs communes. Pour les outiller notre logiciel en ligne Captain DPO est adapté et prend une forme collaborative. Déjà livré à une vingtaine de collectivités il aide le DPO à inviter les bonnes personnes autour de la table et à tenir plusieurs registres des activités de traitement des données. A chaque entité morale son registre séparé. Par exemple un pour l’école, un pour l’association qui gère la cantine et un par syndicat mixte ou groupement. C’est l’une des opportunités du RGPD. Il réduit le fonctionnement en silo. Oblige les gens à se parler. Contraint les DPO, les directeurs des systèmes d’information (DSI) et responsables métiers à trianguler et ne plus se renvoyer la balle.
Les collectivités manient-elles tant de données sensibles ?
Elles traitent des données personnelles pour assurer la gestion administrative de leur structure mais aussi pour celle des services publics et d’activités dont elles ont la charge. Des traitements comme les fichiers d’aide sociale et ceux de la police municipale présentent évidemment une sensibilité particulière.
Sont-elles prêtes à s’y mettre ?
Je recense trois profils, plutôt contrastés, d’élus locaux. Les « Après moi le déluge » qui ne sont pas du tout sensibilisés. Ceux qui s’y mettent à peine mais l’ont inscrit dans l’agenda et préfèrent prendre leur temps. Et ceux qui paniquent et sont obnubilés par les risques de sanctions administratives et pénales.
Comment montrer patte blanche ?
En basculant dans une logique de responsabilisation des acteurs. Les collectivités doivent prendre des mesures leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées ou que la réflexion est à minima enclenchée. Excel ne permet pas cela, il faut s’équiper d’un outil qui matérialise les évolutions en cours et identifie les actions démontrant la conformité. Puis calibrer les efforts et prioriser en fonction des risques encourus sur les droits et libertés des personnes. Mesurer ces risques n’est pas toujours évident. Une bonne gouvernance nécessite une documentation continue des actions menées. D’où l’intérêt de notre logiciel dédié qui automatise la tenue du registre des traitements et la documentation des process.
Photo ©Jamespot