Flore Bonhomme (Région Normandie) "La région doit être exemplaire en matière de protection de la vie privée"

Alors que la Nuit du Data Protection Officer se rapproche, la déléguée à la protection des données personnelles de la Région Normandie évoque son rôle dans une collectivité locale.

JDN. Quel est votre parcours, pourquoi avoir choisi de vous orienter vers cette fonction ? Quelle est aujourd'hui votre place dans la structure organisationnelle de la région Normandie ?

Flore Bonhomme (Région Normandie). En 2012, la mission Informatique et Libertés m'a été proposée au sein de la Région Haute-Normandie et j'ai immédiatement perçu cette proposition comme une opportunité d'évoluer dans la collectivité tout en embrassant un domaine en pleine mutation. La même année, j'ai intégré le Mastère spécialisé en Management et Protection des données à caractère personnel à l'Institut Supérieur d'Electronique de Paris (ISEP), car ce poste nécessite des compétences juridiques mais également techniques.

J'ai d'abord été Correspondante Informatique et Libertés à mi-temps, ayant également pour mission d'initier la démarche d'ouverture des données publiques (Open Data) de la région. Depuis 2016, suite à la fusion des régions, je suis Déléguée à la protection des données personnelles à temps plein pour la région Normandie. Cette mission a toujours été rattachée à la Direction Générale afin de garantir la transversalité et l'indépendance du poste.

Je suis également désignée auprès de la Cada comme Prada (Personne responsable de l'accès aux documents administratifs et des questions relatives à la réutilisation des informations publiques). Il y a en effet une véritable complémentarité entre ces différentes missions, la Cnil et la Cada travaillant d'ailleurs de manière conjointe sur les enjeux liés à la donnée publique, surtout depuis la promulgation de la loi pour une République Numérique en octobre 2016.

Quels sont les principaux enjeux de votre action au sein de cette institution ?

Mon rôle est de garantir la bonne application de la Loi Informatique et Libertés au sein de la collectivité. Cette mission transversale a pour objectif d'accompagner les services et les projets et de mettre en place des processus dans le respect des droits des personnes. Le rôle du CIL est également de faire prendre conscience aux agents des enjeux de la protection des données, d'une part pour garantir la sécurité juridique de la collectivité et d'autre part pour développer la confiance des personnes dans les services de l'e-administration. J'accompagne des projets aussi différents que la mise en ligne d'une plateforme d'aides à destination des jeunes de la région, le déploiement des Espaces Numériques de Travail dans les lycées ou encore la conformité du traitement des données dans le cadre de la gestion du transport scolaire, nouvelle compétence de la région.

Je travaille en collaboration avec la direction des systèmes d'information (DSI), le délégué à la sécurité des systèmes d'information et les métiers afin que les objectifs de sécurité soient pris en compte et si possible dès la conception des dispositifs.

Le rôle du CIL est également d'être l'interface entre la Commission et l'organisme qui l'a désigné. Il n'est pas rare d'avoir des échanges avec les équipes de la Cnil afin de trouver des réponses à des problématiques nouvelles. Par exemple, au moment de la fusion des régions, un groupe de travail inter collectivités, réuni par la Cnil, a permis de faire remonter les questions qui pouvaient se poser aux collectivités et a donné lieu à la mise en ligne de recommandations. Au-delà des enjeux de protection des données, le CIL a un vrai rôle à jouer dans la mise en œuvre d'une gouvernance de la donnée en interne. De par sa position transversale, il est à même de fédérer les différents acteurs qui travaillent sur ces sujets.

Quelles premières mesures avez-vous prises à votre arrivée ?

"Je conçois le rôle du CIL non pas comme un censeur mais comme un garant du respect de la vie privée dans les projets"

Ma première action a été de réaliser un recensement par direction des principaux traitements de données à caractère personnel afin d'établir le registre des traitements de la collectivité.

J'ai également participé avec le DSI à la mise en place d'une instance d'homologation des téléservices au sein de la collectivité afin de prendre en compte les problématiques liées à la sécurité des projets. En effet les collectivités sont soumises depuis 2010 à une obligation de sécurité conformément au référentiel général de sécurité (RGS).

L'objectif de cette démarche est d'évaluer les risques relatifs à un projet et de prendre les mesures techniques ou organisationnelles pour les réduire. Cette approche par les risques préfigure l'application du Règlement européen sur la protection des données qui rendra obligatoire les études d'impact sur les personnes pour les traitements sensibles. Il a fallu également formaliser un circuit de déclaration des traitements internes afin de pouvoir auditer chaque traitement et d'en suivre la conformité dans le temps.

Je conçois le rôle du CIL non pas comme un censeur mais comme un garant du respect de la vie privée dans les projets ; nous sommes là pour trouver des solutions. C'est cette valeur ajoutée qu'il faut arriver à porter auprès de nos collègues.

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

La sensibilisation doit se faire à tous les niveaux. J'essaie d'intervenir dans les instances ou comités de pilotage existants et de réaliser une information ciblée auprès des acteurs concernés que ce soit les services de la collectivité ou des partenaires.

Pour certains projets, il est nécessaire de formaliser des codes de bonne conduite. Je pense par exemple à des projets partenariaux comme la billettique intermodale Atoumod en Normandie qui réunit beaucoup de partenaires et qui nécessite de formaliser les bonnes pratiques. D'autres projets exigent une information des représentants du personnel ;  j'interviens alors en comité technique sur ces projets pour expliquer comment ces dispositifs ont été déployés dans le respect des recommandations en vigueur.

Dans la nouvelle organisation, un réseau social collaboratif vient d'être mis en œuvre. Je pense que cet outil va être un media important pour diffuser les bonnes pratiques sur ces sujets. Dès 2018 des actions de sensibilisation (présentiel, e-learning, etc…) vont être organisées en fonction des profils pour que chaque service se sente concerné par les enjeux autour de la donnée.

La région, en collaboration avec le CIL du département de la Seine-Maritime a depuis 2016 créé le groupe Normandie de l'AFCDP. Ce groupe qui réunit les professionnels de la protection des données de la région permet de partager nos approches et de confronter les différentes problématiques que nous rencontrons au sein de nos structures. Les technologies et la réglementation évoluant en permanence, les CIL ont besoin de réaliser une veille active dans ces domaines.

Quels sont vos principaux chantiers à venir ?

"L'année 2018 sera consacrée à la mise en conformité au RGPD"

Suite à la fusion et à la nouvelle organisation de la région localisée sur deux sites (Caen et Rouen), il apparaît indispensable de pouvoir s'appuyer sur un réseau structuré de référents dans les directions.

Des personnes relais ont toujours joué ce rôle de manière informelle mais aujourd'hui il y a un véritable besoin d'avoir une démarche coordonnée et de pouvoir former ces relais aux différente enjeux de la donnée et du numérique : protection de la vie privée, open data, dématérialisation, etc…

La région doit être exemplaire en la matière. Lors de partenariats ou dans le cadre des marchés publics, les documents contractuels doivent intégrer des clauses relatives à la protection des données. Un travail est en cours pour adapter ces clauses à la nouvelle réglementation.

L'année 2018 sera consacrée à la mise en conformité au RGPD, à la sensibilisation des agents et à la formalisation d'un certain nombre de procédures afin de pouvoir répondre aux exigences du Règlement.

La mission existant depuis quelques années déjà, nous ne partons pas de rien même si de nombreux chantiers restent encore à mener. La protection des données est une démarche d'amélioration continue qui nécessite l'implication de l'ensemble de la chaîne d'acteurs, collectivités, prestataires, partenaires.

Face aux défis du numérique, les managers doivent s'emparer de cette culture de la donnée au sein des collectivités, au même titre que la maîtrise de la réglementation dans le domaine des marchés publics, des finances ou des Ressources Humaines.

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.