Marie-Laure Baron (Charente-Maritime) "Les 12 départements de Nouvelle-Aquitaine ont mutualisé leur démarche de mise en conformité au RGPD"
Alors que la Nuit du Data Protection Officer se rapproche, la correspondante informatique et liberté (CIL) du département de la Charente-Maritime évoque son action commune avec les CIL de la région.
JDN. Quel est votre parcours, pourquoi avoir choisi de vous orienter vers cette fonction ? Quelle est aujourd'hui votre place dans la structure organisationnelle du département ?
Marie-Laure Baron. Au sein de la collectivité depuis 1992, j'étais jusqu'en 2014 responsable du centre de services à la DSI puis en charge de l'animation des réseaux de compétences informatiques au sein des directions.
Le département a souhaité me nommer CIL en 2014, bien que n'ayant pas un cursus juridique. Dès ma prise de fonction en février 2014, j'ai suivi l'ensemble des ateliers proposés par la Cnil et rencontré d'autres CIL dans les départements. Ces échanges m'ont permis de prendre rapidement la mesure de ce poste et de gagner du temps sur la démarche à suivre.
Dès 2015, un budget dédié à la protection des données a été décidé. Cela me permet d'avoir recours à de la prestation externe, d'adhérer à des réseaux professionnels et de suivre des formations quand le sujet le justifie. En termes d'organisation, je rencontre à minima une fois par mois la secrétaire générale, pour un temps dédié à la protection des données en présence du RSSI.
Quels sont les principaux enjeux de votre action au sein de cette institution ?
Depuis 2015, une sensibilisation aux enjeux de la protection des données est menée au sein de toutes les directions métiers par le biais de réunions et par des campagnes d'affichage. Mon rôle consiste également à conseiller et accompagner le département d'une part dans les nouveaux traitements et d'autre part pour assurer la conformité des traitements déjà opérationnels.
Pour tout projet, avec le RSSI nous souhaitons rencontrer les équipes projet très en amont. Le respect de cette procédure permet d'adapter le cahier des charges et de respecter la protection des données dès la conception et par défaut.
Je présente annuellement, lors du bilan, un plan d'audit des traitements déjà opérationnels au directeur général. Des réunions sont ensuite programmées avec les directions métiers pour effectuer le contrôle de conformité des traitements priorisés. Il est également nécessaire de vérifier régulièrement les formulaires de collecte, papier ou numérique.
Quels effectifs sont mobilisés au sein de la collectivité départementale pour cette mission de protection des données personnelles ?
Cette mission fait partie intégrante de la gouvernance autour de la protection des données personnelle et du système d'information mise en œuvre au sein de notre collectivité. Cette gouvernance s'appuie également sur le RSSI et sur un réseau de relais Informatique et Libertés (RIL) au sein de chaque direction métier.
Ces relais sont importants pour une collectivité qui compte 3 200 agents. Je rencontre chaque RIL délégué une fois par mois pour échanger sur tous les sujets relatifs à la protection des données personnelles dans leur direction (nouveaux traitements, besoins de sensibilisations, revue des formulaires,…). Actuellement nous testons une solution de chiffrement des mails contenant des données personnelles ou sensibles. N'ayant pas de cursus juridique, je peux m'appuyer sur un juriste interne en cas de besoin.
Par ailleurs, les archives départementales sont contactées à chaque nouveau traitement et lors des audits de conformité pour s'assurer de la durée de conservation des données.
Quelles premières mesures avez-vous prises à votre arrivée ?
Lors de ma prise de fonction, j'ai commencé par rencontrer la direction générale puis les directions métiers pour les sensibiliser. Mes missions antérieures au sein de la collectivité m'ont été utiles car je connais bien les agents. À ce jour plus de 1 200 agents ont été sensibilisés de façon présentielle.
Dans le même temps, j'ai réalisé une cartographie macroscopique des domaines présentant le plus de risque à savoir les traitements de RH et du domaine social. J'ai décidé d'inscrire tous les traitements sous la responsabilité du département, ce qui permet aux agents qui ont accès depuis notre intranet à un registre simplifié de vérifier si leur traitement est recensé.
En février dernier, lors d'une réunion à l'ADF (Assemblée des départements de France) les 12 départements de la région Nouvelle Aquitaine ont décidé de mutualiser leur démarche de mise en conformité au RGPD. Ce groupe de travail dont j'assure l'animation a permis de nommer un délégué au sein de chaque collectivité.
Ce travail commun a également permis l'acquisition d'une même solution applicative qui permet aux CIL et au RSSI de documenter, suivre et tracer toutes la conformité des traitements. Tout en gardant notre indépendance, le fait de se regrouper a permis d'obtenir jusqu'à 50% de remise sur les formations et 30% de réduction sur le prix public de la solution retenue
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
J'interviens, avec le RSSI, dans la journée nouvel arrivant qui se tient tous les trimestres. Au cours de cette journée nous disposons d'une fenêtre d'intervention de 30 minutes chacun pour expliquer notamment comment le département protège les données des agents et des usagers. Dans les dossiers de recrutement chaque futur agent doit valider qu'il a bien pris connaissance et qu'il accepte toutes les politiques de protection des données personnelles et du SI.
Nous avons également mené une campagne d'affichage centrée sur les règles d'or de la protection des données. Fin 2015, nous avons effectué une enquête sur la sensibilisation sur le thème "Cela a changé quoi pour vous ?". Avec des résultats très encourageants. Un espace Informatique et Libertés dans notre intranet a également été créé dès 2015. Il intègre aussi bien des documents autour de la gouvernance, qu'une veille. Avec l'application du RGPD en mai 2018, je vais refaire une intervention sur les nouveaux enjeux et obligations portés par ce règlement dans les réunions de directions à partir de janvier.
Quels sont vos principaux chantiers à venir ?
L'année 2018 sera consacrée à la mise en conformité du département au RGPD, notamment par la revue des conventions ou documents liés aux procédures des marchés publics, la mise à jour des mentions légales sur les formulaires de collecte, l'application au quotidien de la gouvernance et des procédures liées.
Une action de sensibilisation forte va être menée auprès des directions pour leur expliquer les enjeux et obligations portés par le RGPD, la gouvernance mise en place au sein de notre collectivité, le rôle du délégué à la protection des données et le respect des procédures permettant d'assurer la conformité du département
Par ailleurs, depuis 2014, la Cnil décerne un label à des produits ou à des procédures tendant à la protection des personnes. Pour les utilisateurs, c'est un indicateur de confiance garantissent un haut niveau de protection de leurs données personnelles. Le département de la Charente-Maritime a déposé une demande de label en août dernier. J'espère que le département obtiendra ce label durant le premier semestre 2018.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.