William Gonzalez (Fleury-les-Aubrais) "En mutualisant la fonction de DPO, on réalise nécessairement des économies d'échelle"
Alors que la Nuit du data protection officer approche, le DPO de 17 communes de la métropole orléanaise évoque les contours de sa mission
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Vous avez un profil inhabituel puisque vous êtes DPO de Fleury-les-Aubrais (Loiret) mais également de dix-sept autres communes de la métropole orléanaise. Quel est votre principal chantier en cours en matière de protection des données personnelles ?
William Gonzalez. Je suis effectivement un DPO "mutualisé" entre dix-huit communes sur les vingt-deux de la métropole orléanaise qui compte près de 113 200 habitants (hors Orléans qui a son propre DPO). Mon principal chantier consiste bien sûr à mettre toutes ces communes en conformité avec le règlement général sur la protection des données (RGPD) dans un contexte open source qui est le choix que nous avons fait. D'abord parce que l'open source respecte nativement les utilisateurs et ensuite car cela permet d'optimiser la dépense publique.
Pour ce faire, j'ai un référent local dans chaque mairie avec pour objectif de le former et de le sensibiliser, au-delà des diverses contraintes techniques, aux enjeux de la protection des données personnelles. J'ai aussi un rôle de sensibilisation des différents utilisateurs car une commune gère de nombreuses données personnelles : état civil, éducation, familles, données pathologiques, photos des enfants lors de l'inscription à certaines activités culturelles ou sportives, informations relatives aux agents, à la médecine préventive, aux services sociaux, à l'urbanisme, à la police municipale ou à la vidéo-protection, etc. Nous surveillons aussi très attentivement notre cloud qui est un cloud privé mis à disposition des autres communes et hébergé par nous-mêmes.
Quels retours avez-vous des administrés ?
Nous sommes encore au début de la démarche et même si nous respectons, bien évidemment, l'ensemble de la réglementation de la Cnil, nous n'avons pas encore énormément de retour. Mais tout le monde prend bien conscience de l'importance de la démarche et les citoyens se sentent de plus en plus concernés.
Et des agents, des élus ?
Ils ont le sentiment d'une relative contrainte mais la présence d'un DPO ou de référents locaux les soulage. Les agents ont parfois le sentiment que c'est beaucoup de travail mais je suis là pour les accompagner. Je ne suis pas là pour contraindre mais pour fluidifier le processus et placer le curseur au bon endroit. Cela suppose des compétences juridiques et informatiques ainsi qu'une pédagogie positive. Bref, il s'agit de convaincre sans contraindre.
Avez-vous rencontré des difficultés particulières dans ce déploiement ?
Nous sommes au début de cette démarche et nous devons nous adapter aux ressources des différentes collectivités concernées. Il faut savoir que c'est un poste relativement nouveau pour moi. J'ai été nommé DPO en septembre dernier, alors que j'étais auparavant responsable informatique de Fleury-les-Aubrais. Du coup, je me forme régulièrement, que ce soit auprès de la Cnil ou de l'Association française des correspondants aux données personnelles (AFCDP) à laquelle j'ai récemment adhéré.
De quelle direction dépendez-vous et quel est votre budget ?
Je dépends directement de la directrice générale des services (DGS) de Fleury-les-Aubrais. J'ai, par ailleurs, dix-sept "référents" dans la collectivité orléanaise et suis en relation avec leurs directions - SI, archivistes, RH, police municipale - qui ont des données critiques à protéger. Côté budget, nous refacturons aux diverses communes en fonction de leur taille et de leur quote-part des dépenses. Au total, cela n'excède pas 70 000 euros par an.
Résumé du projet :
En quoi ce projet est fédérateur
"Toutes les communes ont les mêmes préoccupations. En mutualisant la fonction de DPO, à l'initiative de Fleury-les-Aubrais, on réalise nécessairement des économies d'échelle".
En quoi ce projet est innovant
"Parce qu'il s'agit de bien respecter une réglementation nouvelle dans une dimension d'adoption de logiciels libres, ce qui est assez nouveau".
En quoi ce projet est ambitieux
"La démarche est innovante car cela ne s'était, à ma connaissance, jamais fait auparavant à l'échelle d'une communauté relativement petite".