Virginie Langlet (Département des Alpes-Maritimes) "Je forme environ 200 agents par an"
Alors que la Nuit du Data Protection Officer se rapproche, la CIL du département des Alpes-Maritimes détaille son action au sein de la collectivité locale.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être CIL ? Quelle est votre place dans l'organisation du département des Alpes-Maritimes, de quelle direction dépendez-vous ?
Virginie Langlet. Après un bachelor de marketing obtenu aux Etats-Unis, puis un mastère spécialisé en intelligence économique et management de projets au Skema Business School, j'ai démarré ma carrière comme chef de projet MOA chez Pro BTP. Je suis ensuite passée par différentes SSII (Alten, Astek, Capgemini) en tant que consultante et commerciale senior avant d'intégrer, en 2008, le département des Alpes-Maritimes en qualité de responsable assurance qualité et méthode.
A ce titre, j'ai été rapidement amenée à travailler sur le sujet de la protection des données. J'ai été nommée officiellement CIL en 2011. A cette occasion, j'ai décidé de compléter ma formation par le diplôme universitaire du CIL de l'université Paris Ouest Nanterre La Défense. Dans le prolongement de ma fonction actuelle, je serai amenée à devenir DPO. Cette nomination sera possible début 2018, période à laquelle la Cnil mettra à disposition le formulaire de désignation du DPO en ligne.
Conformément à l'article 46 du décret n°2005-1309 du 20 octobre 2005, j'exerce mes fonctions directement auprès du président du conseil départemental, Charles-Ange Ginesy, et suis mise à disposition de la Mission d'inspection de contrôle et d'audit (MICA) elle-même rattachée au président. Ce rattachement hiérarchique au plus haut niveau est indispensable. Cela permet d'avoir un accès facile à tous les services départementaux. Sur le plan déontologique, cette position évite tout conflit d'intérêts.
J'encadre un agent à plein de temps. Je m'appuie également sur les chefs de service qui sont mes relais au niveau des différents services. Il s'agit de les rendre les plus autonomes possible sur les sujets de la protection des données personnelles afin qu'ils puissent gérer aisément et rapidement les problématiques auxquelles ils sont confrontés.
Quels sont les principaux enjeux de votre action au sein du département des Alpes-Maritimes ?
Avec 4 500 agents, le département des Alpes-Maritimes représente une importante collectivité territoriale au service de plus d'un million d'usagers. L'un des principaux enjeux concerne la transparence de l'information donnée au public sur l'usage et la protection de leurs données. Les administrés doivent être informés, entre autres, sur les moyens de collecte de ces données, la finalité poursuivie, la durée de conservation et les destinataires. L'exercice de leurs droits doit être facilité et ne pas relever du parcours du combattant.
La collectivité se doit de répondre dans les temps impartis sachant que les délais légaux diffèrent en fonction de la nature des demandes. Il est de 48 heures à 5 jours pour une demande d'accès à un dossier médical, d'un à deux mois pour une requête plus classique en fonction de la loi visée (Loi informatique et libertés ou CADA). Nous avons mis en place des métriques pour nous assurer que ces délais sont respectés. En tant que CIL, les usagers peuvent me saisir par courrier, téléphone ou e-mail. Des coordonnées génériques du CIL figurent également dans les mentions légales du site institutionnel.
Un autre enjeu porte, bien sûr, sur la sécurité physique et logique des données personnelles. Une préoccupation permanente menée en collaboration étroite avec le RSSI, la direction des services numériques (sécurité logique) et le service sécurité et sureté (sécurité physique). Il s'agit également de sensibiliser les sous-traitants du département à leurs obligations réglementaires concernant la protection des données. Ce qui passe par la mise à jour des marchés publics et des modèles de convention.
"J'ai commencé par un audit qui a duré environ 6 mois"
Quelles premières mesures avez-vous prises à votre arrivée ?
J'ai commencé par un audit qui a duré environ 6 mois. L'objectif était de dresser un état des lieux des formalités déposées auprès de la Cnil par la collectivité. A cette occasion, j'ai rencontré l'ensemble des services départementaux, soit plus d'une centaine de personnes. En vue de ces rendez-vous un questionnaire leur avait été adressé leur demandant une description de leurs métiers, de leurs traitements et des données collectées.
Cet audit a permis de mesurer l'écart entre l'état des formalités réalisées auprès de la Cnil et les exigences de conformité, il a ensuite été possible de définir un plan d'actions permettant la mise en conformité de la collectivité.
Concernant la mission du CIL, il n'a pas été nécessaire d'expliquer aux interlocuteurs ce que recouvre la fonction. Ma nomination a été assortie de la publication d'une lettre de mission qui cadrait mon rôle, les modalités et le périmètre d'intervention. Aujourd'hui, les réflexes sont pris. Je suis avertie dès qu'un projet est lancé.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
Le département a reçu le label formation de la Cnil qui distingue la qualité des formations dispensées en interne. Dans le prolongement de ce label, je forme environ 200 agents chaque année.
A côté du cursus de base sur les fondamentaux de la réglementation, je dispense des formations spécifiques à un métier. Nous avons également été le premier organisme à recevoir, en octobre 2015, le label "Gouvernance informatique et libertés". Délivré également par la Cnil, il certifie la bonne application des mesures et règles en matière de gestion des données à caractère personnel et a permis d'anticiper le RGPD.
"Je note une inflation du nombre de projets, notamment ceux ayant trait à la gestion de la relation avec l'usager"
Quelles sont les actions spécifiques à une collectivité locale telle que le département des Alpes-Maritimes ?
Il s'agit de bien maîtriser le droit public, l'écosystème juridique territorial et notamment les spécificités en matière de marchés publics et de délégations de service public (DSP) pour la chaîne de responsabilité. Je suis aussi amenée à travailler avec toutes les fonctions support transverses dont bien sûr la direction des services numériques, la direction des affaires juridiques mais aussi les archives départementales pour les modalités de conservation des données et des documents.
Je note une inflation du nombre de projets, notamment ceux ayant trait à la gestion de la relation avec l'usager. Ce type de projet touche tous les domaines du scolaire, en passant par la solidarité, au médical ou médico-social. Je gère environ 70 projets par an. Ils sont de tailles très différentes. Il s'agit, par exemple, de la réponse à une demande complexe de droit d'accès d'un usager, de l'affichage légal dans les lieux accueillant du public ou de la mise en place d'un chantier de dématérialisation de grande ampleur.
Quels sont vos principaux chantiers à venir ?
Je mène actuellement un travail de structuration de la documentation. Ce travail vise à documenter la conformité du traitement, que celle-ci soit légale ou basée sur le principe de légitimité ou encore du consentement.
Il s'agit également de poursuivre la révision des marchés publics. Un éditeur de solution en mode SaaS n'a pas la même implication en termes de protection des données personnelle qu'un titulaire de marché qui n'exploiterait pas les données ou qui n'effectuerait que de la maintenance de temps à autre. Je souhaite également augmenter la fréquence des audits et des études d'impacts.
Administrateur de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP), j'anime par ailleurs un groupe de travail national au sein de l'Assemblée des départements de France (ADF) visant à aider les 102 départements à se mettre en conformité avec le RGPD. Ce groupe de travail résulte de la convention signée entre l'ADF et la Cnil pour trois ans.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.