Marie-Thérèse Roux (Grand-Orly Seine Bièvre) "Nous avons créé un réseau qui fonctionne comme une coopérative"
Alors que la Nuit du data protection officer approche, la DPO de l'Etablissement Public Territorial Grand-Orly Seine Bièvre nous raconte son projet qui associe la plupart des 24 communes et les 2 syndicats informatiques du territoire.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel a été votre principal projet ?
Marie-Thérèse Roux. Nous sommes un établissement public territorial créé en 2016 par la loi Notre et qui regroupe 24 communes, de tailles différentes, et donc avec des moyens techniques hétérogènes, pour un total de 700 000 habitants. Nous avons décidé de mettre en place une coopérative de DPO, avec la volonté de faire du commun à l'échelle intercommunal, en respectant la liberté et la capacité d'action des villes. Cette coopérative fonctionne depuis 2018. Après une première réunion informelle en 2017 autour du nouveau RGPD, j'ai contacté les différentes communes et installé un groupe de travail qui a réuni régulièrement les acteurs concernés : DPO internes et externes, juristes, archivistes, services numériques, etc. Nous échangeons informations et documents selon les profils, les besoins et les intérêts de chaque ville.
D'où partiez-vous ?
La plus grande des villes du territoire a presque 100 000 habitants, les plus petites moins de 6 000. Certaines villes possédaient des CIL (correspondant Informatique et Libertés, ndlr) et étaient très structurées, ailleurs ce sont des juristes qui s'occupaient du RGPD et dans d'autre des archivistes. L'application de ce nouveau règlement représentait une obligation supplémentaire. Quant à l'Etablissement public territorial (EPT), créé en 2016, nous n'avions pas d'antériorité sur le sujet, il fallait établir une cartographie précise de nos logiciels.
Et où en êtes-vous ?
Nous avons créé un réseau qui fonctionne comme une coopérative, sans prééminence, où nous échangeons sur des problématiques communes (nous avons aussi des sous-traitants en commun) et où nous pouvons partager très rapidement nos informations, sur les nouveaux textes de loi, par exemple. Ensuite, les DPO et les référents les transmettent à leur service. Mais les villes n'ont pas toutes les mêmes moyens et avancent à leur rythme, même si elles sont pour la plupart sensibilisées à la problématique et ont une certaine technicité. Nous avons construit une plateforme d'échange Share Point, largement ouverte et qui associe certains DGA ou DGS, ce qui est important en matière d'aide à la décision. Et l'EPT a été la première collectivité territoriale à signer la Charte de déontologie du DPO !
Comment avez-vous réussi à fédérer les 24 communes ?
J'avais une bonne connaissance des territoires et, dans d'autres fonctions, j'avais déjà rencontré plusieurs responsables. Comme nous avons deux instances régulières, la conférence des directeurs généraux et celle des maires, nous y avons présenté le nouveau RGPD et certains des directeurs nous ont mis en contact avec les personnes concernées de leurs communes. Après la montée en charge de 2018 et une demande très forte des DPO, notre rythme de travail s'est apaisé, d'autant que nous sommes rentrés dans une période pré-électorale (les municipales de mars 2020, ndlr), qui génère beaucoup de travail pour les collectivités.
En quoi le projet est ambitieux ?
Il fallait réussir à mettre tout le monde autour de la table, malgré les différences entre les communes. Et surtout réussir à maintenir le contact en maintenant une vraie dynamique de groupe. Ce que nous avons fait.
En quoi le projet est fédérateur ?
Cela a permis à des villes d'échanger entre elles, de comparer leurs problématiques et les solutions qu'elles y apportent. Nous ne nous sentons pas isolés sur un sujet complexe et gagnons ensemble en compétences adaptables ensuite dans chacune de nos collectivités.
En quoi est-il innovant ?
Même si certains services étaient mutualisés dans certaines villes, chacune possédait son propre DPO ou son référent RGPD. Ce regroupement en coopérative de DPO, qui n'est basé sur aucun acte conventionnel, s'inspire du mode de fonctionnement voulu par les élus pour l'EPT. C'est une première pour une structure intercommunale comme la nôtre.