Marine Michel (Cap Atlantique) "La mutualisation d'un DPO présente un réel avantage pour les acteurs publics"
Alors que la Nuit du data protection officer approche, la déléguée mutualisée à la protection des données de Cap Atlantique explique son travail de sensibilisation du RGPD dans la communauté d'agglomération.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. En tant que DPO mutualisée, auprès de quelles entités intervenez-vous ?
Marine Michel. Je suis la déléguée mutualisée à la protection des données de Cap Atlantique, la communauté d'agglomération de la Presqu'île de Guérande-Atlantique qui regroupe quinze communes réparties sur les départements de Loire-Atlantique et du Morbihan. Je suis également DPO mutualisée pour un syndicat mixte des transports (Lila Presqu'ile), un office intercommunal de tourisme (Bretagne Plein Sud), constitué en société publique locale (SPL), et les centres communaux d'action sociale (CCAS).
Je suis entrée en fonction il y a un an. Travaillant au siège de Cap Atlantique, à La Baule-Escoublac, beaucoup d'échanges se font par mail et téléphone. Je ne suis toutefois qu'à 30 minutes au maximum en voiture des communes de l'agglo. Il a été prévu durant cette première année que je passe a minima une semaine dans chaque commune. Cap Atlantique est né d'un projet commun. Un grand nombre de communes partagent le même système d'information, adoptent des mesures de sécurité communes.
Votre principal chantier porte sur la sensibilisation au RGPD, quelles actions avez-vous entreprises ?
J'ai tout d'abord monté un réseau de référents RGPD sur les différents sites en laissant le libre choix de la personne. J'ai ensuite identifié les personnes à former. Mes interlocuteurs sont généralement le directeur général des services (DGS) pour les communes et le président pour le syndicat mixte et la SPL.
La formation au RGPD s'est déroulée sur deux matinées. La première reprenait les grands principes du règlement. Qu'est-ce qu'une donnée personnelle ? Comment l'identifier ? Comment dresser une cartographie des traitements et tenir le registre ? J'ai choisi de présenter la formation sous forme de jeux. Les participants avaient des post-it et devaient les coller sur un tableau afin de savoir si le RGPD s'appliquait dans telle ou telle situation.
Pour la seconde matinée qui portait sur la violation de données et les mesures de sécurité du système d'information, j'étais assistée par un représentant de la Direction des systèmes d'information communautaires (DSIC) qui a pu donner des conseils pratiques pour, par exemple, repérer un mail douteux.
Là encore, j'ai procédé par post-it pour répondre aux questions. Quand doit-on ou non déclarer une fuite de données à la Cnil ? Aux personnes concernées ? Assurer moi-même la formation plutôt que de la confier à un prestataire m'a permis de mieux me faire connaître et gagner en légitimité.
Par ailleurs, j'ai travaillé avec la direction de la communication à la rédaction de contenus très concis sur le RGPD rappelant les grands principes du règlement et ce que recouvre la notion de donnée personnelle. Nous sommes en train d'élaborer un plan global de communication qui passera peut-être par de courtes vidéos puis des réunions thématiques par métier.
Quelles difficultés avez-vous rencontrées ?
L'un de mes principaux problèmes concerne la difficulté à sensibiliser les élus et ne serait-ce qu'entrer en communication avec eux. Il faut synchroniser les agendas, les élus ayant une activité professionnelle en parallèle. Certains ont une adresse mail professionnelle, d'autres une personnelle ou pas du tout. Les élus n'ont pas toujours conscience de la responsabilité qu'ils encourent. En revanche, il y a une volonté de bien faire. Le plus dur est d'arriver à les rencontrer. Avec les élections municipales qui s'approchent, ils seront formés au RGPD dans un second temps.
Par ailleurs, il y a un travail de pédagogie à faire dans les mairies sur le recueil du consentement et l'exercice des droits des citoyens sur leurs données personnelles sans parler des mentions d'information qui ne figurent pas encore dans tous les formulaires. Dans le secteur privé, on retrouve les mêmes traitements qu'il s'agisse du fichier d'envoi de la newsletter ou du formulaire de devis. Dans le public, il y a une multitude de formulaires. On connaît les documents Cerfa au niveau de l'administration centrale mais pour les formulaires propres à la commune, c'est à elle de mettre en place les mentions d'information.
En ce sens, la mutualisation d'un DPO présente un réel avantage pour les acteurs publics. A la différence d'entreprises privées, les mairies ont une base commune de traitements. Elles gèrent toutes, par exemple, l'état civil, les cimetières, l'enfance. Cette base commune permet plus facilement d'établir une cartographie des traitements, de mutualiser le travail lors de la mise en œuvre des obligations règlementaires. A titre d'exemple, les mentions d'informations seront quasi identiques pour un traitement réalisé à partir du même logiciel.
En quoi ce projet est-il ambitieux ?
Il y a une volonté de faire au mieux pour adapter le RGPD à la réalité pratique de la fonction publique. J'ai noté une évolution dans la prise de conscience sur la valeur de la donnée personnelle. Les différents services se posent beaucoup de questions.
En quoi est-il fédérateur pour la collectivité ?
Au niveau juridique, le responsable de traitement est le président de la communauté d'agglomération. Ensuite, chaque maire est responsable des traitements locaux. Les élus n'ont pas toujours conscience de la responsabilité qu'ils encourent.
En quoi est-il innovant ?
Le texte étant juridique et potentiellement ardu, j'ai animé la formation sous forme de jeux avec des post-it pour découvrir le RGPD et caractériser une violation de données personnelles.