Le magazine des maires et présidents d'intercommunalité
Maires de France
Solutions locales
24/07/2023
Numérique, réseaux sociaux

RGPD. Aider les communes à se mettre en conformité

Le centre de gestion du Calvados accompagne élus et agents pour respecter le règlement sur les données personnelles.

Par Olivier Devillers
Illustration
Le délégué à la protection des données externalisé fait des points réguliers avec les communes.
Cinq ans après l’entrée en vigueur du règlement général sur la protection des données (RGPD), de nombreuses petites communes ne sont toujours pas en conformité. Il faut dire que cette règlementation peut apparaître complexe pour les collectivités qui ne disposent que d’un poste de secrétaire de mairie à temps partiel pour le mettre en œuvre.

Un constat qui a conduit le centre de gestion du Calvados (CDG 14) à «proposer aux petites structures une offre de délégué à la protection des données (DPO) externalisé et non pas mutualisé », précise d’emblée Corentin Paul qui exerce cette mission au nom du CDG 14.

La nuance ? Un DPO mutualisé suit les dossiers au quotidien alors que le DPO externalisé intervient sur des missions précises, ou sur demande.

Le CDG a découpé son intervention en deux phases. La première vise la «conformité réglementaire » (un an environ), autrement dit le respect d’obligations telles que la désignation d’un DPO et la mise en place d’un registre des traitements. La seconde phase suit les actions engagées.

« Concrètement, après l’adoption de la délibération désignant le CDG 14 comme DPO et la signature d’une convention, j’organise une réunion à laquelle sont invités agents et élus », précise Corentin Paul. Objectif : expliquer la démarche et initier le projet avec les agents.

Parmi les arguments développés par le DPO, la cybersécurité : «Une cyberattaque pour une commune, même petite, c’est prendre un triple risque : financier avec le prestataire qu’il faudra faire intervenir pour réparer, «réputationnel » avec l’interruption des services juridiques et, enfin, juridique avec la compromission de données personnelles. » Car le RGPD oblige les organisations à protéger effectivement leurs données et les exposent à une possible sanction de la Commission nationale de l’informatique et des libertés (Cnil) en cas de défaillance.
 

Plateforme de suivi

Suit alors un inventaire où sont listés tous les traitements de données personnelles de la mairie et les mesures à prendre pour les sécuriser. Mot de passe trop faible, archivage des données inadapté, serveur dans une salle non fermée à clef, ordinateur contenant des données sensibles accessible à tous, absence de demande de consentement pour un formulaire en ligne, etc. Cette liste sert de base de travail pour la commune avec qui le DPO fait des points réguliers. Les relations passent aussi par une plateforme qui centralise tous les éléments relatifs à la conformité (délibération, registre des traitements, analyse d’impact, journal des violations…).

« La principale difficulté est le manque de temps des secrétaires de mairie : le budget, un permis de construire, un mariage, etc., étant toujours prioritaires sur la mise en conformité », constate le DPO. Certaines mesures, comme remplacer une machine obsolète, représentent aussi un budget conséquent et demandent un arbitrage des élus. Le CDG fait du reste partie d’un groupement d’intérêt public (GIP) informatique susceptible de passer des commandes groupées pour bénéficier de tarifs attractifs pour du matériel ou des logiciels de sécurité.

Après une année consacrée à la mise en conformité, la commune entre dans une phase de suivi. Cette seconde phase repose davantage sur le correspondant communal du DPO, invité à lui signaler tous les événements (nouvelle application, incident informatique…) susceptibles de relever du RGPD. Le DPO du CDG, qui vient d’accueillir un collègue pour le suppléer dans sa tâche, a cependant toujours un œil sur la presse locale pour repérer d’éventuels dossiers à traiter.

Début juin, 162 organismes (mairies, CCAS, EPCI…) sur 733 adhérents avaient souscrit à l’offre de DPO externalisé du CDG. Le tarif fixé dépend de la taille de la commune et de la phase (1 et/ou 2). La mise en place coûte 400 euros la première année puis 200 euros par an pour une commune de moins de 1 000 habitants.

Risque de sanction
En 2022, un peu plus de la moitié des communes avaient désigné leur DPO, une obligation du RGPD qui s’applique à toutes les communes, quelle que soit leur taille. Après une phase d’observation, la Cnil a mis en demeure, en 2021, 22 communes de plus de 20 000 habitants (une taille où a priori les collectivités ne peuvent trouver aucune excuse) de désigner leur DPO sous 4 mois. 21 communes se sont exécutées, une commune restant sourde aux demandes de la Cnil.

La commission a donc décidé, en 2022, de prononcer une amende selon une procédure de sanction simplifiée. Ni le nom de la commune ni le montant de l’amende ne sont connus.
En savoir + :
Guide de sensibilisation au RGPD sur www.cnil.fr

Lire aussi l'article de Maires de France :

 

 

 

Suivez Maires de France sur Twitter: @Maires_deFrance

Couverture

Cet article a été publié dans l'édition :

n°414 - JUILLET-AOUT 2023
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions
Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).