RGPD. Aider les communes à se mettre en conformité

Cinq ans après l’entrée en vigueur du règlement général sur la protection des données (RGPD), de nombreuses petites communes ne sont toujours pas en conformité. Il faut dire que cette règlementation peut apparaître complexe pour les collectivités qui ne disposent que d’un poste de secrétaire de mairie à temps partiel pour le mettre en œuvre.

Un constat qui a conduit le centre de gestion du Calvados (CDG 14) à «proposer aux petites structures une offre de délégué à la protection des données (DPO) externalisé et non pas mutualisé », précise d’emblée Corentin Paul qui exerce cette mission au nom du CDG 14.

La nuance ? Un DPO mutualisé suit les dossiers au quotidien alors que le DPO externalisé intervient sur des missions précises, ou sur demande.

Le CDG a découpé son intervention en deux phases. La première vise la «conformité réglementaire » (un an environ), autrement dit le respect d’obligations telles que la désignation d’un DPO et la mise en place d’un registre des traitements. La seconde phase suit les actions engagées.

« Concrètement, après l’adoption de la délibération désignant le CDG 14 comme DPO et la signature d’une convention, j’organise une réunion à laquelle sont invités agents et élus », précise Corentin Paul. Objectif : expliquer la démarche et initier le projet avec les agents.

Parmi les arguments développés par le DPO, la cybersécurité : «Une cyberattaque pour une commune, même petite, c’est prendre un triple risque : financier avec le prestataire qu’il faudra faire intervenir pour réparer, «réputationnel » avec l’interruption des services juridiques et, enfin, juridique avec la compromission de données personnelles. » Car le RGPD oblige les organisations à protéger effectivement leurs données et les exposent à une possible sanction de la Commission nationale de l’informatique et des libertés (Cnil) en cas de défaillance.
 

Plateforme de suivi

Suit alors un inventaire où sont listés tous les traitements de données personnelles de la mairie et les mesures à prendre pour les sécuriser. Mot de passe trop faible, archivage des données inadapté, serveur dans une salle non fermée à clef, ordinateur contenant des données sensibles accessible à tous, absence de demande de consentement pour un formulaire en ligne, etc. Cette liste sert de base de travail pour la commune avec qui le DPO fait des points réguliers. Les relations passent aussi par une plateforme qui centralise tous les éléments relatifs à la conformité (délibération, registre des traitements, analyse d’impact, journal des violations…).

« La principale difficulté est le manque de temps des secrétaires de mairie : le budget, un permis de construire, un mariage, etc., étant toujours prioritaires sur la mise en conformité », constate le DPO. Certaines mesures, comme remplacer une machine obsolète, représentent aussi un budget conséquent et demandent un arbitrage des élus. Le CDG fait du reste partie d’un groupement d’intérêt public (GIP) informatique susceptible de passer des commandes groupées pour bénéficier de tarifs attractifs pour du matériel ou des logiciels de sécurité.

Après une année consacrée à la mise en conformité, la commune entre dans une phase de suivi. Cette seconde phase repose davantage sur le correspondant communal du DPO, invité à lui signaler tous les événements (nouvelle application, incident informatique…) susceptibles de relever du RGPD. Le DPO du CDG, qui vient d’accueillir un collègue pour le suppléer dans sa tâche, a cependant toujours un œil sur la presse locale pour repérer d’éventuels dossiers à traiter.

Début juin, 162 organismes (mairies, CCAS, EPCI…) sur 733 adhérents avaient souscrit à l’offre de DPO externalisé du CDG. Le tarif fixé dépend de la taille de la commune et de la phase (1 et/ou 2). La mise en place coûte 400 euros la première année puis 200 euros par an pour une commune de moins de 1 000 habitants.

Lire aussi l'article de Maires de France :

• Protection des données : désigner et mutualiser le délégué

 

 

 

Suivez Maires de France sur Twitter: @Maires_deFrance