La Cove met la protection des données personnelles à portée de toutes les communes (84)

Si la protection des données personnelles n’est pas une option, le respect du Règlement général sur la protection des données (RGPD) a vite fait de tourner au casse-tête pour les petites communes. Celui-ci oblige toutes les communes, quelle que soit leur taille, à désigner un délégué à la protection des données (DPD) et à mettre en œuvre un plan de conformité. Une obligation qui a conduit les élus de la communauté d’agglomération Ventoux-Comtat Venaissin (Cove) à opter pour une réponse collective. « La mutualisation est apparue comme naturelle, car nous la pratiquions déjà sur l’informatique, les télécommunications et l’innovation numérique entre la ville de Carpentras et l’agglomération », explique Jaouad Ziati, conseiller communautaire en charge du développement numérique.

Convention avec les communes

C’est ainsi que la Cove a décidé de créer en 2019 une offre « DPD mutualisé » ouverte à toutes les communes de l’agglomération. Celle-ci repose sur un principe d’adhésion : les communes intéressées doivent adopter une délibération et signer une convention de service commun, précisant les missions du DPD et les responsabilités de la commune. La collectivité adhérente est notamment vivement incitée à désigner un interlocuteur, qui sera le point d’appui du DPD dans la réalisation de ses missions. Le service est payant, avec une cotisation pondérée au poids en population des communes adhérentes par rapport à l’ensemble des communes, avec des coûts très abordables pour une petite commune. Mi 2022, 23 communes sur 25 avaient opté pour le DPD mutualisé, deux communes ayant choisi une autre solution avant la création de cette offre.

Un inventaire des traitements

Avec son double profil de déléguée à la protection des données et de responsable de la sécurité des systèmes d’information, Sabrina Banse avait le profil idéal pour ce métier aussi technique que juridique. « Ma première mission a consisté à faire un état des lieux dans chacune des communes pour identifier les risques et définir, dans un second temps, les actions à mettre en œuvre pour améliorer la sécurité des données », expose-t-elle. Il s’agit de répertorier l’ensemble des traitements de données personnelles opérés par la commune : état civil, élections, ressources humaines, cantines et écoles, aide sociale… et en plus d’une cartographie qui décrit les logiciels, les données et les personnes autorisées à y accéder, il s’agit aussi de vérifier la sécurité du réseau wifi, l’existence d’une sauvegarde régulière des données ou encore la solidité des mots de passe protégeant l’accès aux postes de travail. Certaines communes ont enfin un dispositif de vidéoprotection qui traite des données sensibles.

Cette phase d’audit, objet d’un déplacement sur place, est l’occasion de sensibiliser agents et élus aux grands principes de la protection des données et aux risques encourus. Des risques financiers – avec de potentielles amendes de la Commission nationale de l'informatique et des libertés (Cnil) – mais aussi des risques pour l’image de la commune, si jamais elle laissait fuiter des données personnelles. « Je leur conseille de commencer par le site internet car la plupart des communes sont en train de créer des téléservices. Or dans ses missions de contrôle, la Cnil commence souvent par regarder le site internet », précise Sabrina Banse. Le message semble du reste avoir été compris, avec de plus en plus de sollicitations de la DPD pour vérifier la conformité des nouveaux formulaires.

Prendre le sujet en amont

La mise en œuvre d’un plan d’actions est cependant la phase la plus délicate, car elle peut avoir des incidences financières significatives, comme lorsqu’il s’avère nécessaire de changer un serveur frappé d’obsolescence. Mais il est question également d’agir avec les prestataires en charge de l’informatique des communes. « Certains se montrent coopératifs, d’autres beaucoup moins ! » concède la DPD. Le cas de figure idéal est évidemment quand l’informatique est mutualisée – comme pour le réseau des bibliothèques qui ne compte qu’un seul applicatif – ou lorsqu’il s’agit de créer un nouveau service. Une clause RGPD peut être incluse dans le contrat : elle permet de bénéficier de services nativement conformes aux règles de protection des données personnelles.