GIP Territoires Numériques Bourgogne-Franche-Comté vous forme sur le RGPD (25)

"Même informées, les petites collectivités ont vécu fort difficilement l’arrivée de cette réglementation technique, contraignante et assortie de sanctions, explique en substance Patrick Molinoz, président du GIP. Et cela d’autant plus que le niveau de sensibilisation aux risques en lien avec le numérique est parfois très bas." C’est dans ce contexte que le groupement d'intérêt public (GIP) Territoires Numériques Bourgogne-Franche-Comté propose des outils pratiques ainsi que des cycles de formation - dénommés "Super Chef RGPD" - qui passent notamment par le renforcement de la sécurité numérique. Le GIP a choisi de dédramatiser la question et d’adopter une approche pratique et pédagogique.

• Enquête auprès des délégués à la protection des données (DPO)

Les responsables concernés (maires, secrétaires de mairie) ont été préalablement sollicités pour s’exprimer sur leurs préoccupations, leurs acquis techniques, leurs équipements informatiques… Et, sans surprise, les délégués à la protection des données (ou Data Protection Officer / DPO) désignés dans le cadre du RGPD, principalement les secrétaires de mairie, déclarent éprouver de sérieuses difficultés à appréhender ce sujet. Le programme conçu par le GIP comporte des cycles de formation et de sensibilisation sur les enjeux et risques liés au RGPD (voir encadré), en complément de la création du site internet dédié, qui propose une vidéo explicative avec des conseils très pratiques … comme des recettes. L’utilisateur y trouve notamment des outils pratiques et des méthodologies opérationnelles de mise en conformité avec, éventuellement saisie en ligne afin d’en favoriser la souplesse et la rigueur.

• 120 collectivités formées, en majorité de moins de 1.000 habitants 

Début 2020, plus de 120 collectivités, de moins de 1.000 habitants en majorité, participent au programme du GIP. Celui-ci les guide, pas à pas, à remplir leurs obligations au regard du RGPD : désignation d’un délégué à la protection des données (DPO), évaluation des risques, recensement et cartographie des traitements de données personnelles, recueil du consentement des personnes intéressées dans le cas, par exemple, de création d’un fichier alerte inondation… Autre aspect de ces formations : convaincre de l'urgence de ces actions, souvent considérées comme difficiles et chronophages. Les moins avancées sont accompagnées (conseils, modèles et formulaires) pour améliorer la sécurité de leur infrastructure numérique : sécurisation des accès (mots de passe), mise en veille automatique en cas d’inactivité, stockage sécurisé des clés USB, sauvegarde sur disque dur externe… 

• La sécurité, principal point de vigilance.

Du côté des collectivités impliquées, l’enjeu est multiple, explique-t-on au GIP. En se mobilisant autour du programme Super Chef, elles peuvent démontrer qu’elles sont engagées dans une démarche de mise en conformité et, en cas d'attaque ou de vol de données, elles pourront faire valoir qu'elles sont dans une démarche de conformité. Enfin, au-delà de la conformité, la sécurisation du système d'information est aussi la garantie d'un service public plus performant, en mesure par exemple d'assurer la continuité du service pour donner suite à une attaque grâce aux sauvegardes opérées. 

"La sécurité est du reste le principal point de vigilance. 12 % des collectivités seulement ont commencé à implémenter des mesures de sécurité, déplore le chef de projet Open Data au GIP, ce qui est très insuffisant. C’est là l’une des priorités du GIP pour 2020". Le site internet, par nature évolutif et alimenté en fonction des questions et remarques des adhérents, devrait prochainement s’enrichir d’une "traduction organisationnelle" des préconisations de la Cnil, compréhensible par des non-spécialistes. Cette transcription est en cours.