Actualités

De mai 2018 à mai 2022 : le RGPD, 4 ans après !

25 mai 2022

Infographie anniversaire 2022 article web

Voté en 2016, en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fête ce mois-ci ses 4 ans. En parallèle, notre service RGPD célèbre en quelque sorte lui aussi les 4 premières années d’accompagnement de ses structures adhérentes. Cet article est l’occasion de revenir sur des années riches en nouveautés, ponctuées d’enjeux inattendus.

La carte de la mutualisation :

Le RGPD impose (article 37) à tous les organismes et autorités publics de désigner un DPO (Data Protection Officier ou Délégué à la Protection des Données). Une obligation qui touche de la même manière la plus petite commune de France et sa capitale, ce qui n’est pas sans conséquence.

Moyens humains et financiers, compétences et connaissances en matière de protection des données et sécurité informatique, les enjeux gravitant autour de la désignation d’un DPO étaient nombreux et c’est en 2018 que l’Adico a pris la décision de créer un service de « DPO mutualisé » (une expression désormais bien connue).

Réduction des coûts, mutualisation d’une expertise et d’un savoir-faire, notre service RGPD accompagne à ce jour plus de 1600 structures de toutes tailles et de toutes sortes (communes, syndicats, agglomérations…) dans un processus long de « mise en conformité » qui peut se révéler parfois complexe.

Le service RGPD (composé de 7 délégué(e)s à la protection des données, deux assistantes administratives et un responsable) propose une méthodologie qui n’a eu de cesse d’évoluer, en s’adaptant toujours plus aux différents besoins et contextes. Informer, dispenser des conseils, contrôler le respect des dispositions règlementaires, coopérer avec l’autorité de contrôle (…) sont autant de missions qui nécessitent la mise en place d’outils permettant de nous assurer que nos adhérents répondent efficacement à leurs obligations. Notre activité s’articule autour de procédures permettant de répondre rapidement et efficacement aux nombreuses sollicitations (7682 mails et appels en 2021) et la crise sanitaire a entrainé de nouvelles formes d’organisation du travail qui nous amènent, par exemple, à proposer à nos adhérents la possibilité de nous entretenir en visioconférence, notamment lorsqu’il s’agit de réaliser des bilans d’avancement.

Dans le souci de tendre vers toujours plus de qualité, nous accompagnons les DPO du service dans la démarche de certification de compétences auprès des organismes compétents (en janvier 2022, deux DPO certifiés auprès de l’AFNOR).

Carte DPO

Le choix d’un outil libre : MADIS

En ce qui concerne la gestion de la documentation de nos adhérents, nous avons fait le choix d’utiliser un logiciel développé par des structures de mutualisation pour des structures de mutualisation. Par l’intermédiaire de notre fédération « Déclic », réseau d’OPSN (opérateurs publics de services numériques), nous contribuons financièrement et humainement au développement de l’outil « MADIS ». Ce logiciel (dont le code est par ailleurs ouvert sous licence libre) est rendu accessible à nos « référents opérationnels » au sein de nos structures adhérentes dans le but de travailler activement et de manière collaborative à la mise en conformité. Cette ouverture progressive des accès permet aujourd’hui à plus de 800 utilisateurs de gagner en lisibilité. Cette solution métier évolue aux grès des contributions collectives et tend vers toujours plus d’efficacité dans la gouvernance de la mise en conformité. Des nouveautés de taille ont vu le jour et d’autres sont en cours de développement :

  • Publication des registres publics ;
  • Module de rédaction et évaluation des AIPD ;
  • Gestion « multi-collectivités » ;
  • Intégration des modèles types (dans le but de remplacer notre « Kit RGPD », espace de ressources documentaires) ;

La protection des données et la préservation des libertés individuelles en pratique :

L’Adico est désignée, en tant que personne morale, auprès de l’autorité de contrôle française : La Commission nationale de l’informatique et des libertés (CNIL). De manière très concrète, nous sommes amenés chaque jour à œuvrer aux cotés de nos adhérents dans la protection effective des données et la préservation des libertés individuelles. Le règlement ayant renforcé l’exercice des droits des personnes concernées et le principe de « responsabilité », nous avons constaté à notre niveau ce qu’à pu constater l’autorité administrative Française :

  • Une augmentation des demandes de personnes concernées par des traitements de données ;
  • Une augmentation significative des violations de données ;

 

En majorité, nous concernant, les demandes des personnes portaient sur le droit à l’information (obligation renforcée par le règlement européen). Nous avons également instruit des demandes portant sur l’exercice des droits d’effacement, d’accès et de rectification : une bonne manière d’illustrer la mise en œuvre concrète du règlement au sein de nos structures adhérentes.

La crise sanitaire que nous traversons toutes et tous encore à ce jour impacte à tous les niveaux nos modes de fonctionnement et sous le prisme des données personnelles, les enjeux sont multiples :

  • Création de nouveaux traitements de données, parfois innovants et pouvant porter sur des données sensibles (vaccination, passe sanitaire…) ;
  • Continuité et reprise d’activité dans un mode « dégradé » de fonctionnement (recours au télétravail) ;
  • Tension particulière en matière de « cyber défense » ;

Pour répondre à ces enjeux, nous avons dû communiquer et renforcer nos actions de mise en conformité sur certains secteurs (ressources humaines, accueil du public…) eu égard à la richesse des textes qui encadraient la gestion de crise. Pour finir et cela ne constitue qu’un rappel : Les collectivités constituent des cibles privilégiées pour les attaquants et de manière très concrète, nous sommes amenés à gérer en moyenne une violation de données toutes les deux semaines ayant pour origine, en grande majorité, un acte externe malveillant.

Construire la conformité de demain, dès aujourd’hui :

Soucieux d’apporter des solutions aux problématiques rencontrées par nos adhérents, nous avons décidé de compléter nos outils et prestations pour donner suite aux demandes, de plus en plus nombreuses. Nous avons donc travaillé sur plusieurs accompagnements spécifiques :

  • La rédaction de chartes informatiques (utilisateurs, administrateurs) ;
  • La rédaction et l’évaluation des analyses d’impact relatives à la protection des données ;

En plus de ces accompagnements, nous proposons de manière régulière des webinaires animés par les délégués à la protection des données de notre service. Ces temps d’échanges sont des moments privilégiés nous permettant d’exposer et vulgariser des concepts et principes propres à la règlementation.

 

Afin de conclure, cet article est également l’occasion de remercier l’ensemble des collectivités et structures publiques qui nous accordent leur confiance depuis maintenant 4 années. Il est encore tôt pour dresser un bilan des impacts et apports du RGPD sur les collectivités mais une chose est sûre, notre service se tient et se tiendra à l’entière disposition de ses adhérents dans le but d’apporter encore et toujours, des solutions concrètes et innovantes.

Articles récents