Data & territoires
Comment et pourquoi se mettre en conformité ?
CLIENT STORY // 5 questions à… Philippe Brunel, DPO au Conseil Départemental de la Seine- Maritime
Depuis combien de temps êtes-vous DPO ?
J’ai pris mes fonctions en 2016. Auparavant, je travaillais à la DSI (Direction des Systèmes d’Information) en tant que responsable du portefeuille des projets informatiques. J’ai donc un profil technique plutôt que juriste.
S’agit-il d’une création de poste ?
Non, le poste existait déjà. D’ailleurs le Conseil Départemental de la Seine-Maritime a toujours accordé une attention particulière à la gestion et à la protection de la donnée. Avant 2018 et la mise en place du RGPD (Règlement Général pour la Protection de la Donnée), il y avait déjà un correspondant informatique et liberté (CIL) et ce, depuis 2008.
Pouvez-vous expliquer votre mission ?
Je suis le DPO (délégué à la protection des données) du Conseil Départemental de la Seine-Maritime : concrètement, je suis responsable de la cellule « Mission Protection de l’Information et Cybersécurité », en lien avec ma collègue Isabelle Miramon, chargée de mission support.
Ma mission consiste à assister les directions métiers dans la mise en conformité RGPD de leurs traitements. Il y a des référents dans chaque direction soit entre 30 et 40 référents au total qui nous servent de porte d’entrée pour l’analyse des traitements. Un traitement consiste en l’utilisation des données pour répondre à une finalité précise : l’enjeu est de les rendre transparents et cohérents.
Au quotidien, la cellule apporte des conseils sur la protection de la vie privée et des informations en lien avec la cybersécurité, s’assure de la tenue à jour de la charte d’usage du SI (Système d’Information), des politiques de protection générale de l’information et de protection spécifique des données personnelles. En parallèle, nous tenons également à jour le registre des traitements, le registre des violations de données et le registre des droits d’accès. Le premier représente 300 traitements à ce jour, et augmente d’environ 30 traitements chaque année.
J’ai également une casquette cybersécurité, en lien avec la « Direction Numérique et des Environnements de Travail », afin d’accompagner la communication et la pédagogie notamment concernant les bonnes pratiques en tant qu’utilisateur. Cela permet de contribuer à prévenir ainsi les potentielles attaques (phishings, ransomwares etc…).
Quels sont les enjeux de la donnée pour le Conseil Départemental ? Pourquoi est-ce important de procéder à cette mise en conformité ?
Il y a trois enjeux principaux :
- Tout d’abord, respecter la loi tout simplement : depuis 1978, avec la loi informatique et libertés, nous avons une déontologie à respecter, renforcée par le RGPD.
- Ensuite, il est très important de s’assurer de la confiance des citoyens car nous traitons des données sensibles, qu’il s’agisse de consultations en Centres Médico-Social, de sujets relatifs à la protection de l’enfance, de l’autonomie des personnes âgées ou porteuses de handicap. Au-delà de ces données dites sensibles, nous gérons également les données liées à l’usage des transports scolaires adatés, relatives à la gestion de l’environnement ou encore des routes qui comportent toujours un aspect personnel, bien que cela soit moins évident. En interne, il s’agit de données liées à la gestion des ressources humaines ou aux élus. Le spectre de la population et des données lui afférant est donc varié !
- Enfin, il s’agit de protéger les données, en s’assurant de leur disponibilité, de leur intégrité, de leur confidentialité, et de leur traçabilité.La mise en conformité n’est donc pas une option et il est important de répondre aux attentes des citoyens, de mieux en mieux informés et sensibilisés sur ce sujet.
Pourquoi faire appel à dposystem ?
Nous avons lancé un appel d’offres fin 2020 sur la base d’un cahier des charges : l’objectif est de renouveler notre outil et de bénéficier d’un accompagnement plus pointu. Concrètement, nous avons besoin d’un outil solide et efficient pour gérer les registres. Un fichier excel montre vite ses limites dans notre contexte ! Notre outil date de 2010 et il est dorénavant obsolète.
Au-delà de nous fournir la solution informatique, dposystem nous accompagne également dans la mise en place d’une nouvelle gouvernance, fondée sur cette nouvelle base de données centralisée. Nous gagnons ainsi en efficacité, en cohérence et en précision.
La synergie de leurs connaissances, à la fois techniques et juridiques, est un aspect important : un DPO possède souvent soit un profil technique soit juridique mais rarement les deux.
L’oeil du consultant, Vincent Ferrara, directeur de l’activité Confiance Numérique de Netsystem et président de dposystem
Nous accompagnons le Conseil Départemental de la Seine-Maritime dans leurs enjeux de protection des données et de mise en conformité. Cette mission revêt un caractère particulièrement intéressant pour plusieurs raisons.
Tout d’abord, le Conseil Départemental de la Seine-Maritime présente une diversité de compétences et autant de sujets de conformité, avec un volet particulier, à la fois intéressant et délicat, celui de l’action sanitaire et sociale. Cela génère nécessairement une attente forte sur la gestion des données à caractère personnel.
De plus, l’entité est déjà très mature sur le sujet de la conformité et a mis en place un dispositif très en amont, voire en avance par rapport à la législation, avec les correspondants informatiques et liberté et les process associés. Nous ne sommes donc pas dans une phase d’initialisation mais davantage une phase pour affiner, ce qui nous permet d’aller plus loin dans la conformité. L’objectif ici est d’instaurer un mode collaboratif et faire en sorte que les correspondants soient actifs dans chacun des services.
Enfin, nous réalisons la migration d’un ancien outil vers un nouvel outil SaaS collaboratif, qui va au-delà de la mise en conformité au RGPD et présente ainsi d’autres référentiels et modules (loi sapin II, ISO 27001 etc). Il s’agit d’une plateforme très collaborative et extensible qui évitera le silotage par référentiel. L’équipe du Conseil Départemental de la Seine-Maritime a ainsi pu instaurer une gouvernance de la conformité, qui sera soutenue et pérennisée par notre mission et la plateforme mise en place.
DECRYPTAGE // Zoom sur… data et territoires, quels enjeux ? avec Alexandre Soupramanien, consultant senior dposystem et Ph. D. Process Engineering
Il existe de multiples enjeux entre la data et les territoires, certains plus simples à appréhender que d’autres.
Tout d’abord, il est certain qu’une donnée de haut standard de qualité (Exactitude, Disponiblité, Unicité, Conforme, etc.) a une plus grande valeur qu’une donnée brut . Cela permet d’installer un socle solide pour offrir de nouveaux services aux collaborateurs de l’entreprise ou aux usagers.
Georges Thomas Ford, à travers le Taylorisme et régulièrement cité, disait : « Tous le monde peut choisir la couleur de sa voiture du moment qu’elle soit noire ». La transformation digitale par la data est d’apporter une singularité spécifique à chaque utilisateur tout en gardant un développement continu et innovant.
En effet, cela ouvre des perspectives qui permettent l’exploration de services tels que l’OpenData, les services en ligne divers… En étant assuré d’avoir une transparence vers les usagers, c’est une garantie de réussite.
Nous sommes actuellement dans un monde où le numérique a pris une place prépondérante, notamment avec les GAFAM où beaucoup d’informations mais aussi de désinformation circulent. La quantité de données étant gigantesque, le système paraît insondable. Cependant, il y a un véritable gain pour les territoires vis- à-vis de ces géants à reprendre leur souveraineté sur les données.
Enfin, les nouvelles technologies présentent des opportunités, mais sont aussi source d’inquiétude (IoT, Intelligence Artificielle, reconnaissance faciale, etc.) en termes d’utilisation de nos données personnelles et de liberté. Il est donc nécessaire de maintenir un espace de transparence entre les usagers et les autorités publiques, à travers les sujets de compliance dont le RGPD. Nous parlons alors de « Littéracie des données », c’est-à-dire de culture de la donnée qui est la capacité d’identifier, de collecter, d’analyser et de comprendre les aspects réglementaires de la donnée. L’enjeu est de faire intervenir toutes les compétences d’un projet autour de la data : sensibiliser les personnes autour de la donnée, comment les collecter, les analyser, et les sécuriser.
L’OpenData reste un enjeu majeur pour les territoires, qui doivent ouvrir leurs données publiques suite à la loi NOTRE quioblige les communes de plus de 3500 habitants à ouvrir leurs données publiques. Avoir la maitrise de ses données, permet au Conseil Départemental, de générer de la valeur à travers un vecteur d’innovation pour créer de nouveaux services..
Avoir une culture de la donnée et utiliser celle-ci comme un catalyseur de développement et de sécurité est donc un atout phare pour les territoires, ainsi qu’un gage de réussite et de confiance.