Mise en conformité au RGPD : des précisions sur les mesures d'accompagnement proposées par HGI-ATD

La transformation numérique, accélérée par la crise sanitaire à laquelle nous faisons face solidairement depuis près d’un an, offre de formidables opportunités aux communes et intercommunalités. Cependant, celle-ci ne saura être bénéfique que si elle s’établit dans un environnement de confiance qu’il est urgent de construire en impliquant tous les acteurs internes et externes pour modifier les pratiques et gérer les risques.

Il est donc de la responsabilité de l’élu de ne pas ignorer les enjeux de sécurité des développements informatiques dès la conception et de protection des données personnelles des individus par défaut pour limiter les risques d’atteinte à la sécurité du système d’information et par la même de compromission de l’information et des données contenues qui peuvent porter atteinte à la vie privée des personnes concernées in fine.

On constate malheureusement depuis 2019 un nombre exponentiel de cyberattaques ciblant particulièrement les vulnérabilités techniques, juridiques, organisationnelles ou humaines de collectivités territoriales de toutes tailles, lesquelles ont chaque fois pour conséquence l’immobilisation plus ou moins longue de l’action des collectivités concernées. Des évènements qui peuvent engager la responsabilité des élus, écorner l’image de la collectivité victime sur son niveau de maitrise de l’information ainsi que la confiance des administrés, agents, usagers.

Respecter et faire respecter les règles de la protection des données et de la sécurité des systèmes d’information implique de mettre en place progressivement une gouvernance numérique dotée pour repenser globalement les processus organisationnels, juridiques et techniques existants à tous les niveaux d’activité d’un organisme public.

Considérant les nombreuses exigences posées par le RGPD et les obligations induites qui pèsent sur les responsables légaux des communes et des intercommunalités, considérant également le manque de ressources, de moyens et de compétences dédiées, le Conseil départemental et HGI-ATD proposent aux adhérents une prestation gratuite d’accompagnement de leur démarche de conformité au RGPD fondée sur la mise en œuvre des mesures de sécurité juridiques et techniques adaptées aux risques encourus.

Rappel des principaux objectifs de la prestation :

  • Conseiller / Informer sur les actions à mettre en œuvre pour mener des missions de service public dans le respect des règles applicables ;
  • Sensibiliser / Former à la protection des données ;
  • Piloter / Uniformiser la démarche de conformité RGPD d’un groupement d’adhérents

Mutualiser les compétences, les moyens, les outils en continu :

  • Désignation HGI-ATD personne morale en tant que DPD mutualisé des adhérents
    • Interface entre l’autorité de contrôle CNIL, l’adhérent et les usagers
    • Mettre en place, piloter et animer un réseau de relais RGPD
    • Proposer des procédures internes qui garantissent la protection des données
    • Proposer / Recommander les outils de la conformité 
      • Acquérir et mettre à disposition l’outil registre permettant de cartographier les opérations de traitements de données et de documenter la conformité
      • Inventaire des traitements de données personnelles
  • Contrôler, auditer la bonne application de la réglementation, proposer les actions de conformité à renforcer ou à développer

Pour mener cette mission, l’Agence s’appuie depuis fin 2019 sur la compétence d’un pôle d’expertise en protection des données, composé d’une déléguée (DPD) et d’une conseillère protection des données.

A l’issue des élections municipales 2020 et de son changement de raison sociale et d’adresse, Haute-Garonne Ingénierie - ATD a engagé une campagne massive, encore en cours, de mise à jour obligatoire auprès de la CNIL, de ses désignations en tant que délégué à la protection des données (DPD) mutualisé.

L’Agence affiche aujourd’hui un vif succès auprès de plus de 85 % de ses adhérents qui ont souhaité être accompagnés dans leur démarche et l’ont désignée en tant que DPD.

Par ailleurs, un plan global de conformité RGPD a été défini ainsi qu’un programme pour accompagner efficacement la démarche de conformité RGPD que les adhérents doivent engager en responsabilité. 

Si à terme, l’ambition de ce programme est de créer une logique d'entraide aux meilleures pratiques de la transition numérique, la mise en réseau et l’industrialisation de la méthode et des outils de la conformité ; HGI-ATD n’est pas en mesure d’accompagner individuellement l’ensemble des 560 adhérents simultanément dans cette démarche de fond qui bouleverse les pratiques existantes.

Pour cette raison et dans un premier temps, ce programme, piloté par HGI-ATD vient d’être lancé en janvier 2021 pour expérimentation auprès d’un panel représentatif de dix collectivités (7 communes) et EPCI (un syndicat intercommunal, 2 communautés de communes). Il doit permettre à chaque bénéficiaire la mise en place exigée par la réglementation, des mesures organisationnelles, juridiques et techniques adaptées aux besoins et conformes aux bonnes pratiques de protection des données.

Paru dans :

Info-lettre n°282

Date :

15 février 2021

Mots-clés