Retour sur la mission pour la Commune de Sanary-sur-Mer (suite et fin)

⚙️ Former les agents et améliorer leur culture de la donnée

Confrontées à la multiplication des règles et normes à respecter, les collectivités territoriales s’engagent à une amélioration des compétences des agents publics. Pour y parvenir, nos Numéri-experts ont fourni quelques outils aux agents publics de Sanary-sur-Mer, sur les bonnes pratiques à avoir en matière de protection de données. Comment ? En rappelant la philosophie générale de la nouvelle réglementation : l’accountability ! Cela suppose dès le départ, l’accomplissement d’un important travail de recensement des traitements de données, puis de mises à jour progressives. Suivant cette nouvelle philosophie, les formalités préalables sont désormais très restreintes aux sujets sensibles. L’objectif de notre accompagnement est in fine de développer l’autonomie des collectivités, et des agents en leur fournissant clé-en-main des éléments pour répondre aux grandes questions de la protection des données.

En substance :

• Comment choisir sa base légale lorsqu’on est une collectivité ? Il s’agira généralement, de la mission d’intérêt public ou de l’obligation légale ;
• Combien de temps vais-je conserver les données que je traite ? Selon le besoin précis et déterminé de la collectivité ;
• Expliciter le plus clairement possible pourquoi je traite les données ;
• Déterminer les droits qu’auront les usagers quant à leurs données (ils dépendent de la base légale choisie).

Notre accompagnement vise également à aider les agents à avoir les premiers réflexes, en particulier en cas de violation de données. Il s’agit notamment de parvenir à rapidement évaluer les risques encourus par les personnes dont les données ont été « violées » et les risques encourus par la collectivité. La réaction à avoir sera alors de demander l’aide des services concernés, notamment le service informatique pour vérifier l’étendue et le type de faille (est-ce un accès illégitime, une suppression de données ou une modification, par exemple).

Comme nous avons pu le rappeler, la difficulté de cet exercice de « documentation » tend à la rapidité à laquelle les agents doivent répondre, même en cas de faille aux conséquences limitées.

🎯 Un accompagnement adapté aux sujets les plus sensibles

Comme le précise la CNIL, les sujets traités par les collectivités territoriales sont parfois particulièrement sensibles. D’un autre côté, les moyens alloués à la protection des données sont parfois jugés comme importants au regard de la taille de la commune et de ses moyens.

Dans une optique de préservation des finances publiques, les personnes publiques ne devraient pas oublier le choix de la mutualisation d’un Délégué à la protection des données « externe », tel que NumériCité !

Pour revenir à la sensibilité des sujets, ce n’est pas intuitif, mais il faut se avoir en tête qu’une commune est par exemple compétente seule ou conjointement sur les sujets :

• De sécurité publique ;
• Des écoles primaires et maternelles et de restauration dans ces écoles ;
• D’infractions routières ;
• Du recensement ;
• Des mariages et des PACS.

Toutes ces prérogatives peuvent nécessiter la collecte de données sensibles, et en conséquence un accompagnement plus poussé. Ces données peuvent notamment concerner la santé, les opinions philosophiques et politiques, l’orientation sexuelle ou encore l’origine ethnique ou raciale, réelle ou supposée, des individus.

⚖️ Notre bilan

Qu’est-ce que cela signifie pour notre équipe d’experts dans leur travail auprès des collectivités et de leurs agents ?

La réalisation des célèbres analyses d’impact sur la vie privée… une spécialité de notre pôle conformité ! Nous en avons produit une quarantaine en un temps record. Cet élément essentiel de la conformité permet d’aider les services à établir et justifier les choix juridiques, politiques et techniques dès lors qu’ils impliquent une collecte de données.

Concrètement, cela impose d’expliquer la politique menée pour ne collecter que les données strictement nécessaires (principe de minimisation), ou encore expliquer pourquoi nous avons choisi de conserver les données sur une certaine durée. Notre méthodologie de co-construction consiste notamment à se fonder sur les besoins métiers des collectivités, la législation et les recommandations de la CNIL.