Mettre en place une démarche compliant by design pour la plateforme d'e-services d'une mégapole
- Client: Ville de Paris
- Durée de la mission : Janvier 2019 - Juin 2019
- Mots clés : Coaching, Legal design, Conformité, RGPD
Le contexte
Avec le “Plan de transformation numérique”, la Ville de Paris est engagée depuis plusieurs années dans la refonte de son offre de services ainsi que des parcours usagers qui en découlent.
Cette refonte conduira au développement de nouveaux usages et rôles du compte « Mon Paris », sorte de compte fédérateur pour accéder aux téléservices offrant une vision unifiée des démarches réalisées. Ce nouvel environnement transverse vise notamment à améliorer l’expérience usager, augmenter la qualité de service rendu, et ainsi les recettes de la Ville. Cela doit se traduire par une meilleure analyse des attentes, des retours, et une meilleure adéquation des offres de service avec les besoins des Parisiens.
Cette transformation de l’offre numérique traduit également la mise en œuvre d’une nouvelle conception de la relation à l’usager pour proposer une vision transverse et un accompagnement complet, c’est le programme « CRM » (Customer Relationship Management). L’ensemble de cette stratégie repose donc sur la donnée et nécessite une refonte du système d’informations.
Le challenge
L’enjeu était de proposer une conception RGPD exemplaire by design, tout en désensibilisant des équipes qui s’interdisaient parfois de penser à de nouveaux services par peur de dépasser les limites du droit.
Le résultat
Notre approche
Étape 1 : indentification des différentes ramifications et entrelacs entre les différentes composantes du projet
Dès lors, on retrouve de nombreuses ramifications et entrelacs entre les différentes composantes du projet. Nous avons cherché à cartographier les traitements, proposer une trajectoire de conformité, de gérer l’exercice des droits des personnes et d’analyser les outils qui seront proposés aux agents. L’ensemble est appuyé sur une grille de lecture commune permettant d’identifier les spécificités des différents produits et le cas échéant leurs liens entre eux.
- La grille de lecture permettait d’analyser les projets et futurs traitements pour que les équipes puissent en autonomie se poser toutes les questions préalables à une trajectoire de conformité : Quel est le but de ce traitement ? À quoi va-t-il servir ?
- Le traitement est-il légitime, notamment au regard de mes missions et des droits des personnes ?
- Quelles sont les données dont j’ai forcément besoin pour atteindre l’objectif fixé, comment je les récolte et qui va pouvoir y accéder ?
- Est-il possible d’atteindre le même objectif en traitant moins de données ?
- Jusqu’à quand ces données me seront-elles utiles (évènement butoir, durée, obligations légales ou sauvegarde d’un droit en justice) ?
- Comment vais-je informer les personnes concernées, de manière claire et simple ?
- Comment vais-je garantir les droits des personnes concernées ?
- Ai-je mis en œuvre des mesures de sécurité adéquates (techniques et organisationnelles) ?
- Ai-je pris les mesures techniques permettant de corriger rapidement un défaut ?
- Quelle est la documentation à produire ?
Étape 2 : notre intervention
Il s’agissait donc de former, sensibiliser notamment en rappelant les règles de protection de la vie privée, applicables aux administrations. Notre intervention a permis de :
- Replacer la mission d’intérêt public au cœur de la conception des services et de la trajectoire de conformité ;
- Sensibiliser les différents services concernés au cadre de la protection des données, aux enjeux de gouvernance des données et plus généralement à la traçabilité des actions réalisées ;
- Lister les éléments nécessaires à la constitution du dossier de conformité RGPD ;
En plus d’opérationnaliser la conception du programme, de tracer les besoins et usages des agents pour fournir un service de même valeur quel que soit le canal utilisé, de rapprocher les différentes directions concernées par un tel projet, nous avons également pu proposer quelques éléments vertueux comme l’adoption d’un corpus municipal relatif à l’éthique permettant de donner corps à des principes parisiens d’action numérique comprenant :
- Le refus d’utiliser des traitements susceptibles de normer la vie des gens en proposant des trajectoires normées fondées sur des approches statistiques ;
- Le refus de traiter des données, ou de réaliser des traitements susceptibles d’une manière ou l’autre de révéler la prétendue origine raciale ou ethnique, les opinions syndicales ou politiques, les convictions religieuses ou encore l’orientation sexuelle des personnes ;
- La création de profils (et de rôles précis) pour les agents de manière à savoir quels agents accèdent à quelles données, avec une traçabilité (et une formation renforcée) pour les agents polyvalents. Cette fonctionnalité peut également être présentée aux usagers, dans un souci de transparence ;
- La ville est en mesure de proposer des fonctionnalités optionnelles, sur la base du volontariat à ses usagers (recommandé par voie électronique, solution de recommandations).
- Plasticité des sujets (évolutivité dans les choix et convictions)
Témoignages
L'expertise de Numércité en matière de legal design et sa capacité à transmettre sont telles que cela rend les projets plus créatifs tout en élevant le niveau d'exigence sur la conformité.
Charles Franko
Responsable Stratégie Usagers à la Ville de Paris
Prochaines étapes
Engagé dans une relation au long cours, les experts conformité RGPD et legal design Numéricité seront amener au assurer un soutien opérationnel sur les différentes problématiques juridiques abordées lors des projets numériques de la ville de Paris. Ce back-up expert est activable en mode "urgence" pour documenter des sujets sensibles ou des crises mais surtout en mode acculturation / co-création pour chaque projet.
FR 
EN