ecoter

Mission pour l'Economie Numérique,
la Conduite et l'Organisation des Territoires

Accès membres
Accueil
Les collectivites se preparent au nouveau reglement general sur la protection des donnees

(Localtis, 28 juin 2017)

Le nouveau règlement général sur la protection des données (RGPD) dans l'Union européenne entre en vigueur en mai 2018 et change la donne sur la gestion des données personnelles. Le correspondant Informatique et Libertés (CIL) est remplacé par le délégué à la protection des données (data protection officer ou DPO), qui est lui obligatoire pour toute structure publique. Pour de nombreuses collectivités, la mise en conformité passera par la mutualisation et constitue une opportunité de repenser la gestion de données.

 

Un durcissement des sanctions, un nouveau mode de contrôle de la protection des données : le nouveau règlement général sur la protection des données (RGPD) de l'UE n'est pas avare de changements et ils concernent au premier chef les collectivités. Un point qui préoccupe : les amendes en cas de mauvaise gestion et de fuite des données personnelles peuvent désormais atteindre 20 millions d'euros. C'est un défi pour les territoires : les collectivités les plus modestes passent parfois par une gestion artisanale de leur présence sur le web et sont vulnérables aux attaques. En 2015, la Gazette des communes constatait que près de la moitié des sites internet des collectivités n'étaient pas à jour dans leur sécurisation.

 

 

L'Anssi veut se rapprocher des territoires

Mi-2016, l'Agence nationale de la sécurité des systèmes d'information (Anssi) a renforcé sa présence auprès des territoires avec des référents régionaux. Elle expérimente en Hauts-de-France Acyma, une plateforme de remontées d'information sur les attaques informatiques. Un outil censé remplir une cruelle lacune : lors de l'épisode récent de cyberattaque du rançongiciel Wannacry en mai 2017, qui avait affecté de nombreux systèmes informatiques français dont les usines Renault, l'Anssi n'avait reçu aucun signalement de la part de collectivités territoriales. Alors même que, du côté des acteurs de terrain, on compte par dizaines le nombre de structures qui auraient été affectées. Un verrou psychologique reste à dépasser : les élus et les agents peuvent percevoir la vulnérabilité informatique comme une honte et un échec, difficile à divulguer. Or, le nouveau RGPD impose des normes très strictes sur l'information aux usagers quant aux fuites, lorsqu'elles concernent des données personnelles.

La mutualisation du DPO a déjà commencé

Autre avancée du RGPD, la nomination d'un délégué à la protection des données (ou DPO) au sein de chaque structure publique, dont les collectivités territoriales. Un rôle assez semblable à celui du correspondant Informatique et Libertés (CIL) qui pour autant, lui, ne revêtait pas de caractère obligatoire. La tendance qui s'observait déjà pour le CIL, devrait donc s'amplifier : parmi les centres de gestion, syndicats mixtes et autres structures publiques concernées par l'informatique en collectivités, certains réfléchissent déjà à proposer des formules de DPO mutualisé. "C'est un modèle que la Cnil encourage", précise Emmanuel Vivé, directeur de l'association départementale pour l'informatisation des collectivités de l'Oise, l'Adico. "La Cnil sait que l'obligation ne pourra pas être remplie sans recours massif à la mutualisation." Naturellement, nombreuses sont les collectivités qui restent sceptiques face au poids des nouvelles normes en matière de protection des données. Mais l'effectif des structures intéressées est assez conséquent pour que l'Adico ait embauché un collaborateur supplémentaire, pour en faire un DPO mutualisé dès début 2018. Parmi ses tâches : effectuer des audits de la gestion et de la gouvernance des données auprès des communes adhérentes. Au sein de la FNCCR, mais aussi de Déclic, le réseau des structures départementales d'aide à l'informatique, d'autres membres envisagent la mutualisation du DPO : Soluris en Charente-Maritime, le Sictiam dans les Alpes-Maritimes, ou encore l'agence landaise pour l'informatique (Alpi). Ce n'est sans doute qu'un début : entre le RGPD et les nouvelles normes en matière d'open data, les collectivités sont de plus en plus incitées à repenser leur gestion des données.

Référence : règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

 
Agenda
  Septembre  
LuMaMeJeVeSaDi
 
123
45678910
1112
DONNEES PUBLIQUES LOCALES - Nouvelles obligations, nouvelles opportunités - Comment préparer ses projets ? 12.09.17
(Journée de formation pour les élus locaux et les cadres territoriaux )
1314151617
1819
Sensibilisation méthodologique à la mise en place d'un DPO externe - 19.09.17
(Rencontre de la Mission Ecoter)
2021222324
252627
REUSSIR UNE POLITIQUE D'EQUIPEMENT NUMERIQUE POUR L'EDUCATION - MODULE 1 - 27.09.17
(Journée de formation pour les élus locaux et les cadres territoriaux )
282930
Mission Ecoter
Nouvelle adresse de correspondance
13, avenue d'Aygu
26200 Montélimar
Tél.: 04 75 51 70 85
mission.ecoter@ecoter.org
Siège social
Olivier Julienne
Secrétaire général
Antenne Ile-de-France
Elodie Bouigues
Tél.: 07 89 02 71 23
Antenne Rhône-Alpes
Natalie Herrouin
Tél.: 04 75 51 70 85
 
Association loi 1901 créée en 1999
Organisme de formation agréé par le Ministère de l'Intérieur et pour la formation professionnelle
Déclaration d’activité n° 82260179326
© Tivipro 2009 | Mentions légales | Liens utiles