"Nous recrutons un data protection officer mutualisé pour les collectivités" - Patrick Ruestchmann, dg adjoint du GIP e-Bourgogne-Franche-Comté
Publié par Marie-Amélie Fenoll le | Mis à jour le
Avec l'entrée en vigueur du nouveau règlement européen sur la protection des données (RGPD) le 25 mai 2018, les acteurs publics s'organisent. Interview de Patrick Ruestchmann, directeur général adjoint du GIP e-Bourgogne-Franche-Comté.
Décision Achats : Vous allez recruter en mars un Data Protection Officer (DPO) pour vos adhérents au GIP. Quel sera son profil et sa mission?
Patrick Ruestchmann, directeur général adjoint du GIP e-Bourgogne-Franche-Comté [photo ci-contre] : Le GIP e-Bourgogne-Franche-Comté va recruter en mars un DPO pour accompagner ses membres dans l'application du RGPD. La nouvelle recrue sera en quelque sorte un DPO mutualisé pour toutes les collectivités adhérentes. Nous finalisons le recrutement d'un poste de chef de projet open data/DPO. Cette personne a un profil juridique. Car cela restera un travail de gestion de risques technico-juridiques puisque nous avons déjà réalisé un audit avant pour voir où étaient nos vulnérabilités dans nos systèmes. Cet audit précédent avait été réalisé dans le cadre du Référentiel Général de Sécurité. S'il y a une similitude dans l'approche avec le RGPD (fiches de risques etc.), ce n'est cependant pas corrélé.
Nous avons déjà 3 personnes qui travaillent sur le sujet des données ouvertes depuis 6 ans sur notre portail territoires numériques www.databfc.fr. La nouvelle loi RGPD va mettre le doigt dessus. Il faudra donc une gestion des risques abordés appliquée à ces préceptes de données ouvertes.
D. A : Quelles seront les étapes à suivre pour vos adhérents ?
Patrick Ruestchmann, directeur général adjoint du GIP e-Bourgogne-Franche-Comté : Nous comptons environ 1500 adhérents, dont 85% sont des petites communes. La première étape consiste à rassurer les collectivités sur la démarche RGPD. Il s'agit ensuite dans un second temps de classifier ces données personnelles en terme de risques et avoir une bonne visibilité sur cette classification. Ce sera le cas notamment avec la gestion des centres départementaux qui sont en première ligne. Il faudra bien leur expliquer le lien avec l'open data car il y a une sorte de continuum avec les données personnelles. Prenons l'exemple du calcul du quotient familial qui est une donnée ouverte. Ce calcul du quotient familial contient également des informations personnelles. Il peut être utile de se tourner vers la CNIL en complément. Enfin, il s'agira de mettre en place un kit méthodologique pour tenir le registre des données (ex : quelle est la durée de vie des données, qui doit y avoir accès, etc ?). Nous devons aussi pouvoir réaliser une estimation de la charge par les adhérents.
Nous avons un groupe de travail là-dessus et nous concertons avec les régions, les fédérations hospitalières, les syndicats, ... Nous sommes à peu près tous au même niveau. Mais il est vrai que la CNIL aurait pu préparer un peu mieux l'arrivée de la loi RGPD.
Nous participons également à de nombreux échanges dans le cadre d'associations. Comme avec l'association Adullact qui contribue à favoriser l'usage du logiciel libre dans les administrations et lance un groupe de travail sur le RGPD fin mars pour aider les participants à spécifier les outils et démarches à mettre en place pour se mettre en conformité avec la nouvelle réglementation européenne. De plus, la Fédération nationale des collectivités concédantes et régies (FNCCR) ou Territoires d'énergie poursuit les échanges entre ses adhérents, le plus souvent des syndicats informatiques, d'énergies, pour organiser les échanges d'expériences.
D. A : Selon vous, est-ce que le RGPD phagocyte le sujet Open data dans les collectivités?
Patrick Ruestchmann, directeur général adjoint du GIP e-Bourgogne-Franche-Comté : La réponse est partagée. Il faut bien faire comprendre ce qui est en jeu pour dissocier les deux sujets. De mon côté, j'ai tendance à voir cela positivement car le sujet du RGPD attire l'attention sur celui de l'open data. Ce couperet de la loi sensibilise à l'ouverture des données.