Les impactantes
Les impactantes
Collectivités territoriales: les pires choses à faire dans la gestion des données personnelles
Interview avec Maître Duffit-Ménard du cabinet Transition Territoriale à Lyon, avocat en intelligence territoriale et droit numérique publique.
Même si la RGPD est une règlementation connue de tous, la question de la gestion des données personnelles revient de plus en plus dans l’actualité.
Certaines enquêtes révèlent que de nombreuses collectivités territoriales sont en difficulté sur la compréhension et la mise en œuvre de dispositifs conformes et efficaces. En avril 2022 par exemple, la CNIL a rappelé durement à 22 communes leurs manque de conformité. Maître Duffit-Ménard nous explique au travers d'exemples à ne pas faire les enjeux de la gestion des données personnelles pour les collectivités et pourquoi il y a urgence à ce que les collectivités s'en emparent pleinement.
Bertrand : Bonjour, aujourd'hui je suis avec Nathanaël Duffit-Ménard qui est avocat au cabinet Transition territoriale à Lyon, spécialisé en intelligence territoriale et droit numérique public. Bonjour Nathanaël.
Maître Duffit-Ménard : Bonjour Bertrand, merci de l'invitation.
Bertrand : Je t'en prie. Même si la RGPD, c'est un sujet dont on parle beaucoup, est une réglementation connue de tous, au moins pour l'acronyme. Et si la question des données personnelles, notamment dans la question de la gestion, revient de plus en plus dans l'actualité pour de mauvaises raisons, souvent certaines enquêtes révèlent que de nombreuses collectivités territoriales sont en difficulté sur ce sujet, et notamment sur la compréhension et la mise en œuvre de ce dispositif.
En ce qui concerne la conformité et notamment certaines notions d'efficacité sur ces gestions là.
Alors je rappelle un exemple en avril 2022, la CNIL a rappelé très durement à 22 communes leur manque de conformité et les a mises en demeure de nommer des DPO sous quatre mois, ce qui a été fait uniquement pour 18 d'entre elles. Alors, il y a des conséquences pour ces communes qui sont effectivement importantes, les conséquences pour leurs résidents.
Alors, pour commencer, parlons un peu de toi et de ton parcours.
Maître Duffit-Ménard : Je suis avocat comme tu as très bien introduit. Avocat en intelligence territoriale. Qu'est ce que l'intelligence territoriale ? Et on va faire avancer avec le RGPD, ça va lier la stratégie et le juridique stratégie. C'est à dire qu'on va analyser un territoire, de cartographier, voir quels sont ses enjeux à partir de ces enjeux, quel est le cadre juridique existant et comment on va modifier ce cadre juridique de manière plutôt innovante pour pouvoir répondre aux objectifs politiques de transformation et de transition du territoire. Et quand je dis cette intelligence territoriale, je fais le lien avec le RGPD. C'est que le RGPD, tout ce qui est droit public numérique, allie toujours cette notion de stratégie et de juridique. Faire du droit que pour faire du droit purement technique ne suffit pas à répondre aux enjeux aujourd'hui du droit numérique public. Donc voilà ce qu'est l'intelligence territoriale.
Donc c'est construire des stratégies de territoire. Mais il y a aussi un côté purement juridique, avocat dans le domaine qui est un problème juridique arrive comment le régler soit en conseil, soit en contentieux ? Ça, c'est qui je suis. Et tu sais parler de mon parcours. Mon parcours s'inscrit toujours dans les territoires puisque j'ai été pendant dix ans directeur général des services, donc fonctionnaire auprès des collectivités territoriales et ce qui permet d'avoir cette double approche interne la connaissance de l'interne, des enjeux, les problématiques, mais aussi de l'externe avec cet œil de tiers, cette position méta.
Bertrand : Oui, parce qu'effectivement il y a une question qui se pose entre la règle de droit, la conformité et l'applicabilité de certaines mesures. Il y a des questions de gestion opérationnelle extrêmement importantes, et c'est d'ailleurs tout le problème souvent de la RGPD pour les responsables que ça concerne. Parle nous un petit peu, pour reprendre un peu la décision de la CNIL que j'ai mentionné en début de en début de ce podcast.
Est ce que tu peux nous en dire un peu plus sur le contexte qui s'est passé réellement ? Pourquoi la CNIL a réagi de cette façon là sur ces communes ? Quel est le dispositif qui s'est appliqué dans ce cadre là ?
Maître Duffit-Ménard : Sont pointés du doigt du tout, ces collectivités, parce que je vais juste faire une petite introduction. Les collectivités sont confrontées à cette obligation légale, par exemple, de nommer un délégué aux protection des données. La difficulté, c'est que les collectivités ont des urgences qui viennent de partout.
Actuellement, on voit il y a les urgences énergétiques, des urgences de transition écologique. Tout est urgent et le numérique est urgent.
Je ferme cette parenthèse, mais c'est aussi important pour comprendre pourquoi des collectivités ne mettent pas en place des Délégués à la protection des données. La CNIL je pense, je me permets de penser à sa place, la CNIL a voulu, je pense, marquer le coup. Elle a marqué le coup d'une façon déjà très forte, elle a publié le nom des collectivités qui étaient défaillantes en la matière. Je ne te cache pas que la que les collectivités qui ont vu leur nom publier, cela n'a vraiment pas pu leur faire plaisir.
Donc, pour moi c'est une histoire de marquer le coup.
Allez encore sur les sanctions, si on voit comme tu as pu dire, il y a 18 collectivités qui se sont mis tout de suite en conformité. C'est, je marque le coup, je rappelle la règle de droit qui est que toutes les collectivités de zéro habitants à des millions d'habitants doivent avoir leur Délégué la protection des données. Mais je marque le coup au niveau des strates, elle est allée sur des collectivités, sauf erreur de ma part, plus de 20 000 ou plus de 25 000 habitants. Pour bien montrer qu'à partir d'un certain niveau, à partir d'un certain seuil, vous ne pouvez pas vous cacher derrière un problème organisationnel, vous allez faire 25 000 habitants, vous devez le faire. Et je pense que ça marque le coup et la CNIL va, à l'avenir, descendre les strates. Donc là, elle a fait son rôle vraiment de la méchante, il y a le côté gentil ou méchant, la CNIL a une vision à 360 degrés.
C'est je vais au conseil, je produis la norme, je contrôle et je sanctionne. Là, on était sur le contrôle, conseil.
Bertrand : Oui, en même temps une forme de pédagogie auprès du grand public aussi, parce que ça permet aux citoyens, je dirais aux administrés de comprendre la part de responsabilité qu'ont leur collectivité dans la protection de leurs données personnelles à eux. Dans un contexte où on est dans une situation de tension sur les questions de cyber sécurité. C'est forcément un peu utile que cette prise de conscience puisse avoir lieu de façon un peu marquée, comme tu le rappelles. Moi j'ai une question peut être plus précise parce qu'effectivement tu es rappelé la signification de l'acronyme DPO. En ayant moi même avec mon équipe parler avec certaines communes, on s'est aperçu que parfois le terme était connu mais n'était pas très clair sur ce qu'il recouvrait et qui avait capacité à répondre à ces fonctions. Est ce que tu peux nous faire un petit rappel sur le rôle et en quoi sa nomination, au delà de son obligation de nomination, s'inscrit dans une démarche finalement bénéfique pour l'ensemble de la collectivité et des administrés ?
Maître Duffit-Ménard : DPO, je ne vais pas aller sur l'anglais puisque c'est un mot anglais. C'est Délégué au protection des données, on entend DPO, DPD, je vais parler de Délégué de protection de données, le DPD.
Alors déjà, je reviens là dessus, c'est une obligation légale d'aller sur sa notion de DPD et ses missions légales, une obligation légale définie par le fameux RGPD. Cet acronyme, je me permets de le redire, c'est le Règlement Général de Protection des Données. C'est un caractère européen qui s'applique sur l'ensemble du territoire de l'Union européenne et qui est d'application immédiate. Donc, l'objectif du Délégué au protection des données. Il a plusieurs objectifs et d'obligations :
1. J'informe : ça c'est le règlement général des données qui explique que j'informe et je conseil le responsable de traitement, ici le responsable de traitement c'est le maire.
J'informe et je conseil sur quel est les modalités d'application de la protection des données dans mon environnement de travail. Je vais voir le maire, la maire, président de l'interco par exemple, en train de dire "Voilà les cadre généraux". Et après je suis là aussi pour contrôler du bon respect de ces normes. Vous voyez, j'informe, je contrôle et je dispense aussi des conseils. Je me permets de prendre un exemple pour que ce soit plus imagé.
Bertrand : Oui, absolument oui.
Maître Duffit-Ménard : Je suis une collectivité, je veux déployer un système de vidéosurveillance, vidéoprotection, je ne rentre pas dans le débat entre les deux. Je n'ai pas de délégué à la protection des données, je suis maire, je le fais tout seul et je peux avoir des problèmes parce qu'une vidéosurveillance ça atteint aux données des personnes qui sont qui sont prises devant les caméras.
J'ai délégué à la protection des données, cette personne va informer du cadre juridique. Elle va aussi conseiller et la contrôler de la bonne application. Et le délégué aux protection des données va aussi faire le lien avec la CNIL pour s'assurer de la bonne application du RGPD.
Bertrand : D'accord.
Maître Duffit-Ménard : Ce n'est pas une fonction juridique, c'est une fonction de contrôle de la conformité.
Bertrand : Alors quand on a parlé à certaines communes, en fait certains de ceux qui avaient connaissance de ce rôle n'étaient pas forcément certains de savoir qui nommer, comment le nommer, et voilà quels types de compétences étaient requises. On a vu des gens qui faisaient du marketing digital être nommés dans ses fonctions, qui n'avaient pas forcément toujours l'air de savoir ou d'avoir envie de prendre ce rôle là.
Parce que c'est pas parce qu'il a données ou digital que tout était associé. Pour une commune de n'importe quelle taille. En fait, quel genre de profil, alors pas forcément professé, mais quel genre de compétences devraient être mises en avant pour pouvoir prétendre à ce rôle qui est quand même légèrement stratégique dans ce contexte ?
Maître Duffit-Ménard : On va dire que j'ai une baguette magique et je peux créer la DPD parfaite. Allez, je prends cette baguette magique !
Bertrand : Allez, on y va !
Maître Duffit-Ménard : Deux choses essentielles c'est un : le droit, puisque c'est une application d'un règlement général des données et il faut avoir ses appétences pour le droit. C'est-à-dire, comment j'ai un droit, j'ai une norme, comment je la décline au sein de mon organisation. Donc qu'est ce qui est légal ? Possible de faire, pas possible de faire ?
Mais comme le droit n'est pas suffisant, il faut aller aussi sur une connaissance technique. Connaissance technique. Qu'est ce qu'il y a derrière le numérique ? Qu'est ce qu'il y a derrière les questions de cybersécurité ? Il faut allier les deux.
Mais je vais sûrement pas être objectif puisque je suis juriste d'origine. Je pense que le droit est quand même prépondérant mais on ne peut pas échapper au côté technique.
Bertrand : Donc en fait il faut quand même avoir la base, si on reprend, faut évidemment une compétence minimale, en fait, en compréhension des textes juridiques qui s'appliquent dans le cadre de la RGPD et après, derrière, d'avoir évidemment une forme de compétence dit numérique. Mais si j'ai bien compris, je dirais la première compétence, la première capacité, c'est celle de comprendre le droit, à minima.
Maître Duffit-Ménard : C'est ça.
Bertrand : Et après d'avoir par dessus du numérique. C'est vrai que dans beaucoup de cas, on a vu, on s'est rendu compte que dans certaines situations, les gens nommés dans le cadre de DPD ou DPO, si l'on comprend l'anglais ou le français, et bien étaient souvent mis là avec simplement la capacité à gérer des réseaux sociaux, ce qui évidemment n'est pas peut être une compétence, mais n'est pas la compétence essentielle pour une nomination à ce genre de fonction.
Maître Duffit-Ménard : Pour moi c'est très défaillant. Je dis pas que la personne est défaillante, mais c'est très défaillant de construire une fiche de poste autour de ça. J'oubliais un troisième point, il y a une questions de pilotage aussi, c'est que la facilité du DPD c'est qu'elle est autonome et la difficulté c'est qu'elle n'a pas de lien hiérarchique avec l'ensemble de l'organisation.
Donc il faut savoir ménager l'ensemble des acteurs internes puisque même si elle doit être raccrochée directement au plus haut de la direction, ça peut être perçu comme la personne qui va pointer toute la difficulté mais qui ne connaît rien à mon boulot concrètement. Donc il y a ce côté de pilotage de l'offre non hiérarchique qui peut être compliqué.
Oui, donc faut être aussi du côté casque bleu, ambassadeur.
Bertrand : Donc en fait, si on résume la fonction, en fait tous les types de nomination qui doivent avoir lieu, donc le DPD ou DPO idéal ou le ou la d'ailleurs, c'est quelqu'un qui connaît un minimum de droit, en tout cas s'y intéresse et est capable de le comprendre dans le contexte de son organisation.
Deuxième élément, c'est quelqu'un qui évidemment a une connaissance minimale du milieu numérique et de ses usages. Et troisième élément, là il y a une compétence transverse, un soft skills pour faire du franglais. Et bien c'est cette capacité à savoir fédérer son organisation et différents membres autour de cet enjeu qui effectivement peut être assez disruptif pour certains. Donc soyez des gens clivants qui aiment bien aller au clash, c'est pas forcément les bons candidats pour gérer ce rôle, voilà.
Maître Duffit-Ménard : J'irais même jusqu'à dire c'est des gens qui veulent aller au clash sont aucunement bon candidats pour bosser dans les collectivités territoriales.
Bertrand : Donc à bon entendeur salut évidemment que sur le choix des nominations. Juste un petit rappel, une question, les risques qu'encourt les collectivités qui ne se mettent pas en conformité en fait.
Maître Duffit-Ménard : le risque ultime vis à vis de la CNIL, c'est la sanction administrative. Le colis je l'ai pas là, je l'ai pas encore vu. Je ne crois pas que ça soit encore arrivé, mais ça va être la sanction administrative qui va être la sanction monétaire. Sanction monétaire qui on sait que le budget des communes n'est pas expansif, encore moins actuellement. Et puis ça le fait mal d'un point de vue publicité d'avoir une sanction monétaire de la CNIL, d'être comparé à Google qui se prend des sanctions monétaires. Je suis pas sûr que ce soit l'objet premier des débats à ce sujet.
Bertrand : Oui alors en plus, au delà du fait qu'il y a effectivement une mission de service public et de protection des administrés, là c'est une question aussi un peu morale qui se pose, bon voilà. Mais c'est vrai que toutes ces collectivités sont assaillis par des priorités multiples, mais il faut qu'ils comprennent que c'en est devenu une à bien des égards d'ailleurs. Alors justement, on est là aussi pour se faire un peu peur. Je dirai pas qu'on approche de Halloween, m'enfin c'est un peu aussi le contexte, essayons de nous faire peur. Fais nous peur avec quelques stories ou quelques histoires de ce qui peut mal tourner.
Évidemment, on espère tous que ça n'arrivera jamais aux personnes qui nous écoutent ou à ceux à qui nous parlons. Alors voilà, fais nous peur. Explique moi tout ce qui pourrait mal tourner. Voilà comment ne pas faire certaines choses ou pourquoi ne pas les faire voilà ?
Maître Duffit-Ménard : En fait, ce sont trois exemples réels qui sont arrivés et certains où j'ai pu accompagner des collectivités là dessus, qui montrent que ça paraît abstrait mais les problèmes sont concrets.
Premier exemple :
vous avez l'ensemble de vos données sur une collectivité territoriale qui sont cryptées, on va pas aller sur le côté technique, qu'est ce que recouvre le cryptage ? Mais vous avez plus du tout accès à vos données, dont vos logiciels d'état civil, dont le logiciel cimetière. Ça va sûrement parler aux agents des collectivités territoriales qui vont écouter ce podcast. Vous avez votre logiciel cimetière qui est crypté. Conséquence vous avez des personnes qui arrivent à l'accueil pour déclarer un décès, pour commencer à travailler sur pouvoir enterrer la personne décédée, ce n'est pas possible. Et là, vous retrouvez en mairie, à l'accueil, à ne pas pouvoir enterrer les personnes.
C'est concret, ça arrive et je peux vous jurer que les collectivités, là, sont vraiment très mal. Juste sur le symbole de ne pas pouvoir enterrer leurs citoyens.
Bertrand : Dans ce cadre là, effectivement, c'est à la fois tragique, triste et assez terrifiant. Ne serait ce que pour la charge morale, la façon dont ça peut impacter les familles concernées. Quels ont été les modes de résolution ? Il y en a t il eu ou comment les collectivités concernées s'en sont sortis ? Et surtout, on pense évidemment aux familles qui, dans cette douleur là, se voient infliger en plus une complexité un peu inutile dans un moment difficile.
Maître Duffit-Ménard : C'est pour ça, c'est que ça peut être résolu très rapidement d'un point de vue technique, mais il a fallu faire patienter la personne une demi journée.
Donc, cela a impacter effectivement les usagers mais il ne faut pas croire cela a impacté aussi les agents.
Bertrand : Dans ce contexte là. Quels ont été les modes de résolution un petit peu ...
Maître Duffit-Ménard : Technique ?
Bertrand : Technique, uniquement technique.
Maître Duffit-Ménard : Là c'était vraiment technique sur le court terme, après sur le long terme, ça a été une prise de conscience que la cybersécurité ça a un impact et on voyait les forces sur la collectivité en train de créer une stratégie cyber.
Bertrand : D'accord. Bon alors, on espère vraiment à tous les gens qui sont en situation de deuil de ne pas avoir à subir ce genre de choses extrêmement pénible. Et on sait que nous sommes aussi très sensibles aux questions de l'électronique. Ça complexifie encore pour des familles parfois qui sont peu exposées aux usages numériques. Il y a encore une couche de complexité supplémentaire qui peut être intimidante, voire désarmante dans des situations vraiment difficiles.
Alors ça, c'était la première première histoire qui trouve résolution. As tu d'autres histoires un peu gênantes ou en tout cas qui alertent sur ce qui peut se passer quand les choses tournent mal ?
Maître Duffit-Ménard : Il peut y avoir des exemples assez forts. C'est ce qui touche aux données sensibles par rapport aux enfants, c'est la violation de données. Le serveur d'une collectivité territoriale dans lequel on prend nom, adresse d'enfants mineurs par exemple, inscrits aux accueils de loisirs, avec des photos qui peuvent être sur serveur et que ces données et ces photos sont mises en vente, sont mises en ligne sur certains sites.
Bertrand : C'est absolument effectivement atroce. On comprend totalement donc ce que tu, je répète que les cas dont tu parles sont des cas de situation réelle, c'est pas des cas fictifs, c'est des cas qui ont eu lieu dans la réalité.
Maître Duffit-Ménard : Alors c'est plusieurs cas ensemble qui sont regroupés en un puisque j'aime bien aller jusqu'au secret professionnel de manière assez forte. Mais oui, ce sont des choses qui sont arrivées, de certaines données qui sont arrivées. Mais la violation de données, si je prends d'un point de vue purement technique, c'est que les collectivités, là, n'avaient pas perçu le problème de "faut sécuriser mon serveur". Parce qu'il n'avait pas le délégué protection à la donnée qui leur avait expliqué que d'un point de vue juridique, il est obligé de travailler sur la sécurisation de votre serveur.
Bertrand : Alors touche à des sujets très sensibles, on touche d'abord aux questions de décède, on touche quelque chose de forcément intime pour tout le monde, les enfants, avec évidemment tous les réseaux de criminalité dont malheureusement l'actualité se fait l'écho et les choses terrifiantes auxquelles les parents doivent penser. Il est vrai que la dernière chose auquel un parent souhaite penser, c'est que les données de son enfant ne soient pas sécurisées dans un endroit où ils sont censés l'être.
Alors pour une collectivité, si jamais un tel défaut constaté et qu'un dommage est constaté, quelles conséquences pour encourt la collectivité qui a eu défaut dans cette gestion ?
Maître Duffit-Ménard : Je vais aller plus loin, je vais parler de la collectivité et du responsable de traitement. C'est là que nous avons un maire qui est responsable de traitement, qui peut avoir sa responsabilité pénale engagée. Le code pénal dans ses articles 226, j'ai oublié le tiret derrière, mais le code pénal, dans ses dispositions a un chapitre spécifique aux violations des données.
Donc le maire peut voir sa responsabilité pénale engagée, sa responsabilité civile engagée, de même que la collectivité en tant que personne morale, peut voir ses différentes aussi responsabilité engagée. Donc pour le dire de façon concrète, on peut aller voir le juge pour ça.
Bertrand : C'est important parce qu'en fait il y a parfois quand on parle à certaines personnes et c'est parce qu'il y a un défaut de compréhension de tout ces rôles là. Pour ceux qui ont conscience souvent du rôle du DPD, et bien il y a là le sentiment que finalement, une fois qu'on a délégué cette fonction, qu'elle existe, finalement on est un peu protégé parce qu'il y a quelqu'un qui prend un peu le rôle de paratonnerre en cas de problème sur la gestion des données. En fait, ce que tu expliques, c'est que ce n'est pas le cas du tout. La responsabilité pénale à la fois de la personne morale et d'une personne responsable, donc en l'occurrence dans une mairie c'est donc le maire, est engagé directement et ça c'est important de le rappeler. La nomination d'un DPD n'exonère pas de la responsabilité vis à vis des administrés et leur données, ça c'est clair.
Maître Duffit-Ménard : Et d'autres mandats en plus. Tu parles du cas où il y a la nomination d'un DPD, mais imaginez la vision du juge pénal si il n'y a pas eu de nomination d'un DPD.
Bertrand : Alors justement, c'est de pire en pire j'imagine. Mais est ce qu'il y a une gradation supplémentaire dans la qualification de la peine et de la sanction ?
Maître Duffit-Ménard : Je ne fais jamais de prospective comme ça, mais effectivement, j'imagine que je ne vois pas comment un juge ou l'ensemble des autorités judiciaires ne vont pas avoir un regard plus sévère sur le maire, en plus d'une collectivité avec un certain seuil, on va dire une commune de 10-15 000 habitants, qui a une telle violation de données et qui n'a pas nommé le DPD. On serait quand même sur, je pense, un regard très sévère du juge.
Je me permets juste de dire parce qu'aujourd'hui on est pas en train de se dire est ce que je vais subir une violation, une attaque cyber ? Aujourd'hui, on est en train se dire quand est-ce que je vais l'avoir. Ce qui va être important, c'est de prouver qu'on a mis en place toutes les procédures en interne pour éviter, et si ce n'est éviter, que faire en sorte qu'il soit le plus faible possible.
Bertrand : En fait, c'est ça, la responsabilité est vraiment engagée dans le cas où effectivement, tout ce qui a été demandé en termes de conformité, en termes de dispositifs techniques accessible à cette collectivité a été mis en œuvre. Il est bon de rappeler évidemment qu'on ne peut pas demander à toutes les responsables de collectivités de devenir des experts de la cybersécurité et les experts du droit de la cybersécurité d'autre chose, mais qu'en fait, dans le cadre de recommandations existantes et des réglementations que le dispositif préconisé a été mis en conformité. Et voilà.
Et ça, c'est important de le rappeler parce qu'il y a quand même des responsabilités pénales engagées derrière. Donc, ce n'est pas effectivement un luxe ou une espèce de gadget à la mode. C'est une nécessité impérative au regard de la morale, de la sécurité et du droit, on le rappelle. Est ce que c'est encore une autre histoire, un peu terrifiante peut être, et un peu aussi pédagogique pour pouvoir bien comprendre les enjeux qui sont derrière ces questions.
Maître Duffit-Ménard : L'appellation des données du document d'urbanisme où apparaissent des entreprises type Seveso. Des données qui ne doivent pas être publiées. Violation des données et on se retrouve avec des documents très sensibles d'un point de vue technologique mais aussi de sécurité sur internet, avec une volonté aussi de vendre ses données. Je pense que les personnes qui achètent ce type de documents d'urbanisme ont quand même une finalité derrière qui n'est pas la meilleure.
Bertrand : Donc là, on est sur un risque de sécurité publique au sens large, un risque potentiellement liées au terrorisme. C'est ce à quoi peut mener...
Maître Duffit-Ménard : Ça peut être aussi de l'intelligence économique.
Bertrand : Aussi effectivement.
Maître Duffit-Ménard : Qui peut attaquer d'un point de vue économique cette entreprise et la faire tomber ? On se retrouve avec une entreprise qui peut éventuellement fermer ou autre et qui peut atteindre le territoire dans son ensemble. C'est-à-dire qu'une entreprise qui ferme, c'est un territoire qui est atteint au niveau du chômage, du lien social. Entre autres, donc ces données violées, l'annulation de ces données, on arrive à du cyberterrorisme jusqu'au côté de l'intelligence économique.
Bertrand : Dans le cadre de ces captations de données associées à des entreprises sur les territoires, les données d'entreprises j'imagine sont sensibles comme celles tu as mentionné. Quelle est la responsabilité engagée par les communes ? Après peut être certaines personnes pourraient penser mais c'est des données qui touchent les entreprises, ça ne touche pas finalement un administré. Ce n'est pas exactement de notre ressort. Enfin, on pourrait toujours trouver des moyens de se protéger, en tout cas mentalement, contre la perception de risques. Même si évidemment, un acte terroriste sur le territoire devient directement la responsabilité en termes de sécurité de la commune. D'un point de vue juridique, est ce que, par exemple, les entreprises concernées pourraient se retourner contre les collectivités au cas où ces données auraient été piraté à partir des comptes de la collectivité ?
Maître Duffit-Ménard : Je serais tenté de dire que tout est possible, mais en l'ocurrence on se retrouve sur la même problématique que celle précédente avec la violation de données d'enfants mineurs. La responsabilité de la commune, la responsabilité du maire pourra être engagée civilement, d'un point de vue pénal. Je ne parle pas encore d'un point de vue administratif, je vais vraiment sur le code pénal, effectivement, violation des données et que l'ensemble de la collectivité n'a pas mis en œuvre en interne les éléments pour protéger ses données.
Bertrand : Donc on en revient toujours à la même question, c'est-à-dire anticipation, préparation, conformité.
Maître Duffit-Ménard : J'allais dire j'ai pas mieux. Moi je dis anticiper, prévenir, agir, réparer. On va être dans cette logique là.
Bertrand : Oui oui oui. Donc c'est toujours pareil, on est bien conscient que c'est plus des sujets qui peuvent attendre et que ce n'est pas uniquement une question de conformité juridique, un soucis administratif supplémentaire à gérer, c'est aussi la mise en œuvre de ces processus. C'est une réponse à un risque qui va arriver. C'est ce que tu disais aussi ? C'est un risque qui va, auquel toutes les communautés et les collectivités pardon vont se retrouver confrontées d'une façon ou d'une autre. Si ça n'a pas déjà été le cas.
Maître Duffit-Ménard : Tout à fait.
Bertrand : Du coup. Alors, si on en tire des enseignements génériques, au delà de cette capacité de conformité, anticipation et évidemment d'avoir les outils pour évidemment répondre à la crise lorsqu'elle surviendra.
Quels enseignements peut on tirer par rapport à la situation actuelle des collectivités ? Est-ce que t'as une recommandation juridique particulière à faire ? Qu'est-ce que serait en fait pour toi la next step, pour les collectivités qui commenceraient à prendre conscience de l'urgence qu'elles n'avaient pas forcément saisi ?
Maître Duffit-Ménard : La première, je vais aller sur les collectivités qui n'ont pas de délégué protection des données. C'est nommé en un, mais nommé en un en ayant une stratégie. Comme tu disais, on ne va pas nommer la première personne qui travaille par exemple sur la communication Community manager en train de dire "données internet", il faut en nommer un ou une qui est en lien avec les obligations.
C'est-à-dire je construis ma stratégie, quelles sont mes données ? À partir du moment où quelles sont mes données ? Quelle est la bonne personne que je mets pour déléguer la protection des données ? Comment je forme mon organisation en interne, c'est-à-dire les élus et l'ensemble des agents pour qu'ils aient conscience du risque cyber ?
Déjà, on fait ça sur un temps de trois mois, on est déjà très bon. C'est-à-dire qu'on va commencer à acculturer l'organisation. L'étape première, en y pensant, c'est le terme acculturer.
Bertrand : Donc là on est vraiment sur deux choses. Il y a la nomination ne suffit pas si l'organisation ne change pas. On est vraiment sur une logique, je dirais, de conduite de changement direct si ça pas déjà été mené et conduite de changement en fonction évidemment du contexte. Ce qui signifie que la formation des autres personnels, des autres responsables en interne doit également être assurée. Ce n'est pas uniquement la nomination d'un DPD, évidemment, qui va résoudre la question. Ça peut répondre à une demande administrative. Par contre, ça ne permettra pas, si ce n'est pas accompagné par des formations adéquates, une réponse efficace en anticipation et en cas de problème. C'est ce que je comprends.
Maître Duffit-Ménard : Tu imagines, tu vas nommer, on a une commune de 10 000 hommes ou 10 000 habitants, il y a 200 agents on va dire, et il y a une personne qui est nommée DPD et les autres agent vont dire "mais t'es qui toi ? Clairement, c'est sympa ok. Données je comprends, RGPD au mieux j'en ai entendu parler mais t'es qui ? Ah oui toi tu vas m'embêter dans mon quotidien alors que j'ai tout ça à faire, non non."
Ce qu'il va falloir acculturer et légitimer le poste. Enfin dire c'est stratégique, vous avez pas de choix.
Bertrand : Oui, donc il y a un très gros travail et je dirai que dans ce cadre là, il faut peut être se faire accompagner par des professionnels pour pouvoir engager la fameuse transformation. Et rappel, la transformation digitale, ce n'est pas uniquement la mise en ligne d'un nouveau site avec des effets esthétiques, c'est même, je dirais, la dernière priorité dans le contexte. C'est l'ensemble de l'organisation qui fait partie de la transformation RGPD et entre autres ces mises en conformité sont absolument essentielle, tout simplement.
Maître Duffit-Ménard : Et en sachant, tu parlais de se faire accompagner, le délégué protection des données peut être externalisé. C'est-à-dire qu'il y a des collectivités ou certaines collectivités qui peuvent mutualiser le DPD et l'externaliser. Là il y a des avocats, moi le premier, mais d'autres avocats qui peuvent être DPO ou DPD externaliser ce qui permet aussi d'avoir une compétence qu'on n'a pas en interne et un discours qu'on n'a pas en interne, qui peut encore plus légitimer l'action du DPD.
Bertrand : Oui, l'externalisation peut être une solution en termes notamment de gestion, je dirais de politique interne pour pouvoir faire passer des messages de façon plus neutre. En, peut être, avec plus de distanciation par rapport aux liens hiérarchiques, à la culture interne, à l'organisation concernée. Donc c'est important d'en prendre conscience.
Alors, il y a des solutions qui existent, multiples, en interne, en externe et de toute façon ça engage une logique de changement sur le numérique et vraiment très au delà de ce qui est souvent perçu comme étant numérique, c'est-à-dire les sites web, les applications qui sont, je dirais, le dernier maillon de la chaîne quand on réfléchit.
Merci pour ces recommandations, Nathanaël. Alors, un petit mot de la fin. As-tu quelque chose d'inspirant ? Alors pas forcément dans la tonalité dramatique. On a pu prendre certains échanges dans ce podcast, mais quelque chose qui donne envie d'aller de l'avant ou qui soit un petit peu optimiste parce que dans toutes les crises, il y a une opportunité. Alors inspire nous, Que peux tu nous... que peux-tu nous inspirer ?
Maître Duffit-Ménard : Non, l'inspiration c'est quand je vois les étudiants qui vont vraiment sur ces fonctions de délégué au protection des données. C'est que ça parle énormément à une certaine génération qui pour eux, la protection des données est naturelle. On est ultra connecté et ça peut être positif ou négatif. Mais il y a la conscience de plus en plus aujourd'hui de dire "Ok, et mes données, j'en fais quoi ?". D'un point de vue positif, en voyant le côté intéressant et stratégique de ces données, ce n'est pas que de la protection, ça peut être aussi de la valorisation des données.
Bertrand : Bon alors, on va justement rentrer sur cette partie optimiste. Voilà. Donc il ne s'agit pas uniquement que de défensive, ça peut être également quelque chose qui met en valeur. Effectivement, il y a plein de données à mettre en valeur dans le tourisme. Il y a énormément de choses aussi sur les territoires sur lesquels les communes ayant une bonne politique peuvent capitaliser pour rendre leur territoire plus attractif. Je te remercie et je te souhaite une excellente fin de semaine.
Maître Duffit-Ménard : Merci pour l'invitation.