Franklin BROUSSE : « Il faut faciliter et accélérer la mise en conformité des collectivités locales. »

Avocat au Barreau de Paris depuis 1997, spécialiste en droit des Nouvelles Technologies d’Information et de la Communication (NTIC) – informatique Internet, télécommunications –, Franklin Brousse est l’un des premiers avocats à s’être intéressé à l’impact juridique des nouvelles technologies et des tendances technologiques telles que le Wifi, le RFID et le Web 2.0 pour les entreprises. Il est fondateur de RGPD Check.

Mission Ecoter : Nous constatons de réelles difficultés pour les collectivités locales pour se mettre en conformité avec le RGPD. Selon vous comment faciliter celle-ci ?

Franklin BROUSSE : Je commencerais par rappeler que le RGPD est une réglementation dense et complexe avec des nombreux impacts sur la manière dont les collectivités locales traitent les données personnelles des citoyens et de leurs salariés.

Face à cette complexité, elles peuvent se sentir rapidement démunies et développer le sentiment qu’elles ne pourront jamais être en conformité.

C’est pourquoi il est important que les collectivités locales appréhendent la mise en conformité au RGPD dans le cadre d’une démarche d’amélioration continue qui nécessite de planifier des actions les unes après les autres pour avoir le sentiment de progresser à la fois dans la mise en conformité et dans la compréhension des enjeux du RGPD.

Dans ce contexte, il est nécessaire d’adopter une approche méthodologie basée sur la stratégie des « petits pas », visant à se concentrer sur des actions prioritaires aux yeux de la CNIL.

Ainsi, la désignation d’un délégué à la protection des données, comme pilote du projet de mise en conformité, est un prérequis indispensable.

Rappelons ici que la désignation d’un délégué à la protection des données est obligatoire pour les organismes publics et qu’un seul délégué à la protection des données peut être désigné pour plusieurs organismes publics, compte tenu de leur structure organisationnelle et de leur taille.

Rappelons également qu’il peut s’agir d’un délégué externalisé comme c’est le cas dans de nombreuses collectivités locales.

Une fois ce délégué désigné, la collectivité doit prioritairement recenser tous les différents types de traitements de données personnelles qu’elles réalisent.

En principe derrière chaque logiciel, site web ou service en ligne, se cachent un ou plusieurs traitements des données personnelles.

Le deuxième chantier prioritaire est d’identifier les fournisseurs qui, dans le cadre de leurs services, traitent des données personnelles pour le compte des collectivités locales et avec lesquels il convient de signer des clauses obligatoires sur la protection des données.

Le troisième chantier prioritaire est de vérifier les conditions dans lesquelles chaque collectivité collecte des données personnelles et, le cas échéant, recueillent le consentement des personnes concernées avec l’objectif de s’assurer que ces personnes reçoivent des informations claires et précises sur la ou les finalités pour lesquelles leurs données sont collectées.

Rappelons ici que toute information relative à un traitement de données personnelles doit être aisément accessible, facile à comprendre et préalablement portée à la connaissance du public.

Concrètement, il s’agit de vérifier toutes les mentions qui figurent sur les formulaires papier ou en ligne utilisés par chaque collectivité.

Afin de faciliter la mise en œuvre de ces chantiers prioritaires, les collectivités peuvent recourir à des logiciels ou services en ligne d’assistance à la mise en conformité.

De nombreuses solutions facilitent par exemple la création d’un registre des traitements de données personnelles et la planification des différentes actions de mise en conformité.

En synthèse, la désignation d’un délégué à la protection des données, la mise en œuvre d’une méthodologie s’inscrivant dans le cadre d’une démarche d’amélioration continue et l’adoption d’outils d’aide à la mise en conformité sont de nature à faciliter et accélérer la mise en conformité des collectivités locales.

M.E. : Le recours à la sous-traitance représente un risque majeur pour les collectivités locales en matière de protection des données personnelles. Comment faire pour s’assurer du niveau de conformité des sous-traitants ?

F.B. : Il est vrai que les collectivités locales recourent de plus en plus à l’externalisation de services impliquant le traitement de données personnelles.

Qu’il s’agisse d’hébergement informatique, d’organisation d’évènements ou de gestion des ressources humaines, de plus en plus de données personnelles sont traitées par des prestataires pour le compte des collectivités locales.

Dans ce cadre, elles ont l’obligation de s’assurer que leurs sous-traitants présentent des garanties suffisantes pour répondre aux exigences du RGPD en matière de protection des données personnelles.

Le contrôle des sous-traitants est une obligation et un enjeu majeur du RGPD qui restent toutefois chronophages à réaliser et complexes à respecter.

C’est pourquoi, il apparaît nécessaire de dématérialiser et d’automatiser de ce contrôle.

Les sous-traitants étant souvent réticents à l’idée de se soumettre à ce type de contrôle, il peut être intéressant de confier ce contrôle à un tiers de confiance offrant une évaluation indépendante et objective du niveau de conformité des sous-traitants.

C’est dans ce contexte que j’ai pris l’initiative de créer la plateforme RGPD Check.

RGPD Check est la première plateforme « tiers de confiance » qui permet de mutualiser et d’automatiser le contrôle de conformité des sous-traitants.

En effet, chaque adhérent à cette plateforme peut avoir accès, pour chaque sous-traitant, à un score de conformité sur 100 et à un dossier de conformité qui sont partagés entre tous les adhérents ayant les mêmes sous-traitants.

Cette mutualisation facilite le contrôle et contraint les sous-traitants à améliorer le niveau de conformité dans un objectif d’une meilleure protection des données personnelles.

RGPD Check fait partie des outils qui facilitent et accélèrent la mise en conformité des collectivités locales.

Pour en savoir plus : www.rgpdcheck.org