« Les petites communes n’ont d’autres possibilités que de passer par un DPD mutualisé, pour des raisons de temps et de coûts : cet agent doit suivre deux ou trois jours de formation, à renouveler de façon régulière. Il y a une veille juridique importante à mettre en place. C’est très chronophage », explique Christophe Champoussin, CIL externe chez Anaxia conseil. Attention cependant, car le RGPD attire de nombreux prestataires plus ou moins pertinents. « Un DPD externe peut apporter un œil neuf et une vision transverse.
Cependant, il est important d’avoir la connaissance des rouages et de l’organisation des collectivités, et une bonne compréhension des politiques publiques », souligne Yohann Brossard, DPD du centre communal d’action sociale (CCAS), de la ville et de la communauté urbaine de Poitiers (40 communes, 192 000 hab.). « Il serait d’ailleurs intéressant que les associations d’élus et de territoriaux se penchent sur le sujet afin de proposer une sélection de prestataires sérieux, en utilisant, par exemple, un système de label », souligne Virginie Langlet, CIL du département des Alpes-Maritimes.
Le choix du DPD est d’autant plus important qu’en cas de non-conformité, ce n’est pas lui qui endosse le risque, mais le responsable des traitements, c’est-à-dire le maire.
La mutualisation pour un tarif moins élevé
Des structures de mutualisation informatique et certains centres de gestion s’organisent afin de sélectionner des DPD pour leurs membres. Ainsi, 19 membres (sur 35) de l’association Déclic, qui fédère ces structures, ont prévu de proposer des DPD mutualisés. Renaud Lagrave, directeur de l’Agence landaise pour l’informatique (Alpi) raconte : « Nous avons 200 membres qui ont souscrit à notre offre. Nous étions déjà le CIL de 90 d’entre elles. Nous y avons ajouté un audit sécurité et open data. »
Pour sa part, Sylvain Bonenfant, ancien CIL du conseil départemental de la Seine-Maritime, va faire souscrire la commune rurale dont il est élu dans l’Eure à l’offre de l’Adico, basée dans l’Oise. « En effet, nombre de structures de mutualisation acceptent les adhésions de collectivités des départements limitrophes non dotés de syndicats informatiques », détaille-t-il. La mutualisation permet d’offrir de tarifs très compétitifs. Ainsi, l’Alpi demande aux collectivités de 10 à 20 000 habitants 1 800 euros la première année, 1 200 euros les suivantes. Ses membres de moins de 200 habitants payent 120 euros la première année et 70 euros ensuite. En comparaison, un cabinet de conseil facture près de 15 000 euros la première année pour une collectivité de 10 000 habitants. Ces tarifs bas s’expliquent par le fait que les procédures sont industrialisées et qu’une partie du travail est effectuée par le ou les RIL nommés dans la collectivité. Car le DPD n’est pas un opérationnel : il ne s’occupe pas de la mise en œuvre du plan d’action, mais la contrôle.
Passer par l’intercommunalité pour accélérer la mutualisation
Association créée en 1990 par l’Union des maires de l’Oise afin de soutenir les collectivités dans leur informatisation, l’Adico propose un service de DPD mutualisé. Au moins 250 à 300 collectivités devraient y souscrire d’ici à l’été. « Nous sommes allés voir les intercommunalités pour leur proposer de porter la dépense d’un DPD pour tous leurs membres. La moitié nous a dit y voir un intérêt, et une première a souscrit », raconte Emmanuel Vivé, directeur général. Il estime qu’un DPD à temps plein devrait pouvoir gérer entre 60 et 70 organismes. « Dans une collectivité de moins de 500 habitants, si le DPD maîtrise bien l’univers des collectivités, une demi-journée suffit pour mener l’audit », estime Louis Corre, DPD de l’Adico. Ensuite, il devra vérifier régulièrement que ses préconisations sont respectées. Pour cela, un relais sera nommé : il centralisera les questions pour le DPD et diffusera les informations à ses collègues.
Cet article fait partie du Dossier
Données personnelles : un gisement sous haute protection
Sommaire du dossier
- Données personnelles : ce que dit la (nouvelle) loi française
- Le bloc communal à la traîne pour désigner les délégués à la protection des données
- Point complet sur le règlement européen relatif aux données personnelles
- Protection des données personnelles: une responsabilité des collectivités très encadrée
- Données personnelles : appliquer la nouvelle réglementation en six étapes clés
- Données personnelles : un délégué externalisé, la solution pour bon nombre de collectivités
- RGPD : les RH doivent s’interroger sur le traitement des données de leurs agents
- « Le self data permet au citoyen d’améliorer son quotidien »
- Données personnelles et commande publique : de nouvelles clauses contractuelles à prévoir
- Le self data met l’habitant au centre des décisions sur son territoire
- RGPD : protéger les données à caractère personnel dès la conception des traitements
- Mise en œuvre du RGPD : comment documenter sa conformité
- Réaliser une analyse d’impact pour protéger les données en cinq étapes
- Désigner un délégué à la protection des données au sein de sa collectivité en 6 étapes
- Comment gérer les droits des agents et des administrés en matière de données personnelles en 7 étapes
- Données personnelles : la mise en conformité n’attend plus
- Données personnelles : 5 règles à respecter pour protéger les citoyens
- Données à caractère personnel : « Les citoyens demandent des règles claires et précises »
- Améliorer les services, mieux cibler les politiques publiques, avec les données personnelles
- Charente-Maritime : les agents sensibilisés à la protection des données à caractère personnel
- Les données personnelles, une denrée sous-utilisée par les collectivités
Thèmes abordés
