GDPR: “Les administrations locales ont souffert d’un manque d’information”

Hors-cadre
Par · 26/04/2018

L’arrivée, désormais imminente, du GDPR (Réglement général sur la Protection des données) aura inspiré bien des sociétés et consultants à en faire un axe supplémentaire (ou renforcé) d’activités. Bisoft, membre du groupe BDE, est de ceux-là. La société a choisi de se positionner comme conseiller ponctuel, venant en appui des personnes qui, en interne, doivent préparer et devront veiller, au long cours, au respect des dispositions de la nouvelle réglementation européenne.

“Nous accompagnons les clients en veillant à les impliquer, de manière à ce qu’ils soient ensuite autonomes et puissent en tirer les bénéfices”, explique Kevin Lietar, gestionnaire de projet “GDPR Compliance”. “Pour ce faire, nous avons mis au point une méthodologie en plusieurs étapes, chacune étant expliquée et documentée (plus de détails en fin d’article).

Le but n’est pas de faire le travail à leur place mais plutôt de leur donner les outils nécessaires, sans chichi, sans rapport de 500 pages qui, après avoir été lu, ne leur aura toujours pas appris quoi faire.”

Problème de mauvaise perception

Parmi la clientèle Bisoft/BDE, une proportion importante d’institutions publiques, “principalement des CPAS et des administrations communales”. 

“On constate que les institutions publiques, locales notamment, accusent pas mal de retard dans leur préparation à l’arrivée du GDPR. Il est dû en partie au fait qu’elles ont souffert d’un manque d’information et de sensibilisation.

Source: BDE Group

Beaucoup s’attendaient à recevoir plus de soutien, soit de l’Union des Villes et Communes (UVCW), soit de la Région, voire même du fédéral…” Mais elles n’ont rien vu venir, ou presque. “L’UVCW a certes proposé une formation pour les CPAS mais elle reste théorique. Il ne s’agit pas d’un accompagnement pratique.

A la sortie de ces formations, les acteurs demeurent demandeurs d’un accompagnement pour déterminer ce qu’ils doivent réellement mettre en oeuvre, par quoi commencer…

Souvent aussi la séance d’information ou de formation se limite trop à l’aspect légal. Or, le GDPR, c’est certes des implications légales, mais seulement à 15 ou 20%. Il s’agit surtout de repenser les procédures, techniques et opérationnelles et de les mettre en conformité.

Certains, par ailleurs, voient avant tout dans l’arrivée du GDPR un projet IT et le confient donc à un responsable informatique. Or, il s’agit d’un problème de gouvernance. Tous les acteurs de l’administration doivent être impliqués.”

Kevin Lietar (Bisoft/BDE Group): “A l’issue de leur formation orientée juridique, les institutions locales doivent encore préparer un appel d’offres, rédiger un cahier de charges. Or, elles sont mal informées…”

Le retard de préparation que Kevin Lietar pointe du côté des administrations locales vient d’une difficulté à “définir correctement le périmètre touché par le GDPR. On raisonne d’abord en termes d’administrations communales et de CPAS mais il y a aussi les crèches, les écoles communales, les maisons de repos qui, souvent, sont tout à fait oubliées ou laissées à leur triste sort. Beaucoup d’écoles communales, par exemple, ne savent pas du tout quoi faire. Certaines n’ont même jamais entendu parler du GDPR !”

Mutualiser

“Les grandes communes disposent généralement, en interne, d’une personne dont le profil correspond à la mission de DPO [Data Protection Officer]. Ce n’est pas le cas pour les plus petites entités qui se tournent alors vers l’option externalisation, ce qui peut s’avérer onéreux. Le problème est en outre que le rôle ne nécessite pas un travail à plein temps.”

Kevin Lietar (Bisoft/BDE Group): “Le GDPR est l’occasion de se rendre compte que nombre de choses, en termes de flux de données, sont mal identifiées, et que les collaborateurs n’en ont pas pris conscience jusque là. Au niveau des communes, le réexamen des procédures permet ainsi de s’apercevoir que, pendant des années, des collaborateurs ont transmis des masses de fichiers Excel à d’autres services qui n’en ont jamais rien fait…” 

La démarche que tente d’évangéliser et de pratiquer Bisoft est d’amener les instances locales à mutualiser l’effort. Dans la mesure du possible, Kevin Lietar invite donc les responsables locaux à rechercher des synergies avec d’autres entités publiques locales. Tout d’abord au sein d’une même entité – entre CPAS et administration communale – mais aussi avec des communes voisines.

“Si nous travaillons avec plusieurs communes voisines, nous incitons les DPO à se concerter. Il arrive aussi que les Directeurs Généraux [Ndlr: les anciens Secrétaires communaux] se rencontrent pour mettre quelques bonnes pratiques en commun, échanger des idées au sujet de l’audit que l’un ou l’autre a déjà réalisé ou d’un problème de sécurité déjà rencontré.”

Mais le phénomène est encore rare.

C’est en tout cas l’option qu’ont choisie les autorités de Montigny-le-Tilleul (commune et CPAS) qui font équipe avec le CPAS d’Anderlues (voir le témoignage de Benoît Brunin, directeur général adjoint de Montigny-le-Tilleul, dans cet autre article). Idem du côté du trio Chapelle-les-Herlaimont/Le Roeulx/Ecaussinnes. Plusieurs CPAS de communes du nord de Bruxelles (Koekelberg, Berchem-Sainte-Agathe…) réfléchissent eux aussi à s’associer dans une démarche commune.

______________

Une méthodologie en 7 étapes

Bisoft/BDE Group propose une démarche en 7 phases:

Mise en place (information, sensibilisation et constitution d’une cellule de travail) – Cartographie (architecture IT et données) – Cartographie des éditeurs et acteurs externes – Analyse de sécurité (organisationnelle, technique) – Analyse des procédures en place – Mise en place des recommandations  – Evaluation de conformité

Passons certains points en revue…

Pour la première étape (mise en place du projet), Bisoft propose d’organiser une réunion avec le collège communal et/ou les différents responsables métier du CPAS. “Le but est de fournir une explication générale, sans entrer par exemple dans le détail des amendes éventuelles en cas de non conformité. Il s’agit surtout de conscientiser aux enjeux, en ce compris en termes de risques financiers et d’image.

Pour les institutions locales, l’impact d’une fuite de données se définit surtout en termes de confiance du citoyen et de risque politique – l’opposition attendant au tournant. Mais les risques peuvent être aussi plus tangibles, telle que la sanction possible de ne plus pouvoir accéder à la BCSS [Banque Carrefour de la Sécurité Sociale].”

C’est à ce stade qu’intervient la constitution d’une cellule de travail qui pourra opérer en interne, le but recherché étant de donner aux administrations locales les outils de leur future autonomie face aux contraintes de conformité GDPR.

A ce stade, Bisoft procure un certain nombre de ressources et de documents de travail: charte IT, courriers-type que les administrations devront envoyer aux personnes dont elles traitent les données personnelles…

“Cette constitution d’une cellule interne est plus facile à réaliser du côté des CPAS dans la mesure où ces derniers avaient déjà l’obligation de disposer d’un conseiller sécurité et de respecter les normes de la BCSS”, explique Kevin Lietar.

Etat des lieux

L’institution publique reçoit un questionnaire à remplir, structuré en trois volets: gouvernance, IT, directions des services. Sur base des réponses, Bisoft rédigera une série de recommandations.

Planning

C’est l’étape où l’on sort les agendas, avec une série de dates-butoir. “Notre demande expresse, à ce stade, est de rendre le planning le plus adéquat et précis possible afin que nous puissions apporter un accompagnement bien structuré.” 

Cartographie IT

“Nous répertorions tous les PC, portables, smartphones, dispositifs et solutions de sécurité, points d’accès WiFi… Cela permet d’identifier par exemple les ordinateurs qui ne sont plus utilisés ou qui ont disparu dans la nature. Cela permet de mieux organiser les choses pour plus tard.”

Cette étape inclut également un exercice de “cartographie” des données. “Il s’agit d’identifier tous les points par lesquels rentrent les données et tous les relais par lesquels elles passent, par quel(s) service(s), qui y a accès, etc.”

C’est ainsi, souligne Kevin Lietar, que “l’on détecte parfois des utilisations un peu folles [lisez: pas très orthodoxes]. Nous avons par exemple eu un cas où la liste des personnes ayant introduit une demande de permis de bâtir était fournie aux entrepreneurs de la région!”

Hier, ce n’était, à tout le moins, pas très éthique. Fin mai, ce sera carrément illégal et lourdement répréhensible.

[Ndlr: Petite incise pour confirmer que ce genre de pratique n’est pas forcément une exception. Lors du colloque sur les opportunités de la révolution numériques pour les entreprises et PME qu’organisait le SPF Economie (voir notre article), une autre pratique de communication de données vers des acteurs privés a été signalée… Elle intervenait à l’occasion de funérailles !]

C’est également à ce stade “cartographie” qu’intervient une analyse des acteurs externes (sous-traitants, licences IT). “Nous contactons les sous-traitants afin de confirmer qu’ils sont eux-mêmes en conformité avec le GDPR.”

Question: qui procède à cette cartographie? Bisoft ou les collaborateurs de l’institution publique? “Cela dépend de l’état de maturité de l’administration. Si nous constatons que la documentation fait défaut en interne, nous proposons de réaliser un audit de sécurité, avec cartographie et schéma complets de fonctionnement. Mais cela ne fait pas partie intégrante de notre offre GDPR.

Pour ce qui est de la cartographie des données, nous fournissons aux différents services des fiches de travail avec des listes de questions. Cela leur permet de retracer le parcours des données en leur sein. C’est donc l’administration qui établit la carte.”

Analyse des procédures en place

Pour les administrations qui ne disposent pas et n’ont pas encore appliqué des procédures clairement structurées (charte IT, procédures de contact avec des tiers…), Bisoft leur en propose.

Mise en place des recommandations

La phase de mise en pratique se fait soit en autonomie totale, soit avec l’aide de BDE Group. “Nous aidons le client à prioriser les choses, à réfléchir aux risques s’il n’accomplit pas telle ou telle démarche”, explique Kevin Lietar.

“Le plus important pour une institution publique locale est d’analyser les risques et de contrebalancer les investissements.” Question de priorités et de pondération des choses qui, en cas de “pépin”, risquent d’être reprochées aux autorités locales. “Par exemple, si l’autorité de contrôle [Ndlr: en Belgique, l’Autorité de protection des données qui succède à la Commission de la Protection de la Vie privée] pose un jour la question “pourquoi n’avez-vous pas fait telle ou telle chose?”, il faut à tout le moins être en possession d’un document qui explique que la lacune en question a été identifiée et prise en considération mais que sa résolution a été reportée à plus tard pour des raisons de comparaison risque-coût.”

Evaluation de conformité

Dernière étape: vérifier le travail accompli. “Nous testons ce que le client a mis en oeuvre. Dans le cas d’une administration publique, par exemple, nous nous faisons passer pour un citoyen, nous essayons de passer par différents canaux pour voir si notre interlocuteur réagit bien, passe le relais à la bonne personne, si le flux arrive au DPO.

Nous vérifions si l’administration a bien appliqué les conseils. Nous simulons un contrôle par l’Autorité de contrôle, pour voir si les réflexes sont adéquats, si l’administration documente bien tout au fil du temps…” [ Retour au texte ]