Comme bien d’autres responsables communaux, Benoît Brunin, directeur général adjoint et DPO (Data Protection Officer) de l’administration communale et du CPAS de Montigny-le-Tilleul, a dû se “faire une religion” au sujet des implications qu’a le GDPR pour l’administration locale en combinant formations proposées et pêche aux infos.

“Montigny-le-Tilleul est une petite collectivité de 10.000 habitants. Nos ressources internes sont limitées. Nos missions, par contre, sont les mêmes que les grandes communes ou villes. Et le GDPR est une réglementation qui s’adresse à tout le monde.

Il se fait qu’à notre niveau, nous nous étions déjà engagés dans un processus de synergie des moyens, en matière de ressources humaines, d’IT, de services de support…, entre l’administration communale et le CPAS. La conclusion que nous avons rapidement tirée est qu’il n’était pas possible d’aborder la problématique du GDPR en interne sans la synergiser.”

En tant qu’agent responsable travaillant à la fois pour la commune et le CPAS, il dit avoir pris pleinement conscience des implications du GDPR à l’occasion d’une formation organisée en 2017 par la Fédération des Directeurs Généraux de CPAS. “C’est à ce moment-là que nous avons décidé de lancer un marché public pour nous faire accompagner dans la phase de préparation.”

L’appel d’offres allait déboucher sur la désignation de Bisoft/BDE Group comme “partenaire-accompagnateur” (voir notre autre article). Ce choix allait par ailleurs permettre de pousser plus loin l’idée de mise en commun des ressources. “Lors de la même réunion de la Fédération, j’avais eu l’occasion de discuter avec d’autres Directeurs généraux. Or, BDE Group commençait le même genre de mission pour le CPAS d’Anderlues. Nous avons donc décidé de collaborer. La première réunion d’informations avec le prestataire s’est faite en commun.”

Et la mutualisation se poursuit. “Les représentants de la commune et du CPAS de Montigny-le-tIlleul et du CPAS d’Anderlues participent à chaque réunion avec l’accompagnateur de BDE. C’est une source d’échanges de méthodologies et de bonnes pratiques.”

Une évolution logique

“Au niveau des administrations locales, au vu de finances publiques de plus en plus sous contrainte et des demandes croissantes auxquelles nous devons faire face, il est évident que nous serons de plus en plus amenés à collaborer et à partager ressources et connaissances. Cela permet des synergies, des économies d’échelle, des gains de ressources que l’on peut affecter à autre chose”.

Benoît Brunin (Montigny-le-Tilleul): “Le GDPR est une demande de plus qui nous tombe sur la tête. Le moyen de l’aborder de manière la plus professionnelle possible est de se mettre ensemble. Cela permet d’avoir plus d’idées tout en gardant notre sphère d’autonomie.” 

Des exemples concrets d’échanges de bons procédés et pratiques en matière de GDPR?

“Il y a tout d’abord le cadre de gouvernance, les méthodologies à appliquer, les informations à fournir aux équipes… Nous disposons aussi d’un modèle de lettre à envoyer par exemple à tous nos sous-traitants.

En termes de processus, les types de traitement sont souvent identiques entre CPAS. Se consulter et échanger permet aussi par exemple de voir si on n’oublie pas telle ou telle activité de traitement.

Autres exemples: la charte Vie privée ou le travail de révision du règlement de travail. Celui d’Anderlues est probablement identique à 90%.

Nous pouvons également partager notre planning de mise en oeuvre et d’information des équipes. Le processus de sensibilisation est un travail lourd, tant les personnes concernées ne se rendent pas compte de l’impact, en ce compris à long terme, de l’arrivée du GDPR.

Enfin, la cartographie des activités de traitement et les flux de données personnelles présentent d’importantes similitudes – même si, parfois, certaines missions sont plus particulières en fonction du contexte local.”

Montigny-le-Tilleul serait-elle prête à étendre la mutualisation avec d’autres entités? “Absolument mais il faudrait qu’elles en soient à un stade similaire de leur démarche.” Histoire de pouvoir tenir des réunions au cours desquelles les échanges seraient à un stade de maturité comparable.

Pas franchement en avance mais…

Montigny-le-Tilleul et le CPAS d’Anderlues sont encore en pleine phase de préparation. “Nous sommes en train de définir le cadre de gouvernance à mettre en place, les informations à fournir aux équipes, les méthodes de sensibilisation des managers et des organes délibérants.

A partir du 26 mai, lorsqu’un citoyen s’adressera à nous pour savoir quelles sont les données à son sujet qui sont par exemple traitées par le CPAS, nous serons en mesure de lui répondre, de lui assurer qu’elles sont en sécurité… même si tous nos processus internes ne seront pas encore forcément listés.”

Ce travail de fourmi et de rigueur bat encore son plein. “Le fait que les activités de traitement d’une institution publique poursuivent des finalités légales et soient effectuées par des entités légalement habilitées à le faire rend la chose plus facile. La problématique se situe plutôt du côté de la sécurité des données”, témoigne Benoît Brunin.

Benoît Brunin: “Il faut revoir et nettoyer les données sur les serveurs, notamment celles qui servent une seule fois, les fichiers qui ne devraient plus exister…”

Mais même si les traitements sont pré-estampillés “légaux”, le travail n’est pas plus léger pour autant. Il faut éviter les dérives, les traitements qui, malgré tout, ne sont pas forcément permis. “Il faut revoir et nettoyer les données sur les serveurs, notamment celles qui servent une seule fois, les fichiers qui ne devraient plus exister…”

Il faut aussi construire le registre centralisé de toutes les activités de traitement (urbanisme, population…). Un exercice “dynamique” – lisez: sans fin. Petit exemple: l’activité de traitement qu’impliquera l’organisation des prochaines élections communales.

Ou encore, la constitution du fichier des personnes qui sollicitent un fonctionnaire du SPF Finances pour remplir leur déclaration fiscale. “C’est l’une de ces choses auxquelles on ne pense pas. Selon les termes de la convention de collaboration passée avec le SPF Finances, ils mettent à disposition une personne pendant trois demi-journées mais nous demandent de gérer les prises de rendez-vous. Il faut donc constituer un fichier, identifier les personnes… Et détruire le fichier une fois les trois journées terminées… pour en reconstruire un, un an plus tard.”

Lorsqu’administration communale et CPAS seront en ordre de marche, il restera encore à s’occuper du cas des écoles communales. “Elles rentreront dans le même schéma mais plus tard. Leur problématique est particulière. Une étude aura lieu avec les directions des écoles mais ce n’est pas une priorité à l’heure actuelle.”

Côté Zone de Police, la problématique est prise en charge par la Zone elle-même – spécificités sécurité obligent.

Si seulement nous avions été aidés…

Si l’administration locale doit sprinter pour se mettre (un minimum) en règle par rapport aux dispositions de la réglementation GDPR, c’est aussi parce que les acteurs locaux n’ont guère reçu – à temps – l’aide qu’ils espéraient.

Benoît Brunin pointe notamment le fédéral. “Il n’a pas anticipé suffisamment. C’est pourtant lui qui était en première ligne par rapport à la réglementation européenne. Il aurait dû accompagner davantage les acteurs locaux, parfois démunis. Ne serait-ce qu’en listant les activités de traitement que l’Etat nous demande d’assumer pour lui, par exemple pour l’état civil, le service population… Les demandes de composition de ménage sont par exemple quelque chose que nous prenons en charge en tant qu’autorité déportée pour les besoins du SPF Intérieur…”

Benoît Brunin: “Les formations arrivent fort tard. C’est en 2016 ou au début 2017 qu’il y aurait dû avoir un gros clignotant rouge disant “le GDPR arrive”.

Côté régional, les formations que donne par exemple l’UVCW (Union des Villes et Communes de Wallonie) ont mis du temps à se mettre en place et le programme continue d’ailleurs alors que la réglementation européenne entre en vigueur fin mai… “L’UVCW fait ce qu’elle peut mais les formations arrivent fort tard. C’est en 2016 ou au début 2017 qu’il y aurait dû avoir un gros clignotant rouge disant “le GDPR arrive”. Mais, une fois encore, ce n’est pas mieux du côté fédéral. Ce n’est que maintenant que les textes sortent, venant de la Commission Vie Privée. La nouvelle autorité de contrôle se met d’ailleurs seulement en place…”