La sécurité des données à caractère personnel
Dans le cadre du mois européen de la sécurité informatique, le CdG62 vous propose un zoom sur l’activité du service Usages Numériques et Informatiques (UNI) qui accompagne les collectivités en matière de numérique.
Le service, actuellement composé de 4 personnes (2 DPO, 1 technicien numérique et 1 assistante) est dirigé par Cédric Diévart, responsable du service UNI.
Entretien avec Cédric Diévart, responsable du service UNI
[Connect] : Pourquoi un tel service au sein d’un centre de gestion ?
Cédric Diévart : Le service existe depuis avril 2018. À cette époque une étude a été menée par le CdG62 auprès des collectivités du Pas-de-Calais pour connaître leurs besoins et leurs attentes en matière de numérique. La mise en conformité avec le RGPD (Règlement Général sur la Protection des Données) était une des attentes, le service a donc été créé pour répondre aux besoins des collectivités et les aider en matière de numérique et de dématérialisation.
[Connect] : Quels sont les domaines d’intervention du service ?
C. D. : Le service propose plusieurs prestations. Nous avons commencé par mettre en place la mission de délégué à la protection des données (DPO), 2 agents dans le service accompagnent actuellement plus de 200 collectivités. Ensuite nous avons mis en place le contrôle de légalité dématérialisé (@ctes), 1 technicien numérique forme les collectivités à l’utilisation des outils nécessaires, plus de 100 collectivités font déjà confiance au CdG62 pour traiter l’aspect dématérialisation de leurs actes administratifs.
[Connect] : Y a-t-il de nouveaux projets à venir ?
C. D. : Le service ayant vocation à aborder tous les usages liés au numérique, les prestations proposées sont en effet susceptibles d’évoluer en fonction des besoins. Nous nous insérons d’ailleurs totalement dans le cadre de la convention de partenariat signée entre l’AMF62 et le CdG62 (voir notre article sur le Congrès des maires du Pas-de-Calais) dont un des objectifs vise à faciliter le choix des élus dans la construction et la mise en œuvre de leur stratégie numérique.
À titre d’exemple le nouveau projet d’archivage numérique va être lancé très bientôt, un recrutement est en cours de finalisation. L’idée ici, est d’écrire le projet courant 2022 en co-construction avec des communes, afin que celui-ci réponde pleinement à leurs attentes. L’objectif de lancement de cette mission est fixé à l’horizon 2023. D’autres projets en matière de numérique seront également présentés aux collectivités d’ici peu… ([Connect] reviendra vers vous prochainement pour vous en dire plus)
La parole à Ahmed Boumana, DPO au sein du service UNI
Ahmed est ce qu’on appelle dans le jargon un DPO, acteur incontournable dans la sécurité des données, il nous livre quelques éléments sur son métier.
[Connect] : Qu’est-ce qu’un DPO ?
Ahmed Boumana : DPO vient de l’anglais « Data Protection Officer », cela signifie Délégué à la Protection des Données. C’est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés, c’est un métier très intéressant car il est très transversal et touche à des domaines divers et variés d’activité.
En France, la protection des données à caractère personnel (DCP) est depuis longtemps une préoccupation importante : preuve en est, la loi relative à l’informatique, aux fichiers et aux libertés date de 1978. Depuis, les textes ont évolué, les collectivités et établissements publics doivent maintenant être en conformité avec le Règlement Général sur la Protection des Données (RGPD) car les sanctions, notamment financières, de la CNIL peuvent être très importantes en cas de non-respect. Le but principal de ma mission est d’éviter aux collectivités de prendre des risques inconsidérés et de causer des dommages sur la vie privée de leurs administrés.
[Connect] : Quelles sont tes missions ?
A. B. : Le CdG62 a fait le choix de proposer aux collectivités une mission de DPO mutualisé, c’est-à-dire que nous exerçons l’activité de DPO pour le compte des collectivités qui conventionnent avec le CdG62. J’accompagne donc les collectivités, en leur donnant des conseils et des recommandations en termes de traitement de DCP.
Le service forme des référents au sein de ces collectivités. Ces derniers sont fortement sensibilisés à la protection des données afin de développer, dans la durée, « des réflexes et une logique RGPD ». Ils sont nos points de contact et relayent aux agents sur le terrain les bonnes pratiques à adopter au moment du traitement des données personnelles. Le service sensibilise également les élus, car leur responsabilité est directement engagée en cas de violation de DCP.
Le service assure une veille notamment sur les textes juridiques en vigueur et leurs évolutions. Nous transmettons régulièrement les informations à notre réseau de référents. Ils ont également la possibilité de nous interpeller pour répondre à leurs questions et trouver des solutions en cas de difficultés.
[Connect] : Peux-tu donner quelques conseils en termes de sécurité des données ?
A. B. : Contrairement aux idées reçues, il n’est pas toujours nécessaire d’investir dans un logiciel très coûteux pour se protéger, des gestes simples sont souvent très efficaces, je vais vous donner 3 exemples :
- Avoir pour principe de fournir un identifiant et un mot de passe par utilisateur, on assure ainsi une complète traçabilité des actions. Il va sans dire que le mot de passe doit rester personnel (on ne le partage avec personne), être suffisamment long et complexe et être changé régulièrement pour éviter tout piratage ;
- Lorsque l’on envoie un mail à un grand nombre de destinataires, simplement penser à mettre les adresses des destinataires en « Cci » (copie carbone invisible, aussi appelée "copie cachée"). Cela évite ainsi à un utilisateur mal intentionné ou à un pirate d’avoir accès à toutes les adresses mail des destinataires ;
- Ne pas utiliser de système de stockage externe à la collectivité sur un ordinateur en réseau (exemple clé USB d’un administré). Si la clé est infectée par un virus ce sont tous les ordinateurs du réseau qui peuvent se retrouver infectés.
Le plus dur dans le métier de DPO est de combattre les mauvaises habitudes et de faire prendre conscience des risques encourus.
Le service UNI a réalisé plusieurs webinaires sur ces différentes questions, nous vous invitons à les regarder en replay sur notre chaîne : Les webinaires du CdG62
Le prochain rendez-vous, dédié à la sécurité des données a lieu le 15 octobre, n’hésitez pas à vous y inscrire : Inscription en ligne
Pour aller plus loin
CNIL (Source : www.cnil.fr)
ANSSI (Source : www.ssi.gouv.fr)
Cybermalveillance (Source : www.cybermalveillance.gouv.fr)