5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie. On vous dit tout. C’est notre product news du jour.
Pourquoi la conformité RGPD de votre mairie est indispensable ?
On ne va pas se mentir, le secteur public a connu du retard à l’allumage. Malgré l’entrée en vigueur en 2018 du RGPD, nombreuses sont les communes qui ne s’y sont pas mises.
En 2021, le sujet doit donc devenir une priorité :
- Parce que la CNIL accompagne en ce moment même la mise en conformité des collectivités territoriales. Elle a pour cela édité en 2019 un guide de bonnes pratiques avant de signer une charte de partenariat avec l’association des maires de France et des présidents d’intercommunalité.
- Parce que les sont désormais une cible privilégiée des pirates informatiques. Etat civil, données de santé… vos bases de données peuvent être d’une grande sensibilité. C’est pourquoi les exemples de communes victimes d’attaques par ransomware n’en finissent plus de se multiplier.
- Parce qu’avec la digitalisation des pratiques, votre parc informatique s’accroît, ce qui augmente le risque. Sans parler des villes séduites par des technologies telles que la reconnaissance faciale…
- Parce que la gestion de la pandémie a obligé les collectivités territoriales à créer de nouveaux traitements de données présentant un niveau de sensibilité élevé.
RGPD – Le DPO mutualisé est la solution
Désigner un Data Protection Officer (DPO), c’est une obligation pour toute collectivité territoriale.
Le agit comme un référent, un couteau suisse dans la protection des données personnelles. Il saura donner l’impulsion nécessaire pour lancer votre chantier de mise en conformité RGPD.
Et c’est important. Le coeur de vos activités repose sur le traitement des données de vos administrés. Il est donc indispensable que votre personnel soit correctement formé et embarque une approche de type Privacy-by-design.
Or cela a un coût non négligeable pour les petites et très petites communes. Heureusement, personne ne vous oblige à recruter un DPO à temps plein !
Vous pourrez au contraire bénéficier des services d’un DPD mutualisé entre plusieurs communes. Vous vous assurez ainsi d’une expertise au plus proche de vos problématiques sans payer le prix fort.
Sécurité IT – ensemble, on est plus forts
La décentralisation, ça marche aussi pour la data.
Les peuvent donc être éparpillées, démultipliées, entre les systèmes d’information de diverses communes en France. Avec un risque fort en matière de sécurité informatique.
Et si votre petite commune est peu informatisée, ses enjeux informatique et libertés n’en sont pas négligeables pour autant :
- Dans beaucoup d’entités, les fichiers Excel et Word sont monnaie courante, éparpillés un peu partout sur les postes de travail du personnel sans politique de sécurité adéquate.
- Une commune détient d’importants volumes d’archives papiers… mais une politique de sécurité rigoureuse a-t-elle été définie pour l’accès à vos locaux ?
Faute de moyens, impossible d’acquérir des licences pour profiter d’outils à l’état de l’art.
Sauf si ces ressources informatiques sont mutualisées, par exemple au niveau de communautés de communes ou d’agglomérations. Pensez-y.
Les relations en ligne, c’est comme dans la vraie vie
La ou de votre est une véritable nécessité.
Gestion des cookies, revue des formulaires en ligne et de la politique de confidentialité, sécurité IT… Ce n’est pas un travail énorme. Evitez simplement de faire en ligne ce que vous interdisez dans votre mairie :
- Acceptez-vous les panneaux publicitaires intrusifs dans votre mairie ? La distribution de tracts sauvages ? Pourtant, en installant sur votre site des outils gratuits tels que Google Analytics, vous permettez à des acteurs publicitaires de déposer des cookies et de collecter les données de vos usagers.
- Les sont certainement conservées dans des locaux sécurisés, n’est-ce pas ? Le lieu d’hébergement de la base de données de votre site est également clé. Comment réagiriez-vous en apprenant qu’elle est stockée sur un cloud public et sur des serveurs situés en Inde ?
- De manière générale, vous ne partagez pas les documents papiers de vos administrés avec n’importe qui. C’est heureux. Mais si votre site web est mal sécurisé, cela revient à laisser des pirates s’infiltrer dans vos locaux par la fenêtre et tout voler.
- Personne ne vous oblige à remplir un formulaire dès que vous entrez dans le hall d’accueil de votre mairie ? Dans ce cas, pourquoi sur votre site web, un bannière demande-t-elle aux utilisateurs d’accepter le dépôt de cookies dès que le site est chargé ? Des solutions permettent un affichage en différé, moins agressif pour l’expérience utilisateur.
Comment gérer facilement la conformité RGPD de votre site web ?
Simplifiez-vous la vie au maximum.
- Pour gérer la problématique des cookies, appuyez-vous sur une solution éprouvée. Le module d’Axeptio prend par exemple en charge cette problématique de manière innovante. Vous proposerez une expérience agréable grâce à laquelle vos administrés s’informeront des cookies que vous utilisez et décideront de les accepter ou non.
- Arrêtez avec Google Analytics, recherchez des alternatives plus respectueuses de la vie privée et plus adaptées à vos besoins somme toute limités.
- De la même manière, attention aux plugins et modules fournis par des acteurs américains. Depuis l’invalidation du Privacy Shield, transférer des données personnelles aux Etats-Unis n’est pas anodin. D’autant plus pour une mairie. Pensez-y et privilégiez des solutions européennes.
Conclusion : la conformité RGPD d’une mairie en toute simplicité
Pas de panique. Pour une commune de petite ou moyenne taille, le RGPD n’est pas un chantier indépassable.
Aujourd’hui, vous pouvez vous appuyer sur des outils faciles à utiliser et qui prennent en charge certaines tâches répétitives. C’est notamment le cas pour les cookies.
Alors, n’attendez plus pour vous y mettre.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.
Après la France, l'Italie va publier ses nouvelles règles pour les cookies !
Maxime JAILLETEn Italie, la consultation publique lancée par le régulateur étant achevée, on attend que le Garante publie ses nouvelles lignes directrices sur les cookies. Si vous vous intéressez à ce marché, c’est le moment de vous préparer à l’application des nouvelles règles. Configuration de la bannière, cookies de mesure d’audience, consentement granulaires, cookies walls…