Maire-info
Le quotidien d’information des élus locaux

Édition du jeudi 31 mai 2018
Numérique

Rencontre nationale sur les données des communes et des EPCI: obligations et opportunités du RGPD et de l'open data

L’AMF a organisé hier une Rencontre nationale autour de deux échéances importantes pour les collectivités en 2018 : le règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai et l’obligation de publier des données en open data à partir d’octobre prochain pour les communes de plus de 3 500 habitants et de plus de 50 agents et les EPCI de plus de 50 agents.
Le RGPD n’est pas une révolution dans la mesure où il ne fait que confirmer les grands principes de la loi informatique et liberté de 1978 : finalité des traitements, durée de conservation des données, consentement... Il introduit en revanche deux nouveautés : la possibilité pour la Cnil de sanctionner lourdement les contrevenants et l’obligation pour toutes les entités publiques traitant des données personnelles de nommer un délégué à la protection des données (DPD ou DPO en anglais). « La Cnil sera un gendarme mais notre objectif n’est pas de faire un tableau de chasse et nous considérons que nous entrons dans une phase d’apprentissage avec un devoir d’accompagnement, en particulier des collectivités locales »  a nuancé, lors de la Rencontre, le secrétaire général de la Cnil, Jean Lessi.
Concernant le DPD, l’AMF est aujourd’hui très sollicitée. « Cette fonction peut-elle être exercée par un secrétaire de mairie ? Partagée entre la commune et l’EPCI ? », s’est interrogé le coprésident de la commission numérique de l’AMF et maire de La Chapelle-Saint-Mesmin (Loiret), Nicolas Bonneau. « L’essentiel est qu’il soit indépendant – ce qui implique que le poste ne peut pas être exercé par le DSI – compétent et connaisse intimement le fonctionnement des collectivités dont il a la charge », a expliqué Jean Lessi. Autant de caractéristiques qui poussent la Commission à privilégier, en dehors des grandes structures, une mutualisation ou une externalisation du DPD.
Lionel Jouneau, maire de Saint-Perreux (Morbihan), a ainsi présenté la stratégie de DPD mutualisé à l’échelle départementale et dont la première mission sera de réaliser des audits dans les communes. « La principale difficulté a été de trouver le bon profil. Ensuite, la sécurisation a un coût qui se monte dans ma commune à 3 500 euros pour nos 10 postes de travail », a détaillé l’élu. « Combien de communes peut gérer un DPD ? Une petite commune peut-elle être sanctionnée pour ne pas avoir nommé de DPD ? Autant de questions auxquelles il nous manque aujourd’hui des réponses », a regretté Patrick Molinoz, président du GIP eBourgogne-Franche-Comté – dont la plupart des communes adhérentes  n’ont pas de compétences numériques. Pour le moment, la mutualisation du DPD n’a pas été arrêtée et le GIP a limité son rôle à la diffusion d’une information de sensibilisation pédagogique et ludique. « Ce questionnement concerne aussi les entreprises », a souligné Jean Lessi, qui a indiqué qu’au-delà des ressources en ligne sur le site de la Cnil, le guide dédié aux collectivités était en cours de mise à jour. Il a aussi invité les acteurs locaux à multiplier les échanges d’expériences et à faire remonter les bonnes pratiques, par exemple à l’AMF, la Cnil ne pouvant coordonner l’ensemble des DPD.
« Il y a beaucoup de points communs entre la mise en œuvre du RGPD et de l’open data. Ce qui est important c’est de lever les craintes mais aussi de savoir saisir les opportunités », a relevé Laurence Comparat, présidente d’Open Data France et adjointe au maire de Grenoble. « L’ouverture des données répond à une exigence de transparence mais c’est aussi un moyen d’améliorer le fonctionnement des services, de faire de la donnée un outil d’animation territoriale », a souligné l’élue grenobloise. Le bon niveau de gouvernance et l’implication de tous les acteurs locaux pour mener la démarche sont à cet égard essentiels. « À Redon agglomération, nous avons souhaité travailler avec l’ensemble des 31 communes, y compris celles qui ne sont pas concernées par les obligations légales », a expliqué Gaëlle Chrisment, DSI de l'agglomération. Une démarche pragmatique, coconstruite, qui s’attache à valoriser les données qui intéressent le plus grand nombre, comme l’agenda des manifestations culturelles.
« Au-delà du RGPD et de l’open data, il faut que les communes passent d’une maîtrise des infrastructures à une maîtrise des usages et de la donnée », a résumé Luc Belot, ancien député. Cette mutation, conséquence de la numérisation accélérée de la société, nécessite un accompagnement des territoires et une mise en capacité des citoyens qui restent encore largement à construire.

Suivez Maire info sur Twitter : @Maireinfo2