• Sourd ou malentendant ?
  • 0 811 702 703
    0,05 €/appel + prix de l'appel

Ville de Paris : « comment nous pérennisons notre démarche de conformité au RGPD »

Reportage Mis à jour le lundi 30 mai 2022

Enjeu clé dans les collectivités – respect du droit des usagers oblige -, la protection des données personnelles l’est certainement plus encore dans une ville d’envergure comme Paris. A la fois capitale et département, la ville lumière a su conduire avec méthode un tel chantier colossal en misant notamment sur l’expertise du cabinet Bearing Point, titulaire de l’UGAP. Explications de Cédric Heranval-Mallet, délégué à la protection des données dans cette collectivité pas comme les autres.

- Dans une ville capitale comme Paris, qu’est-ce que représente le travail de mise en conformité au RGPD*, en vigueur depuis 2018 ?

Heranval Mallet

Avec 23 directions, 50 000 agents et quelques millions d’usagers, la ville de Paris n’avait d’autre choix que de prendre les devants face à ce lourd travail de mise en conformité au RGPD. C’est pourquoi dès 2018, la collectivité – qui s’est alors dotée d’un délégué à la protection des données, poste que j’occupe depuis 18 mois - a décidé de s’appuyer, via l’UGAP, sur l’expertise d’un prestataire, Bearing Point, pour optimiser la conduite d’un tel chantier transverse. La première démarche a consisté à réaliser un audit de l’existant en matière de traitements des données personnelles au sein de la ville, et en particulier des données à caractère sensible. Cette cartographie fine a permis d’aboutir à un panorama complet par direction, à savoir, quelques 800 traitements d’une grande diversité (des systèmes d’information métier aux téléservices en passant par les listes de diffusion de nos newsletters), parmi lesquels une cinquantaine identifiés comme particulièrement sensibles, que ce soit dans le cadre de la gestion RH des agents ou dans le champ de l’action sociale ou de la santé, à destination des usagers. En effet, le développement de nouveaux SI métiers, SIRH inclus, et de téléservices - environ 200 à ce jour, propres à organiser la relation avec les Parisiens -, nécessite le recueil et l’analyse sur un périmètre toujours plus large de données personnelles.

- Quel plan d’action a été mis en œuvre à la suite de ce diagnostic de l’existant ?

Tout d’abord, la définition d’une feuille de route pour chaque direction afin d’établir les actions de mise en conformité de ces traitements au regard des principes du RGPD et du cycle de vie de la donnée. De quoi nous permettre d’élaborer le registre des traitements de données comme le prévoit la réglementation, assorti d’une documentation écrite décrivant les caractéristiques des traitements et les axes d’amélioration. A ce stade-là, l’intervention de Bearing Point a été déterminante pour définir, en lien avec le DPO** et les services, les chantiers prioritaires, élaborer un cadre documentaire adapté et ce, pour accompagner les métiers concernés dans la production des analyses d’impact relative à la protection des données (AIPD). L’AIPD est en effet obligatoire pour certains traitements, qui présentent une sensibilité particulière, comme ceux contenant des données de santé par exemple relatives à des publics dits vulnérables (personnes âgées, mineurs…). Il s’agit alors de procéder à une cotation des risques en cas de mauvaise utilisation ou de fuite de données. Dans cette optique, le prestataire a assisté les directions métiers, direction de l’action sociale de l’enfance et de la santé en tête, pour élaborer la documentation correspondante et, in fine, développer une « culture » de la protection des données. Organisation de réunions et d’ateliers, participation à des comités de direction…, cette démarche de sensibilisation et d’acculturation, constitue un pilier essentiel de la politique de conformité ! Le réseau des « référents RGPD » déployé au sein des directions de la ville a un rôle important en la matière. C’est grâce à ce nécessaire travail d’accompagnement, de conseil, au long cours que nous pouvons instaurer de nouveaux réflexes en matière de protection des données et ainsi pérenniser notre démarche de conformité au RGPD.

- Diriez-vous que la ville de Paris a atteint aujourd’hui un degré de maturité suffisant en la matière ?

RGPD

C’est une question justement en réflexion en interne, à savoir comment évaluer via les critères ad hoc cette maturité à l’aune des outils existants, comme les référentiels de la Cnil. Même si selon certains indicateurs – en termes de gouvernance, définition de procédures, documentation, formation, par exemple -, nous pouvons considérer avoir atteint un certain degré de maturité. Par contre, sur d’autres chantiers ou thèmes, comme la question des durées de conservation des données, le travail de fond doit être poursuivi. De manière générale, la mise en place du RGPD oblige à réfléchir – que ce soit pour les traitements existants ou à venir- à l’optimisation de nos processus. C’est dire si une telle mise en conformité est un travail à systématiquement recommencer ! Tant pour chaque nouveau projet comportant le traitement de données personnelles, de nouveaux enjeux et challenges se posent. C’est par exemple le cas avec la refonte de notre portail d’offre de service pour les familles ou encore pour le déploiement à venir des caméras piétons pour la police municipale. Et même si nous misons sur le développement de l’expertise interne pour relever de tels défis de mise en conformité, l’accompagnement méthodologique par un prestataire extérieur, via le marché UGAP, peut s’avérer pertinent et adapté en fonction des sujets et des outils de pilotage existants

*Règlement général sur la protection des données
**Data protection officer en anglais, soit le délégué à la protection des données

Articles associés