Entretien avec Meg-Ann Ransay, DPD de la communauté d’agglomération du Centre Littoral Guyane

Depuis quand êtes-vous la DPD de la CA Centre Littoral ? Le poste existait-il avant votre arrivée ? Si non, comment avez-vous défini les contours de votre mission ?

Je suis arrivée au sein de la CACL au mois de juillet 2020 sur un poste de DPD qui n’existait pas en interne. Avant mon arrivée, un prestataire externe a mené une mission d’état des lieux puis a été, par la suite, désigné en qualité de DPD et a initié une démarche de mise en conformité (essentiellement, par la production de livrables). Pour plus d’efficacité et aussi pour permettre de mutualiser la compétence auprès du bloc communal, il a été fait le choix d’internalisation la fonction.

Mes missions ont fait l’objet d’une feuille de route rédigée sur la base de l’état des lieux dressé par le DPD externe et signée par le représentant du responsable de traitement. Toutefois, la réalité du terrain a conduit, de fait, à réviser cette feuille de route et notamment, les jalons associés à chaque phase de la mise en conformité pour tenir compte de la disponibilité des services, des chantiers en cours et des difficultés pratiques de mise en œuvre. La mutualisation progressive des services du DPD a également impacté la disponibilité et ce faisant, la feuille de route.

Quels chantiers que avez-vous déployés depuis votre arrivée ?

Depuis mon arrivée, sur la base des constats effectués, je me suis surtout attelée à sensibiliser les différents collaborateurs et collaboratrices au sein de la collectivité. Aucune mise en conformité ne peut, à mon sens, se faire sans passer par l’acculturation des agents, en première ligne s’agissant du traitement de données. Ainsi, j’ai rencontré tous les services pour une opération de sensibilisation et j’ai mené plusieurs actions de sensibilisation ponctuelle adaptée aux différents publics (atelier ludique, quiz, affichage, prospectus sur la protection des données et la sécurité informatique, prises de parole dans les CODIR…). Au-delà de la sensibilisation à la protection des données, il s’agit surtout de créer et de maintenir un nouveau réflexe chez les agents : associer le DPD en amont des projets impliquant des données personnelles et les inviter à se poser un certain nombre de questions face à tout traitement de données ou incident en lien avec les données personnelles.

J’ai également lancé un chantier de mise à jour du registre des traitements en complétant l’état des lieux des traitements et en identifiant les priorités. Ce travail a été d’abord mené en lien étroit avec les relais informatique et libertés qui ont été nommés pour faciliter l’appropriation du sujet par les services !

J’ai également procédé à la mise à jour de certains documents de la collectivité notamment la charte informatique pour intégrer les « procédures » en lien avec la protection de données (nouveau traitement, violation de données) et ai établi un certain nombre de documents types et de procédures internes afin de permettre aux agents d’intégrer utilement la protection des données à leur mode de travail et d’être autonomes (kit de survie de la protection des données en cours de finalisation).

D’autres chantiers sont en cours tels que la révision de l’ensemble des contrats en cours et la mise à jour des supports de collecte de données notamment pour respecter l’obligation d’information.

Les services du DPD étant mutualisés, ces mêmes chantiers sont mis en œuvre progressivement dans les autres collectivités qui ont fait le choix d’être accompagnées par l’intercommunalité sur cette mise en conformité. L’ampleur de la tâche n’est pas négligeable !

Quelles ont été les conséquences de la crise du Covid-19 sur vos missions ?

La prise de fonction en pleine crise n’a pas été une chose aisée. Pour impulser une vraie dynamique de mise en conformité et inciter les collaborateurs et collaboratrices à impliquer le DPD dans les projets, il est essentiel de se faire connaitre auprès d’eux et ce d’autant plus que le métier et la matière étaient finalement assez « nouveaux » et « abstraits » pour tous. Aussi, tous les agents ne sont pas forcément à l’aise et réceptifs face aux outils numériques et restent très sensibles aux échanges informels physiques que l’on peut avoir. La crise a, de fait, contribué à un certain isolement de la fonction.

Cette crise a également eu un impact non négligeable sur la production de recommandations et d’avis en la matière. Ce virus a chamboulé les pratiques en matière RH, de traitement de données de santé et d’organisation du travail et a appelé bon nombre de questionnements afin d’éviter les dérives et de rassurer les collaborateurs et collaboratrices. Mais c’est une conséquence plutôt positive finalement : le rôle du DPD prend tout son sens dans ces circonstances puisqu’il devient, à la fois, le garant du respect des droits et libertés des agents et un allié de taille pour permettre à l’employeur, responsable de traitement, de mettre en place les mesures adéquates en respectant un équilibre.

Toutefois, d’une manière générale, la CACL a très bien su s’adapter à cette crise en mettant en place le télétravail dans de bonnes conditions matérielles et techniques. Ainsi, j’ai pu échanger rapidement avec les services et nous avons même pu nous retrouver lors d’un atelier ludique 100% dématérialisé pour la journée de la protection des données 2021, qui a eu un beau succès et de belles retombées en termes de sensibilisation. La preuve qu’avec un peu d’innovation, on peut passer outre les difficultés.

Pensez-vous que les spécificités de votre collectivité – territoire ultra-marin sur le continent sud-américain – ont un impact sur votre rôle ? Rencontrez-vous des problématiques particulières ?

La localisation ultramarine et qui plus est – sur le continent sud-américain – n’est pas sans incidence et soulève régulièrement des problématiques particulières. Tout d’abord, parce que cette règlementation européenne peut sembler déconnectée des réalités de nos territoires qui, de par leur localisation géographique, ont nécessairement des échanges réguliers avec les pays limitrophes. La question des transferts hors Union Européenne se pose avec une grande acuité puisque nous sommes un territoire français situé en dehors de la zone géographique de l’Union européenne. Ainsi, par exemple, nos liaisons Internet dépendent de câbles sous-marins qui transitent par les USA, ce qui pose la question du transfert par le réseau internet de nos données et la possible interception par des pays tiers. Aussi, certains fournisseurs de logiciel proposent voire imposent des hébergements dans des zones géographiques proches de nos territoires mais situés de facto en dehors de l’Union européenne (exemple d’outils collaboratifs très utilisés dans les collectivités pour des raisons pratiques et budgétaires et dont les serveurs d’hébergement sont situés en Amérique latine, sans cadre juridique valable…). Aussi, la règlementation peine un peu à s’implanter ici et les DPD nommés en Guyane sont encore très peu nombreux. Les interactions avec la CNIL sont finalement assez peu fréquentes et il est difficile de participer aux nombreux évènements en lien avec la protection des données du fait soit de l’éloignement géographique soit du décalage horaire. Plutôt difficile dans ce contexte de donner corps et sens à la fonction. Heureusement, les réseaux de pairs nous permettent de développer une dynamique de « corps » entre praticiens et de rester « connectés » au national.

Quels outils (législatifs, techniques…) vous sont utiles pour mener à bien cette mission ?

Aujourd’hui, j’ai accès à plusieurs outils qui sont indispensables pour cette mission. Tout d’abord, les outils classiques (codes, Légifrance, les publications de la CNIL et des autres autorités compétentes en matière de protection des données, de l’ANSSI, de Cybermalveillance…) sont des outils précieux au quotidien, même s’il faut relever que ces outils sont encore bien insuffisants pour répondre aux problématiques concrètes que l’on rencontre au quotidien. J’ai également accès à de la veille juridique spécialisée et une base documentaire permettant de documenter les traitements et les recommandations grâce aux solutions spécifiques aux secteurs du numérique et/ou des collectivités territoriales proposées par les éditeurs.

Au-delà de ces outils, ce qui est à mon sens un véritable atout pour un DPD d’une collectivité aujourd’hui est l’adhésion à un réseau de pairs car le DPD est souvent seul dans la fonction avec des chantiers très denses à mener. Le fait de pouvoir échanger avec d’autres praticien·nes, d’accéder à des retours d’expérience ou des documents préétablis ou de s’inspirer de choses qui ont déjà été faites ailleurs constitue un gain de temps et d’énergie incroyable. Nous avons fait le choix d’adhérer à l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) dans laquelle je co-anime le groupe Antilles-Guyane qui nous permet d’échanger sur nos problématiques spécifiques et de faire porter, plus aisément, la voix des ultramarins au niveau national.

Enfin, nous avons également fait l’acquisition d’un outil de pilotage de la conformité qui me permet de structurer l’activité, d’établir les registres obligatoires, de documenter les traitements et de piloter simultanément la conformité de l’EPCI et des communes membres concernées.