Entretien avec Sabrina Banse, responsable à la sécurité des systèmes d’information et déléguée à la protection des données à Carpentras

Chapitre 3 

En 2019, la communauté d’agglomération Ventoux Comtat Venaissin (CoVe) et la commune de Carpentras ont décidé de mettre en commun leurs moyens humains et matériels déployés autour des activités liées à l’innovation numérique incluant la gestion de la mise en conformité au  règlement général sur la protection des données (RGPD) en créant un service commun porté par la communauté d’agglomération et ouvert à l’ensemble des communes membres par signature de convention.

La commune de Carpentras adhère pour sa part à l’ensemble des volets de cette convention.

Sabrina Banse est la première DPD de Carpentras et de l’ensemble des 22 autres communes du territoire qui adhérent au services commun.

Lorsque vous avez pris vos fonctions, le poste venait d’être créé. Quelles ont été vos priorités ?

Lorsque je suis arrivée, des déclarations antérieures avaient déjà été réalisées par certains services de la ville. Ma première tache a été de recenser les déclarations déjà transmises à la Commission nationale de l’informatique et des libertés (CNIL), de vérifier si elles avaient évolué et d’analyser les points stratégiques de la commune.

Puis j’ai pris mon bâton de pèlerin pour faire un audit dans l’ensemble des services : comment fonctionne le service, quelles sont les données générées, quels sont les prestataires, où est stockée la donnée, etc.

Cela m’a permis de faire une photographie de la collectivité à l’instant T et d’en sortir un plan d’action. Il s’agissait d’identifier ce qui fonctionne et les améliorations qu’on peut apporter.

Votre arrivée dans les services était-elle bien perçue par les agents ?

Quand j’arrive dans les services, les agents sont plutôt soulagés d’avoir quelqu’un de compétent qui les décharge de cette question. Il faut parfois récupérer le train en marche lorsque les pratiques sont déjà en place. Quand je participe à la création de certains projets, c’est beaucoup plus simple, car les éléments du RGPD sont pris en compte dès le début.

Quelle formation initiale avez-vous suivie ?

 J’arrive du secteur privé. J’ai suivi des formations juridiques sur la loi informatiques et libertés, le RGPD, la sécurité des systèmes d’information. Je n’ai pas passé de certification particulière, même si j’assiste à tous les MOOC (formation à distance) de la CNIL et de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). J’ai dû apprendre les spécificités de la fonction publique territoriale.

Qu’est-ce qui vous a poussée à traverser la frontière entre le privé et le public ?

Cela m’intéressait de travailler dans la fonction publique territoriale car les métiers sont variés. C’est une diversité d’acteurs, de dialogues, des réglementations très riches. C’est très concret, parfois plus que dans certaines entreprises où il s’agit parfois seulement de gérer les données personnelles de clients. Face à des cyberattaques, il arrive que les systèmes tombent et que nous ne pouvons fournir certains documents très personnels aux usagers comme des certificats de naissance, de décès. Notre travail a du sens.

Quels chantiers avez-vous déployés depuis votre arrivée ?

J’ai commencé par la mise en conformité des traitements. Les élections municipales ont nécessité un regard plus attentif sur les évolutions voulues par les élu·es. Pour le lancement de la démocratie participative par exemple, nous avons été vigilants à la sélection du prestataire, aux aspects contractuels, aux outils utilisés, etc.

Sur la partie sécurité, la police administrative voulait mettre en place des caméras piétons. Il fallait alors s’interroger sur la manière de mettre en place ce projet en respectant les déclarations à la préfecture et à la CNIL.

Enfin, la CNIL donne ses orientations de contrôle tous les ans, je dois m’appuyer dessus pour définir notre feuille de route.

Quelles ont été les conséquences de la crise du Covid-19 sur vos missions ?

Nombreuses. Lors du premier confinement, il fallait gérer les distributions de masques, se questionner sur l’organisation pratique de vaccinodromes, s’assurer que les personnes de plus de 65 ans arrivaient à prendre leurs rendez-vous. Puis, nous avons dû travailler avec certains services sur la méthode de contrôle du passe sanitaire par les agents. La mise en place du télétravail a été un enjeu majeur évidemment pour les agents. Nous avons dû travailler en urgence avec l’ensemble des équipes de la direction informatique  pour mettre en place l’ensemble des outils.

Tous ces nouveaux dispositifs génèrent des données qui n’étaient pas prévues dans les communes. Pour le moment, nous gérons l’urgence, mais à moyen terme il faudra faire le point sur les données que nous pouvons garder et celles que nous devons absolument supprimer.

Je fais partie de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), nous échangeons sur les bonnes pratiques, les retours de chacun, cela m’est très utile.

Dès que des informations tombent, je dois être réactive et répondre rapidement aux demandes des services.

Quels outils vous sont utiles pour mener à bien vos missions ?

Je m’appuie énormément sur AFCDP qui diffuse les textes juridiques et met à notre disposition une agora dans laquelle nous pouvons poser des questions. La veille est déterminante. La CNIL est évidemment un support indispensable. Nous avons parfois des demandes complexes qui nécessitent un conseil juridique. Les communes doivent prévoir un budget.

D’un point de vue technique, je pense que pour le moment il n’y a pas besoin de logiciel particulier pour gérer la documentation en tant que tel. L’outil de la CNIL pour la réalisation des analyses d’impact est une bonne aide. Concernant la sécurité des données, l’ANSSI est le meilleur support technique. Elle publie de nombreux guides régulièrement.

Que pensez-vous de l’externalisation de la fonction de DPD par certaines communes ?

Nous travaillons sur des métiers spécialisés, je couple ma fonction de DPD avec la sécurité des systèmes d’informatisation.

Je préfère la mutualisation à l’externalisation car faire appel à des cabinets extérieurs peut faire prendre le risque de manquer de rapidité de réactivité. Les contrôleurs de la CNIL peuvent venir à l’improviste, les piratages nécessitent une intelligence politique, un œil interne est plus sûr.