Conformité au RGPD : le modèle Adico

« Le 25 mai 2018, nous étions prêts. Ce que nous n’avions peut-être pas anticipé, c’est un tel succès de notre initiative ! » explique Emmanuel Vivé, directeur général de l’Adico, – association créée en 1990 à l’initiative, notamment, de l’Union des maires de l’Oise – qui accompagne les collectivités dans leur transformation numérique. Elles sont en effet, un an après, quelque 1 226 collectivités à avoir souscrit à son offre de service pour la mise en conformité avec le Règlement général sur la protection des données (RGPD), laquelle s’appuie sur un système mutualisé de délégué à la protection des données (DPD, ou DPO pour data protection officer). Rappelons que, depuis le 25 mai 2018, ce sont là deux obligations concernant aussi bien les organismes publics que privés. Quant à l’offre elle-même, les communes concernées se situent dans le bassin historique de l’Adico, l’Oise, mais également dans sept autres départements voisins, sur la base d’accords passés avec, par exemple, la Seine-Maritime (pour 276 collectivités), le syndicat mixte Somme numérique et l’AMF 80 (pour 150 collectivités). Elles sont principalement motivées par le caractère obligatoire du RGPD et le risque de sanctions éventuelles. Certaines en font également un enjeu d’image auprès du public.

Une prestation complète

Concrètement, explique en substance Emmanuel Vivé, la prestation de l’Adico s’organise en différentes phases. Dans un premier temps, il s’agit de sensibiliser les agents réalisant des traitements de données personnelles aux principes posés par le RGPD. Le DPO s’entretient sur place avec chaque agent, recense les traitements et analyse leur conformité. Il crée le registre des traitements, explique l’Adico, audite et réalise le rapport de recommandations hiérarchisées et classées par service et par traitement. Il conseille également la collectivité sur l’analyse d’impact relative à la protection des données, s’assure de la désignation d’un référent en interne et vérifie, trois mois après la remise du rapport, son exécution : « C’est un travail de fond suivi d’un rapport assorti d’objectifs chiffrés dans le temps. Des relances sont faites, le cas échéant », résume Emmanuel Vivé. La durée moyenne de mise en place du dispositif est d’environ une année.

Un modèle mutualisé et équilibré

« Nous avons rapidement compris que la solution à l’enjeu posé par le RGPD passerait par la mutualisation et l’Adico est apparue comme la structure compétente », précise Emmanuel Vivé pour expliquer la logique du projet. Une équipe opérationnelle de DPO a été constituée autour de Louis Corre, responsable du service consultants et spécialiste de ces questions, qui exerçait précédemment la fonction de correspondant informatique et liberté (CIL) au centre de gestion de la fonction publique de l’Oise. Quant au modèle économique du projet, visant à l’équilibre du système (sans réalisation de marge), il s’organise autour de deux principes. On détermine le nombre de collectivités dont peut s’occuper un DPO, soit entre 70 et 100, et on établit une tarification. Pour cela, l’Adico a choisi le modèle de l’adhésion/abonnement au service (en général pour quatre ans), avec un coût dépendant du nombre d’habitants de la commune : elle est, par exemple, pour une collectivité de 750 à 999 habitants, de 970 euros pour la première année et de 590 euros par an, à partir de la deuxième année.

Une équipe dédiée

L’Adico compte aujourd’hui une équipe de dix DPO, outre le responsable du service et une assistante. Cinq autres personnes doivent venir compléter l’effectif. Seulement, comme le constatent Emmanuel Vivé et Louis Corre, le recrutement de DPO est un exercice « compliqué ». Peut-être cela est lié à la nature de cette fonction, pas forcément évidente à appréhender : elle nécessite une bonne formation en droit public mais également une forte appétence pour les questions numériques, ainsi qu’un talent de pédagogue « pour accompagner la conduite du changement et transformer la contrainte en avantage ». Seulement peu de cursus universitaires semblent s’intéresser pour le moment à ces professions. Dommage, car il y a là, à nouveau, l’illustration sur le terrain que nombre de nouveaux métiers s’accordent difficilement avec les logiques traditionnelles de silo (droit, informatique, coaching, etc.). À l’enseignement supérieur, aussi, d’en tirer les conséquences.