[Lecture estivale#3] RGPD, un an après… la solution du DPO mutualisé

Que vous soyez sur le point de partir en vacances ou déjà de retour, profitons de ces prochaines semaines pour prendre le temps de revenir sur les dossiers qui font l’actualité de nos territoires et de nos collectivités. Alors que le RGPD a soufflé sa première bougie en mai dernier, certaines collectivités peinent encore à se mettre en conformité. Pourtant, des solutions existent à commencer peut-être par le DPO mutualisé. Pour en savoir plus, Paroles d’Elus est allé poser quelques questions à Emmanuel Vivé, Directeur de l’Adico.

Paroles d’Elus – Pourquoi avoir proposé de mutualiser des DPO ?

Emmanuel Vivé – En 2014, l’Adico avait décidé avec le centre de gestion de la fonction publique territoriale, de créer un service de correspondants informatique et liberté mutualisés ; affirmant ainsi déjà la volonté de mutualisé ces nouvelles responsabilités avant même le RGPD. Nous avions fait le constat que face au respect de la problématique informatique et liberté au sein des collectivités,

la mutualisation des compétences était déjà la solution. Nos deux organisations avaient donc fait le choix de recruter spécifiquement quelqu’un sur cette mission. Ce service a répondu aux besoins d’une cinquantaine de collectivités qui avaient fait le choix de payer une prestation mutualisée pour venir les accompagner dans l’avant-RGPD.

Au moment du vote par le parlement européen du RGPD, une rencontre avec le directeur général de la CNIL nous a permis de cerner avec précision les nouveaux besoins qui allaient découler de la mise en place du RGPD, nous avons fait le choix de développer ce service.

Parallèlement, nous avions rencontré l’ensemble des intercommunalités de l’Oise, notre département d’origine, pour leur demander ce qu’ils prévoyaient de faire sur cette question afin d’ éviter bien évidemment une « guerre de la mutualisation » en respectant les périmètres de chacun. Aucune d’entre elles ne prévoyait de recrutement spécifique pour cette mission. Le RGPD n’était alors clairement pas la priorité.

PdE – Combien de collectivités ont recours aujourd’hui à votre service ?

EV- Aujourd’hui, pas moins de 1200 collectivités ont délibéré pour faire de l’Adico leur DPO mutualisé. En amont du 25 mai, nous avons fait  tout un travail de construction de ce modèle. Notre réflexion a consisté à regarder le plus finement possible les responsabilités du DPo et sa charge potentielle de travail en fonction de la strate des collectivités. Notre idée était à la base plutôt de proposer ce service aux petites et moyennes collectivités. Et assez vite, devant la multiplication des demandes, nous avons étendu notre offre à d’autres départements.

Nous avons été très étonnés de recevoir rapidement des demandes de communes plus importantes dépassant pur certaines les 50 000 habitants. Des villes comme Beauvais, Creil ou Compiègne et même peut-être celle du Havre avec ses 170 000 habitants souhaitent que l’on puisse les accompagner. Ces demandes bouleversent notre modèle.

PdE – La mutualisation des DPO était-elle une piste envisagée par le législateur ?

EV – La possibilité de mutualiser est l’un des seuls amendements à avoir été repris dans la navette entre le Sénat et l’Assemblée Nationale. C’est aujourd’hui un peu le seul fléchage réaliste quand on regarde sérieusement les contraintes.

PdE – Mutualiser est-il pour autant si simple à mettre en place ?

EV- La contrainte principale est une question d’échelle par rapport à la taille des collectivités que l’on rencontre. Les difficultés ne vont pas être les mêmes évidemment.

Une petite collectivité n’aura que très peu de moyen humain et financier à y consacrer. Dans de plus grosses collectivités au contraire, on va sans doute trouver plus facilement  les ressources nécessaires mais c’est plus compliqué de faire bouger les choses puisque le DPO va parfois demander de modifier l’organisation et les méthodes internes.

Un DPO, employé à l’année, peut suivre entre 70 et 100 communes. A partir de là, nous avons pu construire le modèle économique de façon à ce que le service s’équilibre. Mais depuis le début, nous avons eu un taux de retour important qui nous oblige à recruter.

PdE- Est-ce justement facile de recruter ?

EV- Aujourd’hui nous avons une équipe de 8 DPO et au regard du nombre d’adhésions à ce service, nous devrions être 12. Nous avons donc lancé 4 recrutements qui sont toujours en cours. C’est en effet compliqué de trouver les personnes ressources tout d’abord parce que le monde universitaire n’a pas anticipé ces nouveaux besoins avec des formations spécifiques. Aussi, pour répondre aux besoins, nous sommes allés piocher à la sortie de l’université d’Amiens où nous recrutons des Bac+5 en droit public. Nous les formons en interne aux spécificités de ce nouveau métier.

La difficulté est de trouver quelqu’un ayant à la fois des compétences juridiques, un esprit de synthèse et une bonne connaissance du fonctionnement des collectivités.

PdE- Combien coûte votre service ?

EV- Nous avons repris nos grilles historiques qui fonctionnent en fonction de strates. Cela dépend donc du nombre d’habitants.  Dans le cas des intercommunalités, comprenant l’ensemble des communes, nous avons fait le choix de réduire la tarification de manière importante, tout simplement parce que les phases de sensibilisation et de formation sont faites de manière groupé.

Pour la première strate par exemple, correspondant à moins de 250 habitants, l’abonnement est de 290€ par an auquel s’ajoute la première année une phase de mise en conformité à 270 €. Pour une commune dont le nombre d’habitants se situe entre 1000 et 2000 habitants, l’abonnement annuel est de 720 euros auxquels s’ajoute là aussi 490 € la première année.

PdE- Quelle sera votre prochaine étape ?

EV- Le RGPD a eu pour vertu de mobiliser les collectivités sur les enjeux liés à l’open-data. Jusqu’à tout récemment, et malgré différentes réflexions et tentatives de sensibilisation, cela ne se traduisait pas en un engagement concret des collectivités. Aujourd’hui, les DPO sur le terrain, nous remontent de plus en plus le souhait des communes de s’inscrire concrètement dans une démarche d’Open-data. On voit très concrètement qu’à la fin de toutes les opérations collectées dans le registre des traitements des données, le sujet arrive par lui-même.

Début juin, nous avons donc invité Open Data France ainsi que des représentants de chaque département de la Région. Notre idée est que cette démarche de publication de données doit pouvoir s’effectuer à l’échelle régionale.