Sept ans après l'entrée en vigueur du RGPD, la majorité des collectivités a désigné un Délégué à la Protection des Données. Mais la conformité ne se résume pas à un poste. Elle se construit dans les pratiques quotidiennes.
1. Cartographier vraiment les traitements
Le registre des traitements n'est utile que s'il est vivant. Programmez une revue annuelle avec chaque service, et purgez les traitements obsolètes. Un registre de 200 lignes dont 80 sont fantômes ne protège personne.
2. Intégrer le RGPD dans les marchés publics
Vos prestataires sont des sous-traitants au sens du RGPD. Le contrat doit le formaliser : finalités, durées, sécurité, sous-traitance ultérieure, restitution ou destruction des données en fin de marché.
3. Privilégier l'hébergement souverain
Pour les données sensibles (santé, social, scolaire), privilégiez les hébergeurs qualifiés SecNumCloud. C'est plus cher, mais c'est l'assurance d'une non-soumission au Cloud Act américain.
4. Former, encore et toujours
90 % des incidents RGPD viennent d'une erreur humaine : pièce jointe envoyée au mauvais destinataire, mot de passe partagé, clé USB oubliée. Une formation annuelle obligatoire de 2h pour tous les agents change la donne.
5. Préparer les violations… avant qu'elles n'arrivent
Une violation doit être notifiée à la CNIL en 72h. Préparez le processus à froid : qui décide, qui notifie, quel modèle de courrier aux personnes concernées. Le jour J, vous gagnerez un temps précieux.