Méthodes et outils de la protection des données des collectivités territoriales

 Pourquoi protéger les données

• La numérisation croissante de l’activité des collectivités
• Les obligations légales (RGPD, RGS, Code du Patrimoine…)
• La valeur probante de certaines pièces (signature électronique)
• La confiance des citoyens/usagers
• L’image de la collectivité

Appréhender la notion de protection des données

• Assurer la disponibilité
• Garantir l’intégrité  
• Veiller à la confidentialité 

Se préparer aux principales difficultés rencontrées

• La dissémination : cloud, SaaS...
• Les multiples formes : applicatifs métiers, bases de données, papier…
• Des données évolutives : migrations, changement d’applicatifs…
• La multiplicité des intervenants 

Se repérer dans l’environnement normé de la protection des données 

• La famille de normes ISO 27000 avec focus sur l'ISO 27701 : sécurité des systèmes d’information, protection des données à caractère personnel
• NF Z42-013 : système d’archivage électronique
• NF Z42-026 : copie fidèle
• Les nombreux guides et textes qui décrivent l’état de l’art en matière de protection des données : guides ANSSI, CNIL…

Acquérir les bonnes pratiques pour protéger les données

• Mettre en place une approche d’amélioration continue
• Elaborer des procédures afin de se préparer
• Identifier les acteurs clés et constituer des équipes
• Hiérarchiser et prioriser les actions grâce à l’appréciation des risques

Procéder à l’inventaire de l’existant

• Recenser les équipements de sécurité en place et procédures existantes (DSI, DPO…)
• Identifier les gisements de données et les actifs sensibles
• Évaluer les risques grâce à des méthodes standards (Ebios RM, ISO 27005, Privacy Impact Assessment…)
• Planifier les premières actions techniques et organisationnelles à mettre en oeuvre 

Proposer un cadre d’action pour la collectivité

• Elaborer une stratégie complète de protection des données (objectifs, politiques, actions)
• Prévoir les rôles et les responsabilités (RACI) des acteurs et des instances (COPIL, COPROJ...)
• Reprendre les premières actions issues de l’inventaire
• Définir des procédures adaptées au fonctionnement d'une collectivité : note de cadrage, lettre de mission
• Appliquer le principe « release early, release often » : incrémenter les progrès rapidement

Identifier les acteurs et constituer les équipes

• Les interlocuteurs incontournables :  DPO, DSI, métiers (et éventuellement RSSI) 
• Connaître leurs procédures et modalités d’action
• Exposer la manière dont vous comptez agir
• Choisir des prestataires certifiés en matière de protection des données (PASSI...)
• Mettre en place les premières réunions et groupes de travail
• Vérifier, tracer et partager les progrès réalisés, les étapes franchies
• S’assurer de dialoguer avec les sponsors du projet

Évaluer régulièrement et faire évoluer

• Centraliser les évaluations techniques et organisationnelles
• Standardiser et tracer le plus possible
• Partager, mobiliser, faciliter les contributions
• Informer, suivre et franchir des étapes
• S’adapter et réévaluer régulièrement les risques