Formation - Méthodes et outils de la protection des données des collectivités territoriales

 Pourquoi protéger les données

• La numérisation croissante de l’activité des collectivités
• Les obligations légales (RGPD, RGS, Code du Patrimoine…)
• La valeur probante de certaines pièces (signature électronique)
• La confiance des citoyens/usagers
• L’image de la collectivité

Appréhender la notion de protection des données

• Assurer la disponibilité
• Garantir l’intégrité  
• Veiller à la confidentialité 

Se préparer aux principales difficultés rencontrées

• La dissémination : cloud, SaaS...
• Les multiples formes : applicatifs métiers, bases de données, papier…
• Des données évolutives : migrations, changement d’applicatifs…
• La multiplicité des intervenants 

Se repérer dans l’environnement normé de la protection des données 

• La famille de normes ISO 27000 avec focus sur l'ISO 27701 : sécurité des systèmes d’information, protection des données à caractère personnel
• NF Z42-013 : système d’archivage électronique
• NF Z42-026 : copie fidèle
• Les nombreux guides et textes qui décrivent l’état de l’art en matière de protection des données : guides ANSSI, CNIL…

Acquérir les bonnes pratiques pour protéger les données

• Mettre en place une approche d’amélioration continue
• Elaborer des procédures afin de se préparer
• Identifier les acteurs clés et constituer des équipes
• Hiérarchiser et prioriser les actions grâce à l’appréciation des risques

Procéder à l’inventaire de l’existant

• Recenser les équipements de sécurité en place et procédures existantes (DSI, DPO…)
• Identifier les gisements de données et les actifs sensibles
• Évaluer les risques grâce à des méthodes standards (Ebios RM, ISO 27005, Privacy Impact Assessment…)
• Planifier les premières actions techniques et organisationnelles à mettre en oeuvre 

Proposer un cadre d’action pour la collectivité

• Elaborer une stratégie complète de protection des données (objectifs, politiques, actions)
• Prévoir les rôles et les responsabilités (RACI) des acteurs et des instances (COPIL, COPROJ...)
• Reprendre les premières actions issues de l’inventaire
• Définir des procédures adaptées au fonctionnement d'une collectivité : note de cadrage, lettre de mission
• Appliquer le principe « release early, release often » : incrémenter les progrès rapidement

Identifier les acteurs et constituer les équipes

• Les interlocuteurs incontournables :  DPO, DSI, métiers (et éventuellement RSSI) 
• Connaître leurs procédures et modalités d’action
• Exposer la manière dont vous comptez agir
• Choisir des prestataires certifiés en matière de protection des données (PASSI...)
• Mettre en place les premières réunions et groupes de travail
• Vérifier, tracer et partager les progrès réalisés, les étapes franchies
• S’assurer de dialoguer avec les sponsors du projet

Évaluer régulièrement et faire évoluer

• Centraliser les évaluations techniques et organisationnelles
• Standardiser et tracer le plus possible
• Partager, mobiliser, faciliter les contributions
• Informer, suivre et franchir des étapes
• S’adapter et réévaluer régulièrement les risques

Formation adaptée aux problématiques spécifiques de la protection des données dans le secteur public

Formateur expert en protection des données, avec une expérience opérationnelle dans une collectivité territoriale

•  Une grille d’auto-positionnement est également à renseigner par l’apprenant en amont et en aval de la formation, permettant d’évaluer la progression sur les différents objectifs de la formation. Cette grille constitue l’évaluation formative du module.
  
  
•  Un questionnaire à froid est envoyé et permet de mesurer l’utilité de la formation à 3 mois auprès du stagiaire et pose la question de la mise en pratique des connaissances.