26 Nov 2020

Profil de DPO : Agnès Peria – DPO de Vallée Sud

Nous avons eu le plaisir d’interviewer Agnès Peria. Ensemble nous sommes revenus sur son parcours et ses actions en tant que DPO de Vallée Sud-Grand Paris.

Pourquoi la parfaite connaissance des rouages de l’organisation est un atout pour le DPO ? Comment bien initier le projet de mise en conformité RGPD ?  Comment maintenir ses compétences sur les nombreux sujets liés à la protection des données ??

2 ans après la mise en application du RGPD, nous constatons qu’il n’y a pas qu’une seule stratégie possible pour la conformité RGPD. Identifier et adapter ce qui se fait ailleurs peut être un bon moyen de poursuivre la mise en conformité dans le temps.

Sans doute trouverez-vous au sein de cet échange inspirant quelques bonnes pratiques qui nourriront vos réflexions.

Q : Pouvez-vous revenir sur votre parcours et sur ce qui vous  a amenée à devenir DPO au sein de Vallée Sud ?

Juriste de formation, j’ai assuré pendant plus de 25 ans des missions au service des assemblées, au sein de communes puis au sein d’une communauté d’agglomération. J’avais également la responsabilité des marchés publics et des affaires juridiques. J’ai beaucoup apprécié la transversalité de ces missions qui m’ont permis de bien comprendre l’organisation étant au cœur du fonctionnement de la collectivité.

En 2016, suite à la loi NOTRe, Vallée Sud Grand Paris, nouvel établissement public territorial, naît de la fusion de deux communautés d’agglomération et d’une communauté de communes. Je souhaite alors évoluer et, avec l’arrivée du RGPD, mon directeur général me propose de prendre en charge cette problématique et de devenir Déléguée à la Protection des Données. 

La protection des données a des impacts dans tous les secteurs et toutes les activités de la collectivité

Mon expérience juridique, ma connaissance approfondie de la collectivité et ma capacité à la regarder de façon transversale, dans son ensemble, ont été des atouts pour prendre en charge cette nouvelle responsabilité. En effet, la protection des données a des impacts dans tous les secteurs et toutes les activités de la collectivité, et il fallait donc avoir cette capacité d’appréhender cette dernière dans son ensemble.

Q : En termes d’organisation : comment avez-vous réussi à identifier puis à mobiliser des relais en interne pour assurer la mise en conformité de votre organisation ?

Dès que je suis devenue DPO en avril 2018, j’ai pris rendez-vous avec les directeurs et chefs de service de la collectivité, notamment ceux qui étaient les plus impactés par la nouvelle réglementation, comme par exemple les RH pour la partie interne, ou les secteurs en lien avec la population (médiathèques, conservatoires, piscines, déchets ménagers…).

Nous avons alors fait un mini-audit dans chaque secteur pour identifier les traitements en cours, les problématiques existantes, l’organisation à améliorer… Ce premier contact m’a permis de repérer les personnes sensibles au sujet, sur lesquelles je me suis appuyée par la suite et avec lesquelles je suis toujours en lien.

Une fois la phase d’audit terminée, nous sommes passés au plan d’action, en prenant les chantiers les uns après les autres. Je constate au quotidien que les différents services se saisissent progressivement du sujet.

En termes d’organisation, je dépends d’un Directeur Général Adjoint qui reporte directement au Directeur Général des Services. L’un comme l’autre ont compris l’enjeu du RGPD et m’ont donné les moyens pour engager le processus. 

La médiatisation croissante de ce sujet, la sensibilisation accrue de la population et la multiplication des cyberattaques favorisent la prise de conscience interne

Ainsi, ils ont accepté un accompagnement par un cabinet externe et le recrutement d’une stagiaire. Clairement, la médiatisation croissante de ce sujet, la sensibilisation accrue de la population et la multiplication des cyberattaques – dont on parle de plus en plus – favorisent la prise de conscience en interne. La collectivité a compris que le RGPD et plus largement la gestion des données à caractère personnel devient un enjeu de confiance pour les citoyens. Ma hiérarchie a compris également qu’en tant que DPO, j’étais là pour protéger le responsable de traitement, à savoir le Président. Pour sa part, ce dernier est attentif au fait que la collectivité gère les données personnelles de façon éthique, sécurisée et conforme au RGPD.

Q: Quelle est la difficulté que vous êtes particulièrement fière d’avoir surmonté ?

Je suis particulièrement contente d’avoir réussi à sensibiliser l’ensemble de la collectivité au sujet du RGPD. Nous partions de loin ! En effet, nous étions une toute nouvelle collectivité qui venait de connaître un bouleversement administratif, lié à la fusion. La prise en compte du RGPD pouvait sembler une difficulté supplémentaire. Le fait que je connaisse bien les rouages, l’organisation, les agents m’a aidé à relever le challenge. Avec le soutien de ma hiérarchie, j’ai eu l’occasion d’intervenir dans des réunions « cadres » en présence de directeurs et de chefs de services pour expliquer les enjeux de cette nouvelle réglementation et détailler ce que nous allions mettre en place.

Ce qui me fait le plus plaisir ? Lorsque des agents se tournent vers moi parce qu’ils ont compris qu’il y avait un enjeu de protection des données personnelles. Ca a été le cas récemment concernant les cahiers d’observation mis à disposition du public dans les mairies dans le cadre de la consultation de la population sur les PLU. Je me dis alors que toutes les démarches de sensibilisation effectuées ont bel et bien porté leurs fruits.

Q : Qu’est-ce que vous auriez aimé savoir lorsque vous avez pris votre poste de DPO ?

De par mon expérience, j’avais une solide connaissance juridique mais j’aurais sans doute aimé être mieux armée sur la partie technique et informatique. Cependant, j’apprends cette dimension au fur et à mesure, en participant notamment tous les mois à un comité de pilotage aux côtés de la DSI. Cela me permet de monter en compétence sur ces aspects techniques et de sécurité.

Merci encore à Agnès Peria pour le temps qu’elle nous a consacré et sa prise de parole sur le sujet de la conformité RGPD.