8 Avr 2021

Profil de DPO : Johanna Périer– DPO externalisée chez GIP Recia

Nous avons eu le plaisir d’interviewer Johanna Périer qui nous a fait part de son parcours, de ses actions et de sa vision du métier de DPO externalisé pour le GIP Recia.

  • Pourquoi avoir recours à un DPO externalisé pour la protection de ses données ?
  • Pourquoi les logiciels de mise en conformité RGPD sont-ils indispensables au métier de DPO, et tout particulièrement pour un DPO externalisé ?
  • DPO externalisé : un métier d’avenir ?

2 ans après la mise en application du RGPD, nous constatons qu’il n’y a pas qu’une seule stratégie possible pour la conformité RGPD. Identifier et adapter ce qui se fait ailleurs peut être un bon moyen de poursuivre la mise en conformité dans le temps. 

Q : Pouvez-vous revenir sur votre parcours, qui vous a amenée à être aujourd’hui DPO externalisée au sein du GIP Recia ?

Tout au long de mon parcours universitaire en droit public, j’ai toujours éprouvé un vif intérêt pour ce que l’on appelle « l’intérêt général », qui s’est traduit pour moi par la volonté de participer à la mise en œuvre des politiques publiques. En 2018, je me lance dans la rédaction d’un mémoire de fin d’études sur la dématérialisation des services publics et l’impact de cette dématérialisation sur ces derniers.

En parallèle, le RGPD entre en vigueur et je peux, à ce moment-là, comprendre toutes les implications qu’il engendre pour les structures publiques. J’ai alors la chance d’effectuer un double stage au sein du Conseil départemental des Deux-Sèvres où je travaille à la fois dans le domaine juridique, avec le DPO de la structure et sur les questions de dématérialisation des services administratifs.

Cette expérience me conforte dans ma volonté de devenir DPO dans le secteur public, métier en création qui implique à la fois des aspects juridiques, informatiques, mais aussi des aspects liés à l’évolution des pratiques et à la notion même de service public.

En 2019, j’intègre le groupement d’intérêt public Recia en tant que DPO externalisée. Le GIP Recia, qui existe depuis 2003, a vocation à accompagner les entités publiques de la région Centre Val de Loire dans leurs démarches liées à l’informatique et à l’évolution des pratiques. Je n’ai pas hésité à déménager et à changer de région pour occuper ce poste qui correspondait tout à fait à mes attentes et convictions profondes.

 

Q : Quel atout peut apporter le travail au sein d’une équipe de DPO externalisés ?

Travailler au sein de l’équipe DPO mutualisé du GIP Recia est un réel avantage. Nous sommes une équipe de 5 DPO, avec des compétences multiples. Chacun d’entre nous possède des compétences spécifiques dans divers domaines, le droit, l’informatique, la connaissance des institutions que nous accompagnons, la communication, etc.

Bien que nous soyons chacun responsables de notre portefeuille, nous travaillons en synergie les uns avec les autres. C’est un atout indéniable : nous pouvons échanger sur les différentes problématiques, confronter nos points de vue, ce qui nous permet d’avoir une vision plus globale et d’apporter des réponses de qualité. C’est l’esprit porté par le GIP Recia, en nous appuyant sur notre relation d’équipe nous arrivons à travailler sur plusieurs fronts en même temps.

Ainsi, nous sommes toujours en mesure d’apporter un accompagnement permanent et adapté à nos partenaires. Le fait d’être une équipe permet également au GIP Recia d’être représenté dans les différents groupes de travail sur la protection des données qu’ils soient locaux ou nationaux.

 

Q : Quelle est votre vision du métier de DPO externalisé, et tout particulièrement dans le secteur public ? Quelles sont les clés du succès ? Quelles compétences et qualités vous semblent primordiales ?

J’évite de faire une distinction entre DPO externalisé et DPO interne pour la simple et bonne raison que nous faisons face aux mêmes problématiques. Nous sommes tous deux dans une mission d’accompagnement du responsable de traitement, de sensibilisation des services et de participation aux différents projets qui impliquent des questions liées à la protection des données.

Au-delà de la prise en charge des démarches administratives, nous avons également un rôle d’accompagnement dans le changement et parfois même de « lanceur d’alerte » dans le sens où le RGDP peut être vu comme une contrainte supplémentaire venant s’imposer dans les collectivités. Nous devons alors faire comprendre à nos interlocuteurs, avec patience, écoute et diplomatie, l’importance d’impliquer le DPO dans toutes les démarches.

Sur les clés du succès, j’en énumérerai, à mon sens, 4 fondamentales :

 – l’écoute : n’oublions jamais que ce sont les agents qui ont toutes les données entre leurs mains. Si nous ne les écoutons pas, si nous ne comprenons pas leur façon de travailler, nous ne pourrons pas améliorer le niveau de protection des données.

l’adaptation : nous sommes face à des êtres humains, il convient donc de nous adapter aux compétences de chacun, à leur sensibilité. Par exemple, une même problématique ne sera pas réglée de la même façon entre deux structures, ni même entre deux agents.

l’accompagnement : l’accompagnement sur le long terme est nécessaire pour mettre en place des actions de façon progressive et surtout pour pérenniser de nouveaux réflexes.

– enfin, la capacité à remettre en perspective ce que nous disons, à l’inclure dans un contexte plus général et humain, parler aux agents d’eux-mêmes, de leur famille, de leur utilisation d’internet, permet de les sensibiliser de façon concrète.

Le DPO doit avoir à la fois une bonne connaissance de l’environnement juridique dans son ensemble pour accompagner les structures de façon optimale, mais également en informatique pour faire face à la dématérialisation des services, à la croissance des nouvelles technologies et à toutes les questions liées à la souveraineté, la sécurité et à la confidentialité des données.

Étant juriste de formation, j’ai le réflexe de me tenir régulièrement au courant des évolutions juridiques et de la jurisprudence. Pour les questions informatiques, le GIP Recia a la chance d’avoir des collaborateurs très qualifiés dans ce domaine et nos échanges réguliers me permettent de monter rapidement en compétences. La curiosité peut bien entendu être considérée comme une qualité essentielle de notre métier.

 

Q : Quelle relation entretenez-vous avec vos clients ? Qui sont vos relais en interne ? A quelles difficultés devez-vous faire face ?

Au sein du GIP Recia, nous ne sommes pas dans une logique de « client-fournisseur », et nous préférons parler de « partenaire » ou de « membre ». Notre objectif est de permettre aux structures territoriales qui ont parfois peu de moyens, humains ou financiers, de mettre en œuvre leurs obligations réglementaires, telle que la nomination d’un DPO ou la tenue du registre de traitement, et ainsi de continuer à assurer au mieux leurs missions de service public.

Nos relais en interne peuvent varier d’une structure à l’autre, puisque nous accompagnons à la fois des communes, des communautés de communes, des syndicats ou encore des centres communaux d’action sociale. Nous demandons à chaque entité accompagnée de désigner un agent référent pour gérer les questions administratives et décisionnelles. Ce sont des directeurs de systèmes d’information ou directeurs généraux des services pour les plus grandes entités, des secrétaires de mairie dans les collectivités de taille plus modeste et parfois également des élus, preuve que ces derniers se saisissent de ces problématiques.

Nous sommes également en contact direct avec tous les agents qui traitent avec des données personnelles, puisque comme nous l’avons vu, ce sont eux qui sont au cœur du processus de mise en conformité ; ils peuvent nous contacter directement, dès qu’ils ont des questions, ce qui nous permet de gagner en efficacité et de les valoriser dans leurs démarches. En règle générale, les structures publiques et les agents qui les composent, habitués à servir l’intérêt général, ont déjà conscience de l’importance des données qu’ils ont entre leurs mains. J’en veux pour preuve le fait que début 2021, nous travaillons avec près de 400 entités, un chiffre en forte croissance. Finalement, ce sont peut-être les citoyens qui sont le moins sensibilisés au RGPD aujourd’hui…

La principale difficulté que nous rencontrons, au sein du GIP Recia, réside dans le fait que les agents référents ont déjà de nombreuses missions dans leur travail quotidien. Le risque est que le lien soit rompu, souvent par manque de temps, en période de renouvellement de conseil municipal par exemple. Notre rôle est alors de maintenir ce lien et de les rassurer sans les surcharger de travail. Chaque demande de leur part pour la mise en conformité est pour nous une grande satisfaction et une reconnaissance de notre métier de DPO.

 

Q : Pourquoi avoir choisi Adequacy et en quoi cette solution vous aide au quotidien dans votre métier ?

Notre équipe de DPO travaille actuellement avec près de 400 partenaires. Dans ce contexte, avoir recours à une solution logicielle pour une structure comme la nôtre, qui fait de la mutualisation, nous paraissait incontournable pour gagner en temps et en efficacité.

La solution Adequacy nous aide à gérer chaque structure de façon indépendante tout en nous permettant de passer d’une collectivité à l’autre facilement. De plus, cet outil nous offre la possibilité de créer de façon collaborative une base commune de travail. Nous harmonisons ainsi notre travail de fond d’une part et nous spécifions notre travail pour chaque collectivité d’autre part. Disposer d’un logiciel métier est vraiment un plus dans notre activité. En fonction de leurs souhaits et possibilités, nous ouvrons l’accès à certains de nos bénéficiaires mais ce n’est pas systématique. Nous travaillons également de concert avec les équipes Adequacy pour faire évoluer l’outil. Ainsi, nous avons par exemple beaucoup travaillé ensemble sur le registre des activités de traitement afin qu’il soit le plus clair, le plus accessible et le plus attrayant possible pour nos entités bénéficiaires.

 

Q : Quelle vision d’avenir portez-vous sur le métier de DPO externalisé ?

Ma vision concernant l’avenir du métier de DPO est un peu biaisée car, au sein des structures publiques, avoir recours à un DPO est une obligation réglementaire. J’ai donc tendance à dire que mon métier est amené à perdurer tant que le RGPD demeurera en vigueur ! Dans le secteur public, la fonction de DPO mutualisé tend à se développer, tout particulièrement dans les petites et moyennes administrations qui ne disposent pas toujours de moyens et de compétences suffisants en matière de protection des données.

En règle générale, et même si cela se fait de façon progressive, le RGPD prend de plus en plus de place tant dans le secteur public que privé. Les données prennent de la valeur, les questions relatives à leur protection deviennent cruciales. Dans ce contexte, le métier de délégué à la protection des données ne peut que se renforcer, puisqu’il est l’être humain derrière les textes, garant du respect de nos libertés fondamentales.

 

Nous remercions Johanna Périer pour cette interview et pour sa vision passionnée du métier de DPO. Vous pouvez retrouver toutes les informations du GIP RECIA sur son site internet et contacter Johanna sur son compte Linkedin.

DPO et RSSI : Quelle complémentarité dans leurs missions ?

DPO et RSSI : Quelle complémentarité dans leurs missions ?

Dans un article précédent, nous avions présenté l’évolution des missions du RSSI, clarifié son rôle, et souligné l’importance de son implication dans la démarche de conformité.  Intéressons-nous à présent au « Data protection Officer » (DPO), étape...