La Mairie de Neuilly sur Seine

La Ville de Neuilly sur Seine est une administration qui compte 60000 habitants et 1200 employés. Elle traite beaucoup de données personnelles sur ses administrés, que ce soit la partie aide sociale, enfance, petite enfance, personnes âgées, entre autres. Les données relatives à ces derniers représentent essentiellement des données sensibles.

Lors de la mise en place du RGPD (un an avant l’arrivée de Stephanie Goychman, DPD, Ville de Neuilly Sur Seine), la DSI (Daniela Lopes Neves, Responsable des Données, Ville de Neuilly Sur Seine) a travaillé sur un programme de mise en conformité en matière de gestion des données personnelles.

Le 25 mai 2018, Stephanie Goychman rejoint l’équipe en tant que Déléguée à la Protection des Données pour gérer ce programme de mise en conformité.

Son premier challenge se concentre sur les registres de traitement, elle doit revoir et revalider tous les registres existants avec l’ensemble de la direction en plus des demandes de gestion d’exercice de droits qui impliquent différents types d’actions à mener dans différents domaines.

« Nous utilisions différents outils pour la gestion des droits, les registres de traitement, les incidents, etc. Nous avons donc préféré partir à la recherche d’un outil unique. Daniela (Responsable des Données) s’est engagée sur un immense benchmark qui a mené à notre engagement avec OneTrust. » explique Mme Goychman.

Pourquoi la protection des données personnelles est-elle extrêmement importante pour La Mairie de Neuilly ?

La Mairie de Neuilly dispose de beaucoup de données personnelles sur ses administrés comprenant des personnes âgées sous tutelle, des jeunes, des familles… elle se doit donc de respecter le RGPD mais également et surtout de protéger les données de ces derniers.

Quels sont les défis auxquels vous avez été confrontés et qui vous ont mené à vous engager avec OneTrust ?

La Ville de Neuilly traite beaucoup de données personnelles au quotidien étant donné qu’elle dispose de données personnelles sensibles sur ses administrés. La gestion des exercices de droits, les registres de traitement, les incidents, entre autres représentaient un travail titanesque pour l’équipe de gestion de la conformité et un outil de centralisation devenait de plus en plus essentiel pour la gestion des charges de travail des équipes chargées de la protection des données personnelles. De plus, la gestion des consentements, le site internet à mettre à jour, beaucoup de formulaires en collectivités, les mentions légales à mettre à jour et les demandes de consentements à récupérer… En somme, il devenait difficile de tout gérer dans des outils différents et la place à l’erreur se faisait de plus en plus grande. L’avantage de l’outil OneTrust résidait dans la centralisation de tous ces processus.

Parmi tous les outils qui ont fait l’objet de leur étude, la plupart proposaient des paramétrages et l’accès à des métadonnées dans des bases de données par exemple. L’équipe n’a pas trouvé cela pertinent et facile ni d’utilisation ni d’implémentation car il s’avérait qu’un background assez technique était nécessaire pour pouvoir gérer ce type d’outil.

Vous avez choisi OneTrust pour sa facilité d’utilisation et sa capacité à centraliser les différentes activités. Y-a-t-il eu d’autres facteurs vous ayant poussé à choisir notre plateforme ?

Pourriez-vous me parler de votre cas d’utilisation OneTrust ? Quels sont les modules que vous utilisez et comment contribuent-ils à simplifier votre programme ?

La Ville de Neuilly Sur Seine utilise actuellement les modules OneTrust Registres de Traitement, Gestion du Consentement, Gestion des Exercices de Droits (« Le formulaire est très bien sur la gestion des droit » confie Mme Goychman), Gestion des incidents, Politiques & Notifications, Gestion des risques fournisseurs, Automatisation des Évaluations et Consentement aux Cookies.

« Le module d’automatisation des évaluations nous a permis de faire valider nos fiches de registre par l’ensemble de la direction. Tous les traitements ont été validés un par un et l’automatisation a été utilisée pour d’autres taches comme le PIA et l’évaluation des sous-traitants. Ce module a vraiment été bien mis en place, il est facile puisqu’une une fois que l’on a créé le questionnaire ce qui est la tache de base, on peut l’envoyer à X personne et X société. Les gens reçoivent un lien qui leur permet de remplir l’évaluation, et si elle n’a pas été remplie dans le délai requis ils reçoivent un email de rappel automatique. Ce module fonctionne très bien ! »

« Le module Gestion des droits que j’ai beaucoup apprécié a permis de mettre en place un questionnaire permettant de centraliser la gestion des demandes de droits. A chaque fois que l’on reçoit une demande, elle est faite directement sur le formulaire du site internet. Cela facilite la centralisation, et nous permet de voir les taches que nous avons complété et si nous avons répondu aux demandes dans les délais »

« Pour la DSI, le fait de pouvoir enregistrer et surveiller les dates d’échéance des contrats fournisseurs a été d’une aide vraiment très importante, nous avons pu renseigner tous nos contrats fournisseurs, et envoyer des évaluations à toutes ces personnes pour des questions de conformité. Cela nous a permis de créer un registre très important et de centraliser tous nos fournisseurs dans cette même base » mentionne Mme Lopes Neves.

En quoi est-ce que l’outil change votre façon de travailler, en termes de Privacy by Design, de culture du respect des données personnelles, etc. ?

« Ce qui nous permet de développer cette culture est l’assignation d’un correspondant au sein de chaque direction qui ont été formé au RGPD par un cabinet d’avocat. Ce réseau de référents est réuni régulièrement autour de différentes thématiques. Au fur et à mesure de l’avancement de la mise en place du logiciel OneTrust, nous avons souhaité les impliquer. La première réunion que nous avons eu était axée sur la validation des fiches de traitements par les évaluations. L’outil permet de montrer ce que l’on doit faire et ce que l’on peut faire et du coup d’impliquer nos collègues beaucoup plus largement dans nos stratégies de protection des données personnelles. » explique Mme Goychman.

Avez-vous constaté un réel retour sur investissement ?