La mairie de Neuilly-sur-Seine est une administration qui emploie 1 200 personnes et sert 60 000 résidents. Elle traite un grand nombre de données à personnelles concernant ses administrés, que ce soit dans le cadre de l’assistance sociale ou des services à l’enfance, à la petite enfance ou aux personnes âgées, entre autres. La plupart de ces données sont considérées comme sensibles.

Dans le cadre de la mise en œuvre du RGPD, le service informatique a travaillé sur le programme de protection des données personnelles de la ville. Stéphanie Goychman a rejoint l’équipe en tant que délégué à la protection des données (DPO) en mai 2018 pour gérer ce programme de conformité. Elle a commencé par s’attaquer aux registres des traitements qu’elle a dû revoir et valider, en parallèle de la gestion des demandes d’exercice de droit qui implique plusieurs processus à effectuer dans différents domaines.

« Nous utilisions des outils différents pour la gestion des demandes d’exercice de droit, pour les incidents, etc. Nous avons donc préféré partir à la recherche d’un outil unique, capable de prendre en charge l’ensemble de notre programme. Notre responsable des données a réalisé une vaste étude comparative qui a conduit à notre engagement avec OneTrust », explique Mme Goychman.

Protéger les données personnelles : une priorité absolue pour la ville de Neuilly

La mairie de Neuilly traite chaque jour un grand nombre de données personnelles, notamment des données personnelles sensibles, sur ses administrés. Être conforme au RGPD est donc une priorité absolue. La gestion des demandes d’exercice de droit, des registres de traitement et des incidents, entre autres, représentait un travail colossal pour l’équipe de gestion de la conformité. Un outil centralisé devenait essentiel pour gérer la charge de travail. Si on ajoute à cela la gestion du consentement, la mise à jour du site Web pour tenir compte des exigences légales au regard de la protection des données personnelles avec les mentions d’information et la mise en œuvre des préférences de consentement, il devenait difficile de tout gérer dans différents outils et le risque d’erreurs augmentait. L’avantage de l’outil OneTrust résidait dans la centralisation de tous ces processus, comme le souligne la responsable des données, Daniella Lopes Neves

« La plupart des outils que nous avons évalués proposaient des paramétrages et un accès à des métadonnées dans des bases de données par exemple. Nous avons décidé de ne pas mettre en œuvre ce type d’outils, car il s’est avéré qu’ils nécessitaient une formation assez technique », développe Mme Lopes Neves.

Choisir OneTrust pour gérer les demandes d’exercice de droit et pour centraliser les activités

« La société qui a effectué notre audit RGPD en 2018 a mené une étude à la suite de laquelle elle a recommandé OneTrust comme étant la solution la plus complète et la plus ergonomique. Nous avons également entendu des commentaires similaires de la part d’autres organisations du secteur public qui avaient également choisi OneTrust. Nos problématiques étant similaires, nous avons pensé qu’il était judicieux de travailler avec une entreprise qui avait déjà de l'expérience dans notre secteur », poursuit Mme Lopes Neves.

La mairie de Neuilly-sur-Seine utilise actuellement les modules OneTrust suivants : Automatisation des analyses d’impact, Cartographies et registres, Gestion des demandes d'exercice de droit, Gestion des risques tiers, Politiques et mentions d’information, Gestion des incidents, Gestion des préférences utilisateur et Consentement aux cookies.

Mme Goychman décrit comment le module d’automatisation des analyses d’impact a permis à l’équipe de rationaliser son processus d’évaluation : « Ce module est très bien conçu. Une fois que vous avez créé un questionnaire, ce qui constitue la tâche élémentaire, vous pouvez facilement l’envoyer aux personnes et aux entreprises que vous souhaitez. Les personnes reçoivent un lien qui leur permet de renseigner l’évaluation. En cas de dépassement des délais requis, elles reçoivent un rappel automatique. Ce module fonctionne très bien ! »

« Pour les demandes d'exercice de droit, et dans l’éventualité où il faudrait transmettre un rapport à la CNIL, nous disposons de toutes les demandes, des réponses fournies, avec un horodatage en plus de la liste des personnes impliquées, fournissant une traçabilité complète, ce qui est essentiel à la conformité », selon Mme Goychman.

« Pour le service informatique, il était très important de pouvoir enregistrer et surveiller les dates d’échéance des contrats avec les fournisseurs. Nous avons pu renseigner tous nos contrats fournisseur et leur envoyer des évaluations pour des questions de conformité. Nous avons ainsi pu créer un registre très important et centraliser tous nos fournisseurs dans une même base de données », mentionne Mme Lopes Neves.

Élaborer un programme de protection des données personnelles solide avec OneTrust

L’outil OneTrust aide la DPO et son équipe à faire preuve de responsabilité et à assurer la transparence au niveau souhaité. OneTrust a fourni un point central qui a favorisé la collaboration entre les équipes et a renforcé leur culture de protection des données personnelles. Pour Mme Goychman, «∘L’outil permet de montrer à la fois ce qu’il faut faire et ce qui a été fait et donc d’impliquer nos collègues beaucoup plus largement dans nos stratégies de protection des données personnelles ».

L’efficacité a été un avantage clé pour Mme Lopes Neves et ses collègues : « Nous perdons beaucoup moins de temps à gérer les incidents, les demandes d’accès et les demandes d’exercice de droits. Le retour sur investissement se ressent dès les premières semaines d’utilisation. Nous avons rapidement senti que OneTrust nous simplifiait la vie au quotidien », selon Mme Lopes Neves.