Homologation de sécurité des systèmes d’information et d’analyse d’impact sur la protection des données

Conseil municipal du vendredi 23 novembre 2018

Délibération 1.12 : Homologation de sécurité des systèmes d’information et d’analyse d’impact sur la protection des données. Création d’une commission. Approbation de règlement intérieur

Monsieur l’adjoint, mes chers collègues,

Cette délibération propose de créer une commission destinée à rendre un avis consultatif sur les dossiers soumis à analyse d’impact sur la protection des données (AIPD) et homologation de sécurité, d’en fixer la composition et d’en approuver le règlement intérieur.

Comme le stipule l’article 9 du projet de règlement intérieur, cette commission traitera de deux démarches:

  • celle concernant l’objectif de « protection de la vie privée » qui est de protéger les personnes des atteintes liées à leurs données personnelles, il s’agit des risques que la collectivité fait encourir aux personnes;
  • celle concernant l’objectif de la « sécurité des systèmes d’information » qui est de protéger la collectivité des atteintes liées à son patrimoine informationnel, il s’agit des risques encourus par le système d’information de la collectivité.

Ces deux démarches seront souvent complémentaires et donc traitées en parallèle.

Dans son fonctionnement la commission articulera la protection des données personnelles des citoyens et la protection des systèmes d’information de notre collectivité.

Cette double mission touchant au domaine sensible de la protection des données personnelles m’amène à formuler 2 remarques.

            La première concerne la composition de la commission. Telle que définie par le règlement intérieur dans son article 9, ses membres titulaires seront tous des membres de l’administration. Cela me paraît déséquilibré dans la mesure où la commission aura à traiter des questions concernant la sécurité des données personnelles. Un rééquilibrage me parait nécessaire, et je propose d’y ajouter des personnalités compétentes extérieures à l’administration municipale. Ces regards extérieurs et indépendants représentent selon moi une garantie indispensable pour une bonne gestion de la commission.

            La seconde remarque concerne le rôle du Président de la commission. Toujours dans l’article 9 il est indiqué que la commission émet un avis consultatif, le Président prenant lui la décision.

Le rôle du Président est prépondérant par rapport à celui de la commission qui n’émet qu’un avis, suivi ou non. Je pense pour ma part qu’il serait plus logique que les décisions soient soumises au vote de la commission et prises à la majorité des membres, avec voix prépondérante du Président en cas d’égalité.

C’est le mode de fonctionnement des commissions comme par exemple les Commissions d’Appel d’Offre, il me paraît plus équilibré et plus adapté à ce domaine sensible de la protection des données.

            Je vous propose donc d’une part de modifier la composition de la commission en y ajoutant des personnalités qualifiées indépendantes, et d’autre part de modifier le règlement intérieur pour que les décisions soient prises à la majorité des membres.