Éditions Sorman

Cybersécurité, protection des données personnelles, dématérialisation des procédures…, ces questions présentent un coût important, une complexité technique et un risque juridique. Devant l’ampleur des chantiers, de plus en plus de collectivités se tournent vers des opérateurs publics de service numérique (OPSN). Le réseau Déclic, qui fédère ces OPSN, regroupe plus de 18 000 collectivités adhérentes. Constitués, le plus souvent, sous la forme de syndicats mixtes ouverts ou d’établissements publics, ces organismes apportent un socle de services communs, complété par des prestations proposées dans un catalogue. « La collectivité choisit », explique Emmanuel Vivé, président de l’association Déclic. « Le modèle courant est une adhésion et, en fonction des finances de la collectivité, des services à la carte ». Déclic vient de réaliser une étude auprès de ses adhérents montrant que les services les plus courants concernent les infrastructures et le réseau informatique (86 %), les équipements et les achats (74 %), les postes et l’environnement de travail (74 %), les logiciels de gestion (60 %), la cybersécurité (60 %). Si les besoins informatiques traditionnels (réseaux, matériels, logiciels) sont bien identifiés, les collectivités sont en revanche en retard en matière de nouvelles exigences réglementaires. « Selon la CNIL, 54 % des communes ont nommé un DPO*, dont 35 % parce qu’il était apporté par des structures de mutualisation », souligne le président de Déclic.

Un soutien pour s’adapter ou se mettre en conformité

La réponse à cette obligation du RGPD** peut faire l’objet d’une mutualisation, en confiant le rôle de DPO à un OPSN. « On a une vraie plus-value car les petites collectivités n’ont pas les moyens de faire appel à un juriste-technicien. Quant à l’offre privée, elle provient des SSII (Sociétés de services en ingénierie informatique), qui ont des techniciens mais pas des profils de juristes », met en garde Jérôme Lamache, directeur de Manche numérique. Pour le compte des adhérents qui le souhaitent, cet OPSN tient à jour leur registre des traitements de données à caractère personnel. « En outre, nous faisons au moins une visite annuelle à la collectivité », ajoute Jérôme Lamache. Malgré cette offre clé en main, seules 160 collectivités sur 450 adhérentes ont fait ce choix de la délégation. Par ailleurs, nombre de petites collectivités estiment, à tort, qu’elles ne sont pas exposées aux cyberattaques (voir page 2), alors qu’elles doivent toutes s’y préparer. Ce chantier a un coût qui rend attractive la mutualisation via un OPSN : « nous qualifions les produits et nous les achetons en volume, ce qui nous permet, par exemple, de proposer un gestionnaire de mots de passe à moins de 10 € par collaborateur », précise le directeur de Manche numérique. La mutualisation joue, davantage encore, lorsque les enjeux financiers risquent de prendre des proportions considérables. « Nous avons des marchés qui nous permettent de déclencher des experts cyber en cas de piratage, même si cela coûte cher », précise le spécialiste.

Anticiper les évolutions

Au-delà des solutions techniques, le recours à un OPSN permet aux collectivités de ne pas être prises de cours par des réglementations qui évoluent sans cesse. « Nous faisons beaucoup de réassurance auprès de mairies qui veulent valider leurs démarches, aussi bien sur des questions informatiques que sur des logiciels métiers, car les communes ont de moins de référents auxquels s’adresser dans les trésoreries et les préfectures », observe Renaud Lagrave, directeur de l’Agence landaise pour l’informatique (ALPI). L’adhésion annuelle débute à 140 € (pour les communes comptant le moins d’habitants et d’agents) et l’Alpi veille et les oriente, allant jusqu’à obtenir des subventions de l’ANSI pour leur donner accès à un « pack cybersécurité ». Autre exemple avec le passage à la M57 : « nous avons commencé le déploiement il y a trois ans, à raison de 150 collectivités par an », explique Renaud Lagrave. Surtout, les OPSN travaillent déjà sur les futurs besoins ou réglementations concernant l’opendata, l’accessibilité des services numériques, les objets connectés, etc. Reste cependant une limite à l’intervention d’un OPSN : une délégation ne signifie pas une démission de la part de la collectivité. Au contraire, elle conserve une responsabilité, notamment sur des sujets aussi sensibles que la cybersécurité ou le RGPD. Comme le rappelle Emmanuel Vivé, « un OPSN n’est qu’un opérateur, le maire reste responsable en cas de problème ».

* en anglais, « data protection officer », ou délégué à la protection des données. Toute collectivité a l’obligation de désigner un responsable des traitements de données à caractère personnel.
** règlement général sur la protection des données (UE 2016/679), applicable depuis le 23/05/2018.

Jean-Philippe ARROUET le 11 décembre 2023 - n°504 de La Lettre du Maire Rural