Numérique

DPO : diplomatie et RGPD

| Mis à jour le 26/12/2019
Par • Club : Club Techni.Cités
Sources : Technicités 

Adobe

À la croisée des chemins entre le numérique, le juridique et la pédagogie des bonnes pratiques, le délégué à la protection des données à caractère personnel n’est rien de moins que le garant de la confiance du citoyen dans le traitement de ses données personnelles par les institutions. Un rôle qui tient plus du diplomate que du juge.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

cet article fait partie du dossier

Les nouveaux métiers des services techniques

Successeurs des correspondants informatique et liberté (CIL), les délégués à la protection des données (DPO) bénéficient d’une légitimité plus probante. Véritables comptables du traitement des données, les DPO vérifient la conformité des outils avec le droit et plus particulièrement avec la réglementation générale de la protection des données, la fameuse RGPD entrée en application le 25 mai 2018. Cette dernière est parée de sanctions importantes, pouvant aller jusqu’à 2 % du budget de fonctionnement. Comme les experts-comptables, les délégués n’ont pas de responsabilités sur les outils qu’ils traitent mais ce sont à eux d’apporter les conseils et les méthodes pour éviter tout manquement lors de l’utilisation des données personnelles des agents, des administrés, ou des utilisateurs.

Résultat : « on nous perçoit souvent comme des empêcheurs de tourner en rond », déplore Philippe Brunel, DPO du département de Seine-Maritime. Une perception logique : le poste comporte une large part de contrôle et de référencement des différents outils de traitement de données. « Concrètement, nous faisons l’analyse des manières de faire du traitement de données », continue Philippe Brunel. « On ne raisonne pas par outil mais par usage. Ressources humaines, paie, aide sociale, etc. À l’échelle du département, c’est plus de deux cents usages qu’il faut évaluer ».

En expliquant son métier, Philippe Brunel évite le terme d’audit. « La fonction comprend l’audit mais on parle plutôt d’analyse car le seul véritable organisme de contrôle, c’est la Commission nationale de l’informatique et des libertés (Cnil). Nous, on vérifie, on évalue et on établit un registre des traitements existants ». En cas de violation des données personnelles, les DPO se doivent aussi de faire une notification à la Cnil.

Ce rôle de vérification des outils de traitement de données oblige les DPO à posséder de solides bases en informatique. L’information papier n’a certes pas disparu, et les fiches d’information demandées aux usagers des services publics risquent d’ailleurs d’être les premières à subir les remarques des jeunes DPO. La règle est pourtant simple : aucune information ne peut être demandée si elle n’a pas une finalité explicite. S’enquérir d’une date d’anniversaire ou d’un âge sont par exemple deux choses différentes dont les utilisations doivent être justifiées. Mais la question du traitement des données personnelles est de plus en plus une question numérique.

« Le DPO est un mouton à 5 pattes », détaille Marine Brogli, présidente et fondatrice de DPO Consulting, une entreprise louant les services de ses experts franchisés. « Il doit comprendre une organisation, la sécurité informatique, un texte juridique de 200 pages, et savoir développer un process informatique. Au final, il n’y a pas de profils types mais il faut être curieux pour suivre les évolutions techniques. »

Indépendant mais non-protégé

« Le DPO est choisi par le responsable de traitement, donc par le donneur d’ordre », explique Bruno Rasle, délégué général de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP). « Selon la loi, il est indépendant, même de la personne qui l’a nommé mais pour autant, il n’est pas un salarié protégé. En cas de licenciement, la Cnil est avertie et elle peut donner un avis défavorable qui est uniquement consultatif. Il n’y a pas assez de recul pour augurer de ce que sera le futur des prud’hommes de la profession. Ce qui est sûr, c’est que la Cnil ne veut pas jouer le shérif ».

Une formation initiale est également importante, même si cet aspect est souvent négligé selon Marine Brogli : « beaucoup de collectivités ont nommé des DPO sans compétence. Il faut pourtant les former car cela peut être un élément de sanction de la part de la Cnil ». En quelques mois, les formations qui préparaient à devenir un CIL, comme celle du Conservatoire national des arts & métiers, se sont transformées pour répondre aux questions juridiques apportées par les nouvelles prérogatives du DPO. « Mais ce n’est pas tout », continue Marine Brogli. « Il y a de nouvelles formations qui viennent d’universités de parcours juridique. Nanterre, Sorbonne, Dauphine, pour ne citer qu’elles, font des diplômes universitaires sur le sujet et on commence même à voir des Masters en alternance. »

S’arrêter à cette double compétence juridique et numérique occulterait pourtant tout le sel du métier. « C’est un rôle qui exige beaucoup de diplomatie », continue Philippe Brunel. « Nous devons expliquer que ce qui est en jeu, ce n’est rien de moins que la confiance des utilisateurs de nos services. Selon moi, les plus grandes difficultés du métier ne sont pas juridiques ou techniques, elles sont principalement dans les relations humaines ».

Pour mettre en place la pédagogie du respect de la donnée personnelle dans tous les services d’une collectivité, le DPO entretient un réseau de référents. « C’est un travail amont qui permet d’engager les directeurs de services », détaille Philippe Brunel. « En formant ces référents, ils peuvent ensuite nous informer lorsqu’il y a des modifications sur les traitements de données. C’est totalement transparent : ils sont connus et ce sont avant tout de vrais relais de pédagogie des bonnes pratiques ». L’animation de ce réseau prend un temps important pour les DPO mais aussi pour les référents eux-mêmes. Ces derniers ne perçoivent pourtant aucune gratification pour leur travail. « Il y a des réseaux de référents pour différentes choses mais ce n’est jamais accompagné d’enveloppe », regrette Philippe Brunel. « Personnellement, je milite pour une petite prime, ne serait-ce que pour le principe. » Diplomate, pédagogue, organisateur de réseau, les DPO jonglent entre les fonctions pour amener les collectivités à respecter la RGPD. Malgré tout, leur impact dépend largement de l’implication politique de leur collectivité.

3 questions à William Gonzalez, DPO de Fleury-les-Aubrais (Loiret)

WilliamQu’est-ce qui vous intéresse dans ce métier ?

Être délégué à la protection des données, c’est quitter son bureau pour aller sur le terrain. C’est un travail passionnant, au contact de l’humain. Il faut à la fois être en veille sur l’évolution des technologies et de la loi, animer un réseau de référents, et faire de la sensibilisation. Au final, c’est très transversal et cela se retrouve dans les profils de mes collègues. J’étais auparavant responsable d’un service informatique mais d’autres viennent du juridique ou des archives.

Vous parlez de sensibilisation. Comment intéresser les agents aux questions de protection des données ?

C’est sûr qu’il faut faire preuve de pédagogie. La première étape, c’est de recenser un réseau de référents. Il y en a un par service et ce sont eux qui vont devenir les porte-parole des bonnes pratiques. Je les forme souvent en partant d’usage de leur vie personnelle. Les agents ont souvent tendance à utiliser les outils en ligne gratuits mais lorsqu’ils les utilisent dans un cadre professionnel, les risques sont importants. Un contenu piraté, un mot de passe volé, et c’est toute une administration qui peut être en danger. Le plus important, à mon sens, c’est de toujours arriver avec une solution de remplacement clé en main. Je renvoie souvent vers des choses plus respectueuses, comme les outils Framasoft par exemple.

Framasoft développe des logiciels libres. Est-ce le rôle du DPO de défendre ainsi ces outils ?

En fait, le logiciel libre respecte le droit des utilisateurs. C’est dans sa nature même. À l’inverse, de nombreux outils gratuits en ligne sont pratiques mais dangereux. Alors je propose toujours une alternative. Il ne faut pas que le rôle du DPO soit d’interdire. Ainsi, une clé USB branchée sur un ordinateur inconnu peut être dangereuse. Pour autant, on ne peut pas l’interdire sans remplacement. Je propose des plateformes de partage en ligne mais pas n’importe lesquelles. Au final, on se retrouve à faire pas mal de sûreté informatique.

Dossier
Commentaires

0  |  réagir

Ajouter un commentaire

Ce champ est obligatoire

Ce champ est obligatoire

Ce champ est obligatoire

Conformément à la loi "Informatique et libertés" du 6 janvier 1978, vous pouvez accéder aux informations vous concernant, les rectifier ou vous opposer à leur traitement et à leur transmission éventuelle à des tiers en écrivant à : Groupe Moniteur - Antony Parc 2, 10 place du Général de Gaulle, La Croix de Berny – BP 20156, 92 186 Antony Cedex ou en cliquant ici.

L'actu Technique

Offre découverte 30 jours gratuits !

dernières offres d’emploi

Formations

Evènements

services

Thèmes abordés

menu menu

Club Techni.Cités : l'information pour les techniciens de la FP