Martine Ricouart-Maillet (AFCDP) : « En cette période, le DPO/DPD est incontournable »

Le confinement a accéléré la circulation des données personnelles en ligne. Pas toujours dans les règles du RGPD… Retour sur le sujet avec Martine Ricouart-Maillet, vice-président de l’AFCDP, l’Association française des Délégués à la protection des données. 

🎥 Découvrez l’émission Alliancy Inpiration :  « Data Literacy : la compétence clé du XXIe siècle à l’épreuve de la crise ».

 

Martine Ricouart-Maillet, vice-président de l’AFCDP, l’Association française des Délégués à la protection des données. 

Martine Ricouart-Maillet, vice-président de l’AFCDP, l’Association française des Délégués à la protection des données.

Alliancy. Comment avez-vous vécu la période de confinement à l’AFCDP* ? 

Martine Ricouart-Maillet. Nous étions bien préparés au sein de l’association, car nous avons pu continuer à échanger entre tous les membres au travers de notre Agora (forum de discussion). Nous avons ainsi constaté que cette période de Covid-19 a donné toutes ses chances aux entreprises qui avaient pratiqué à la fois la dématérialisation, mais également le RGPD en mettant en place une gouvernance des données. 

Pourquoi ? 

Martine Ricouart-Maillet. La grande différence entre le RGPD et la précédente loi Informatique et Libertés est véritablement cette mise en place d’une gouvernance avec des process affirmés au sein des entreprises ou des collectivités qui permettent la protection réelle des données. Tout y est anticipé, pensé et organisé. Aussi, les sociétés qui ont dû pratiquer le télétravail massif sans être passé par la mise en conformité RGPD, étaient bien plus en risque au niveau des données personnelles… C’est une évidence. 

L’avez-vous constaté ? 

Martine Ricouart-Maillet. Pas encore, c’est encore un peu tôt. Mais on va certainement s’en apercevoir dans les mois à venir. Et la Cnil, si elle fait des contrôles dans ce domaine, fera des découvertes… Le télétravail nécessite une certaine organisation, notamment d’avoir une charte informatique et une charte du télétravail, avec tous les aspects sécurisation, partage des documents, utilisation ou non des outils personnels (Byod, VPN)… Tout cela à mon avis a explosé et la grande majorité des entreprises n’était pas prête à agir et à s’organiser dans l’urgence. Notamment les TPE/PME… alors qu’être en crise ne devrait pas justifier de baisser la garde sur l’ensemble des mesures indispensables à la protection des données. 

Pensez-vous que selon les secteurs cela a pu être ressenti différemment ? 

Martine Ricouart-Maillet. Certainement. Par exemple, dans le Retail et le marketing, on avait de par les risques encourus avec les données client/consommateur, une certaine maturité, au moins pour les grands opérateurs. Certains ont ainsi pu aller vite sur le e-commerce. En RH par contre, l’application du RGPD étant arrivée plus tard, la crise a du accélérer leur mise en conformité et je pense que certains ont découvert la question… D’où l’importance de la formation des personnes en matière de RGPD. 

Quelles étaient les problématiques des DPO pendant cette période justement ? 

Martine Ricouart-Maillet. De nombreuses questions se sont posées au niveau du sanitaire au sens large et des collectivités territoriales, pour savoir par exemple si elles pouvaient collecter ou pas des données de santé, à l’école, dans les établissements psychosociaux, dans tout ce que gère une commune… Nous avons eu beaucoup de questions émanant du secteur public, davantage que du privé.  

Quelles erreurs ont pu être commises durant cette période ? 

Martine Ricouart-Maillet. Il y en a eu peut-être en matière de données sensibles, car  les données de santé sont en principe interdites de collecte sauf consentement ou autorisation par un texte spécifique. Il n’est pas sûr que les textes de loi  relatifs à la collecte des données dans le cadre du Covid-19 aient été respectés partout… Dans l’enseignement également, la continuité pédagogique a fait que beaucoup d’établissements ont du s’y mettre et n’étaient pas obligatoirement bien préparés… Ils disposent de données sur une population sensible, les mineurs notamment. On a eu de nombreuses questions à ce sujet. 

Quelles recommandations feriez-vous aux entreprises aujourd’hui ? 

Martine Ricouart-Maillet. Il faut refaire un audit de conformité, revoir sa politique de protection des données et revisiter ses chartes ; et, le cas échéant, mettre en place un DPO. La gouvernance des données à l’intérieur d’une entreprise est essentielle. Il faut également associer le DPO à toutes les décisions concernant de nouvelles applications, de nouveaux traitements de données, de nouveaux usages… Il faut qu’il soit incontournable. En ce sens, le binôme DPO/RSSI, au plus près de la direction générale, permet de gagner en efficacité au niveau de la gestion des données et pas uniquement en matière de sécurité. Ainsi, l’entreprise diminue clairement tous les risques. 

« 80 000 entreprises et organismes publics vont devoir se doter d’un DPD contre 18000 aujourd’hui », annonçait Isabelle Falque-Pierrotin, présidente de la Cnil et du G29 devant les membres de l’AFCDP réunis à Paris à l’occasion de leur 12ème université, le 24 janvier 2018. 

Sur 2020, quels sont les grands sujets sur lesquels votre association travaille ? 

Martine Ricouart-Maillet. Nous travaillons avec le ministère du Travail à un rapport afin de mieux identifier les dynamiques et les enjeux en termes d’emploi et de formation liés au RGPD. De même, nous avons une étude en cours sur le métier du DPO et les conditions d’exercice au sein des structures employeuses ou en tant que DPO externe. 

Nous allons également étudier toute la question de la souveraineté dans notre commission doctrinale du fait de Galileo, du Cloud, du Health Data Hub… A la rentée également, nous regarderons la question des « cookies et traceurs », puisque la Cnil devrait sortir ses recommandations en la matière en septembre. Elle s’était prononcée contre les « cookies walls », alors que le rapporteur public du Conseil d’Etat a récemment estimé que les sites peuvent conditionner l’accès à leurs contenus au consentement aux cookies… On attend l’arrêt. On voit que le duel juridique se poursuit. 

Comment se porte le métier de délégué à la protection des données (DPO) ? 

Martine Ricouart-Maillet. La Cnil vient de publier les chiffres au sein de son rapport d’activité annuel. A ce jour, 64 900 organismes ont désigné un DPD/DPO. Mais il reste encore une marge de manœuvre car toutes les entités qui le devraient, n’en sont pas dotées. Elles sont 65 % environ à l’être. La Cnil avait d’ailleurs évoqué en 2018 le chiffre de 80 000 DPD nécessaires

* Créée en 2004, l’AFCDP, l’association des DPO de France (Délégué à la protection des données), qui compte six collaborateurs, regroupe aujourd’hui 6 000 membres, travaillant au sein de 2 000 entités adhérentes, qui sont toutes les personnes intéressées par la protection des données à caractère personnel (anciens Correspondants Informatique & Libertés/CIL, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, universitaires et étudiants, expert en sécurité, qualiticiens, consultants…). Depuis la mise en application du RGPD, l’association connaît une très forte croissance, même si le profil même du DPO/DPD nécessite encore d’être mieux cerné. Une étude sur ce métier est en cours dont les résultats complets seront dévoilés début 2021. 

Deux nouvelles problématiques pour les RSSI et DPD

Face à la généralisation du télétravail qui va se poursuivre, selon Matthieu Bennasar, directeur des Opérations chez Harmonie Technologie, cabinet de conseil spécialisé en cybersécurité, « les RSSI vont devoir faire face à deux nouvelles problématiques, techniques d’une part, avec la sécurisation des outils collaboratifs, la maîtrise des outils collaboratifs non autorisés tel Zoom, le contrôle et la détection de fuites de données…) ; et organisationnelles d’autre part, avec l’accès aux outils de travail par des proches, l’information plus difficiles à protéger dans le cadre familial, la protection physique des actifs dans un cadre privé, etc. »

 

Data Literacy : la compétence clé du XXIe siècle à l’épreuve de la crise.

🎥 Qu’apporte la Data Literacy en milieu professionnel ? 

Alors qu’en mars 2020, le « choc des données » a pris un nouveau virage, la capacité à lire, interpréter, expliquer et comparer des données s’impose comme une compétence clé.

Découvrez aussi l’émission Alliancy Inpiration  « Data Literacy : la compétence clé du XXIe siècle à l’épreuve de la crise ».