Thiébaut Meyer (Assemblée nationale) "Les députés sont aussi des responsables de traitements des données"

Alors que La nuit du data protection officer s'approche, le DPO de l'Assemblée nationale présente au JDN le chantier majeur qu'il a conduit en 2018.

Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. Votre principal chantier porte sur la sensibilisation et la formation au RGPD. Par quelle population allez-vous commencer ?

Thiébaut Meyer. La première population concerne les chefs de projet informatique. Ils doivent prendre en compte la protection des données personnelles dans leur analyse de risque et l'intégrer dans les critères de sécurité. Selon le principe de privacy by design, introduit par le RGPD, le respect de la vie privée doit être pris en compte dès la conception d'une base de données, d'une application ou d'un service. Nous allons proposer aux chefs de projet une méthodologie intégrant cette notion sachant qu'ils ont des contraintes fortes. Comptables du respect du budget et des délais, ils ne peuvent se permettre un décalage dans le temps. De son côté, la maîtrise d'ouvrage les presse souvent pour obtenir des solutions au plus vite.

Que prévoyez-vous pour intéresser les députés au RGPD ?

Le RGPD concerne directement les députés en tant que responsables de traitements. La plupart ont un site web, tiennent un blog et envoient une newsletter pour rendre compte de leurs actions à leurs électeurs. Ils s'appuient pour cela sur une liste de diffusion qui contient des données personnelles. En tant qu'employeurs de leurs collaborateurs, les parlementaires sont également responsables des traitements RH. Ce sont aussi souvent des acheteurs de prestations de services informatique, comptabilité... Ils ont passé des contrats à des sociétés externes et doivent gérer cette sous-traitance.

Pour les sensibiliser, nous avons entrepris deux actions. Nous avons tout d'abord rédigé un vade-mecum expliquant les tenants et aboutissants du RGPD et les changements intervenus par rapport à la réglementation antérieure. En ce qui concerne la formation, il nous a paru difficile de former l'intégralité des 577 députés. Nous sommes donc passés par les groupes politiques qui sont actuellement au nombre de sept. Cet automne, nous formerons en présentiel les personnels de ces groupes : le secrétaire général ou son adjoint, le responsable numérique en charge des applications du groupe, ou éventuellement le chargé des contrats avec les prestataires (communication, lettre de diffusion, Internet et intranet). Deux demi-journées sont prévues. En amont, les députés peuvent leur remonter les questions qu'ils se posent ou directement à nous.

Quel est le niveau de connaissance des élus sur le RGPD ?

Je ne le sais pas encore. Nous pourrons l'évaluer lors des sessions de formation. Les parlementaires sont en tout cas en attente. Ils ont beaucoup entendu parler du RGPD dans les médias et identifient l'impact d'une fuite de données sur leur image comme le risque principal. Le but n'est pas de les transformer en experts RGPD mais de leur indiquer les bonnes questions à se poser et les jalons à suivre pour s'orienter vers la conformité.

Il faudra aussi sensibiliser les services du palais Bourbon…

Environ mille personnes travaillent dans les services (procédures législatives, paie, comptabilité...) de l'Assemblée nationale. Un accent particulier sera mis sur les achats. La division de la réglementation et du contrôle des marchés est garante des processus de conformité au droit des marchés publics. La vigilance est donc de mise sur les clauses qui doivent figurer dans nos contrats afin de s'assurer que les prestataires sont conformes au RGPD et présentent un plan de prévention sécurité. Par ailleurs, sont-ils bien présents dans l'Union européenne ? Les clauses d'audit, de responsabilité et de confidentialité ont été rendues systématiques. Elles sont, bien sûr, à adapter en fonction du contrat. Un guide des acheteurs publics sera prochainement publié rappelant le pourquoi de ces clauses avec des exemples types. Les acheteurs sont des juristes de droit public, ils comprennent ces enjeux.

Résumé du projet

Pourquoi il est fédérateur pour l'institution

"J'ai pris le parti de sensibiliser et de former au RGPD l'ensemble des populations qu'abrite l'Assemblée nationale. Les services, comme les députés, sont concernés à des degrés divers par le nouveau règlement européen."

Pourquoi il est innovant

"En fonction du profil des personnes à former, j'ai fait le choix de modules de formation ou de supports pédagogiques : la formation présentielle et un vade-mecum pour les députés, une méthodologie pour les chefs de projet information, un guide pour les acheteurs."

Pourquoi il est ambitieux

"Plutôt que de proposer un plan de sensibilisation au RGPD uniforme, j'adapte mon discours aux grandes populations. Ne pouvant former l'intégralité des 577 députés, je passe par les groupes politiques."