Marie-Noëlle Séhabiague (Cnaf) "On lit à tort que le DPO est une nouvelle fonction, mais le RGPD qui la crée ne part pas de zéro"
Alors que la Nuit du Data Protection Officer se rapproche, la DPO de la Caisse nationale des allocations évoque ses chantiers pour gérer les données des 52 millions d'allocataires traitées par l'organisme.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de la Cnaf, de quelle direction dépendez-vous ?
Marie-Noëlle Séhabiague (Cnaf). Il y a autant de parcours de DPO que de profils. De formation analyste-programmeur, j'ai fait toute ma carrière à la sécurité sociale. Je suis rentrée par concours à la Cpam de Haute-Savoie puis je suis passée de fonctions techniques à des responsabilités managériales et organisationnelles. J'ai notamment été chef de projet à la DSI, directeur de caisse et, depuis 6 ans, directrice adjointe de la Caisse nationale des allocations familiales (Cnaf).
Je suis à l'origine du référentiel national des bénéficiaires de la branche famille, soit une base de données recensant les 52 millions d'allocataires. Dans la suite logique, on m'a confié la gouvernance de ces données en me nommant, en 2012, Correspondante informatique et libertés (CIL) de la Cnaf.
Rattachée au directeur général de la Cnaf, Daniel Lenoir, je suis également directrice de la Macssi (Mission de l'analyse de la conformité informatique et libertés et de la sécurité du système d'information) et responsable MOA stratégique de la sécurité du système d'information.
J'ai démarré seule avec une secrétaire de direction. Depuis, mon équipe s'est étoffée de trois chefs de projet conformité Informatique & Libertés et d'un chef de projet sécurité du SI. Je suis aussi CIL mutualisé pour la quasi-totalité des 102 caisses locales. Pour les 18 caisses qui ont désigné des CIL, ces derniers seront maintenus jusqu'au 25 mai 2018. Je m'appuie aussi sur des relais informatique et liberté au sein de chaque caisse.
Quels sont les principaux enjeux de votre action au sein de la Cnaf ?
Ces enjeux sont de différents ordres. Au-delà des obligations réglementaires, il s'agit de faire de la conformité Informatique & Libertés un enjeu d'éthique en résonance avec les valeurs sociales portées par la Cnaf. Nous devons garantir la confiance que placent en nous les allocataires, d'autant que la Cnaf est en position de monopole. Les usagers ne peuvent changer d'organisme en cas de désaccord. L'autre enjeu consiste à conseiller et accompagner les directions métier. Le RGPD ne doit pas être perçu comme un frein aux projets. Si nous sommes saisis en amont d'un chantier, nous pouvons démontrer que la protection de données personnelles n'entrave en rien l'innovation et qu'elle peut même devenir une opportunité.
Quelles premières mesures avez-vous prises à votre arrivée ?
"J'ai eu à traiter d'un cas d'usage particulièrement sensible et complexe puisqu'il portait sur des flux transfrontaliers de données"
Avant même d'être nommée CIL, j'ai suivi une formation. En l'occurrence, le mastère spécialisé Informatique & Libertés dispensé par l'Isep. Ce cursus m'a apporté les bases juridiques indispensables à mes nouvelles fonctions et permis d'être pleinement opérationnelle. Le sujet de ma thèse professionnelle portait sur la politique des conformités des Caf et l'organisation du réseau de la branche famille. Elle a donné lieu à la création de la direction audit, conformité informatique et liberté et de sécurité SI.
La deuxième mesure a été d'adhérer à l'Association française des correspondants à la protection des données à caractère personnel. Le CIL/DPO est un peu seul. J'ai trouvé à l'AFCDP un réseau d'experts efficaces.
La troisième mesure n'était pas de mon initiative puisque la Cnaf a été contrôlée par la Cnil peu de temps avant ma nomination. Cela a permis de me faire connaître et reconnaître par l'ensemble des directions de l'organisme. J'ai aussi pu mettre en place des procédures de contrôle.
Enfin, j'ai eu à traiter d'un cas d'usage particulièrement sensible et complexe puisqu'il portait sur des flux transfrontaliers de données avec des sous-traitants situés hors de l'Union européenne. Sans ma formation à l'Isep, j'aurais été démunie. J'ai toutefois fait appel à un avocat spécialisé. Autant dire que j'ai tout de suite été mise dans le bain.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
De par mon statut, je participe à l'intégralité des réunions de comité direction. Certaines demandes de la Cnil sont notamment soumises à l'avis du conseil d'administration de la Cnaf. En tant que directrice de la Macssi, j'interviens aussi au comité des directeurs de caisses. Des réunions thématiques sont également organisées avec les relais Informatique & Libertés et les CIL des caisses par Webex ou visioconférence. Il y aussi entre nous un rendez-vous annuel et un intranet dédié.
Avec l'arrivée du RGPD, des séances de sensibilisation sont menées auprès des équipes de la DSI. J'interviens physiquement sur les différents sites. Les séances durent 3 heures et les contenus s'adaptent en fonction du domaine activité du service. Nous avons des intérêts communs avec la DSI, la sécurité est un préalable à la conformité.
Je participe également aux réunions d'intégration des nouvelles recrues pour évoquer les enjeux de conformité. Enfin, j'ai entrepris au printemps dernier un tour de France des caisses qui a démarré par les Ardennes et Marseille.
Quel est le degré de criticité des données personnelles gérées par la Cnaf ?
En gérant les droits liés aux prestations familiales, au handicap, à la solidarité ou au logement, la Cnaf traite des données dont le degré de criticité est extrême. Au-delà des données classiques d'identification comme le numéro de sécurité sociale, nous avons notamment connaissance de la situation financière (revenus, créances) des foyers. La Cnaf a une vision dans le temps des familles dont certaines sont en détresse. Qui d'autres que les Caf sont dépositaires de tant de données personnelles ?
Quels sont vos principaux chantiers à venir ?
"Les CIL sont légitimes à occuper le poste sous couvert de suivre des formations pour compléter leurs compétences"
Nous allons poursuivre nos actions pour nous mettre en conformité avec le RGPD et être prêts à l'échéance. Cela passe par des actions d'anonymisation et de tokenisation des données mais aussi par la mise en place de processus de notification en cas de violation des données. Il s'agit aussi de renforcer nos efforts de sensibilisation auprès des équipes de la DSI afin que les principes de privacy by design et de privacy by default deviennent des automatismes.
A cet effet, nous avons contribué à une méthode de conduite de projet qui, de la conception d'un projet à sa mise en œuvre, intègre ces notions. C'est un changement de culture qui demande du temps mais la dynamique est lancée. Comment mener des projets de big data dans le respect de la vie privée ? C'est un défi à relever à l'heure de la transformation numérique.
Par ailleurs, la Cnaf s'inscrit dans une démarche de dématérialisation totale des demandes de prestation et ce, en phase avec les annonces récentes du président de la République. Tous les services suivront cette voie de la digitalisation dans le respect de la vie privée des usagers.
Enfin, un CIL/DPO doit gérer le quotidien, comme la tenue du registre des traitements, tout en faisant face aux urgences comme une demande de droit d'accès émanant d'un allocataire ou la réponse dans des délais contraints à une plainte déposée auprès de la Cnil. Les services de l'Etat nous demandent aussi régulièrement l'avis de la Cnaf sur un texte, un projet de loi. Il faut maîtriser ces deux temporalités, le quotidien et l'urgence.
On lit à tort que le DPO est une nouvelle fonction, mais le RGPD qui la crée ne part pas de zéro. Les fondamentaux étaient déjà largement présents dans la loi Informatique & Libertés. En cela, les CIL sont légitimes à occuper le poste sous couvert de suivre des formations pour compléter leurs compétences. La forte médiatisation du RGPD crée un véritable engouement autour du DPO. Certains ont compris que le poste devenait stratégique alors que le CIL était jusqu'alors peu considéré.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.