Patrick Blum (ESSEC) "Le principal changement amené par le RGPD porte sur les traitements sous-traités"
Alors que la Nuit du Data Protection Officer se rapproche, le CIL de l'Essec évoque la gestion des données personnelles des 5 000 étudiants de l'école et des 100 000 comptes Google Apps de la communauté des anciens élèves.
JDN. Quel est votre parcours ? Pourquoi avoir choisi de vous orienter vers cette fonction et quelle est aujourd'hui votre place dans l'organisation de l'ESSEC ?
Patrick Blum. Je suis diplômé de l'ESSEC. Après une première expérience professionnelle et un DESS en Informatique de gestion à Paris-Dauphine, je suis recruté par l'ESSEC en 1983 pour diriger le service. En 1984, j'ai effectué mes premières déclarations de traitement à la CNIL sur la gestion du concours et le fichier des étudiants. Après avoir été DSI pendant quelques années je me suis ensuite recentré sur la sécurité (dans un rôle de RSSI) et sur la conformité des systèmes d'information, avec un focus particulier sur les données personnelles. J'ai été nommé CIL (Correspondant Informatique et Libertés) en 2008. Aujourd'hui, ma fonction de CIL est une fonction autonome, et je ne dépends que du directeur général.
Quels sont les principaux enjeux de votre action au sein de l'ESSEC ?
Ma mission consiste à piloter la conformité des traitements de données personnelles, à permettre au business de se dérouler tout en respectant la vie privée des personnes concernées. L'ESSEC est une institution, qui célèbre cette année son 110ème anniversaire et qui emploie environ 600 collaborateurs ainsi que de nombreux enseignants intervenants non permanents.
Nous traitons des données personnelles pour environ 5 000 étudiants, des participants en formation permanente, nos diplômés et des milliers de prospects. Dans ce contexte, il ne s'agit pas pour nous de voir du jour au lendemain les coordonnées de telle ou telle personne se retrouver dans la nature, d'autant plus que l'ESSEC compte parmi ses diplômés de nombreuses personnalités du monde économique et parfois politique.
Par ailleurs, nos étudiants ont des comptes Google Apps (Google Apps for Education) et ils conservent ces comptes quand ils sont diplômés, ce qui représente aujourd'hui près de 100 000 comptes à gérer avec tous les risques et dérives que cela comporte (usurpations de comptes, phishing…).
Quelles premières mesures avez-vous prises à votre arrivée ?
Quand j'ai été nommé CIL en 2008 ma toute première activité a été d'établir un inventaire des traitements, le registre, ce qui a permis d'identifier les traitements qui n'avaient pas été déclarés. Dans ce domaine, il faut le reconnaître, la situation est de plus en plus complexe.
Il y a 10 ans, pour la création d'un traitement, les métiers se tournaient vers la DSI pour demander la mise en place d'un outil. Maintenant les métiers traitent souvent directement avec des fournisseurs de solutions sur Internet, qui font l'objet de contrats d'utilisation pas toujours conformes à nos obligations légales, et pour lesquels il convient de revoir les modalités juridiques de mise en œuvre.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Dans ce métier, la participation à une communauté professionnelle est quelque chose de très important"
J'essaye de solliciter l'organisation interne de la maison pour avoir des relais. Tous les mois à l'occasion des journées d'intégration, je dispose d'une fenêtre d'une heure pour exposer aux nouveaux collaborateurs les points importants de la sécurité et la problématique de protection des données personnelles. Cela permet de faire passer quelques messages essentiels et de se faire connaître des personnes.
Par ailleurs, toutes les semaines, même si le rythme de parution et d'édition est soutenu, j'essaye de communiquer par mail à tous les collaborateurs sous la forme d'un écran, une sorte de fiche pratique qui se lit d'un seul coup d'oeil, sur un sujet lié à la protection des données personnelles. Un site est également disponible où chacun peut aller réviser ces thématiques.
Concernant les points d'amélioration, aujourd'hui je ne dispose pas de relais effectifs dans les métiers, ce qui fait que l'on se sent parfois un peu seul. Le Comex a été sensibilisé à cette question. L'idée serait d'avoir dans les grandes entités une douzaine de personnes à qui l'on donnerait formellement un rôle de relais. Des personnes qui auraient dans les métiers un rôle de correspondant pour les questions liées à la protection des données personnelles. Cela permettrait de faire des points réguliers de situation, de mieux faire passer le message, d'introduire plus de fluidité, de répandre la "bonne parole", et de faire remonter de manière systématique l'information sur les projets qui traitent des données, même s'ils n'impliquent pas la DSI.
Avez-vous des contacts avec d'autres CIL ou responsables en charge de la protection des données personnelles ?
Oui tout à fait. En tant que CIL nous avons la chance de pouvoir prendre part à plusieurs réseaux. Je parlerai de SupCIL. Ce réseau rassemble les correspondants Informatique et Libertés (CIL) des établissements d'enseignement supérieur et de recherche. Cela nous permet d'échanger via une liste de diffusion autour de thématiques très ciblées mais aussi de nous retrouver à l'occasion des deux journées organisées chaque année.
Je suis également membre de l'AFCDP (Association française des correspondants à la protection des données à caractère personnel) dont je suis aujourd'hui l'un des administrateurs. Dans ce métier, la participation à une communauté professionnelle est quelque chose de très important, car c'est un métier plutôt solitaire et il est important d'avoir des relations, d'échanger et de ne pas rester seul avec ses interrogations juridiques et techniques. C'est capital, cela permet de dédramatiser certaines problématiques.
Quels sont vos principaux chantiers à venir ?
Il faut bien considérer que pour une institution comme l'ESSEC qui dispose d'un CIL et qui s'intéresse depuis longtemps à la thématique de la protection des données personnelles, le nouveau règlement européen et donc la conformité RGPD, constituent une évolution, mais pas une révolution. Ce qui change pour nous en revanche c'est principalement l'impact sur les traitements sous-traités, via des applications dans le cloud, par exemple. Avant, quand nous demandions à un prestataire le descriptif et le mode de stockage des données, il pouvait arriver de nous entendre dire que cela n'était pas possible, car "constituant un secret de fabrication".
Maintenant, le RGPD nous donne l'obligation d'intégrer dans les contrats des clauses qui définissent la responsabilité de chacun (signalement de violations de données, de failles de sécurité…). Cela change tout et cela va nous amener à réviser tous les contrats existants pour intégrer un avenant pour ceux qui portent sur les données personnelles.
Par ailleurs, pour les nouveaux projets, le RGPD nous impose d'exiger que le chef de projet conduise désormais une "pré-analyse" d'impact pour déterminer si les données traitées peuvent faire courir un risque pour les libertés et les droits des individus, et lorsque le traitement le justifie, de conduire une analyse d'impact plus complète.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.