Accueil Mairie du Village Les Habitants du Village Les habitants Formateurs du Village Des solutions Formation.

Pour un CIL - et bientôt encore plus pour un DPO - la « naïveté technique » est un réel handicap.

La grande école ISEP forme les CIL depuis une dizaine d’années mais propose également des formations courtes, dont une spécifiquement destinée aux juristes : le « kit de survie technique », animé par Bruno Rasle, un praticien expérimenté.

Pourquoi avoir créé cette formation courte ?

Je forme les Correspondants Informatique et Libertés (CIL) et les futurs DPO (Data Protection Officer) depuis une dizaine d’années au sein du Mastère Spécialisé «  Management et Protection des données personnelles  » de l’ISEP et je suis en contact constant avec eux. Très tôt, j’ai constaté que le manque de connaissances techniques était un frein au plein exercice du métier alors que la sécurisation des données personnelles est l’une des facettes de la conformité. Certains CIL ne maîtrisent pas les concepts mis en œuvre au sein des projets et manquent donc de pertinence dans leurs questions et pour mettre en doute – si besoin – les réponses qui leur sont apportées. J’ai donc créé cette formation courte pour y pallier. Les techniques sont démystifiées, les termes expliqués et j’essaie de donner systématiquement des applications concrètes, notamment en m’appuyant sur des cas réels.

Mais les CIL de formation juridique semblent pourtant s’en sortir assez bien ?

Vous croyez ? Ce n’est pas ce que disent les personnes qui suivent la formation… Au mieux, ces CIL ressentent de l’inconfort dans leur pratique quotidienne (incompréhension des concepts, manque de maîtrise des termes utilisés par les informaticiens, etc.). Au pire cela peut se traduire par une totale dépendance vis-à-vis du service informatique de l’entreprise, voire par le risque de passer à côté de quelque chose d’important, de poser un diagnostic erroné et donc de formuler un conseil inadéquat. La « naïveté technique » est un réel handicap. Si certaines directions des systèmes d’information sont particulièrement bienveillantes envers leur CIL, certaines n’hésitent pas à lui masquer certaines informations cruciales derrière un jargon abscons. D’autres se contentent de répondre strictement aux rares questions du CIL qui, par manque de connaissances, en reste à la surface des choses. De la non-coopération à l’obstruction en passant par la résistance, cette attitude des informaticiens s’explique bien sûr par un sentiment premier de compétition là où il ne doit y avoir que symbiose. Le manque de pertinence du CIL en la chose technique lui fait souvent perdre du crédit auprès des Directions des systèmes d’information.

Est-ce à dire que les CIL devraient également être des experts techniques ?

En aucun cas. L’objectif du Kit de survie technique est de passer un cap, de réaliser que, somme toute, les concepts utilisés en informatique peuvent être appréhendés de façon simple. Je me focalise évidemment sur ceux mis en œuvre dans le cadre des traitements de données personnelles. Le but n’est pas d’entrer en compétition avec les informaticiens, mais de mieux interagir avec eux, d’égal à égal, de dédramatiser en décodant le « jargon » technique, d’atteindre un niveau permettant de décoder l’architecture des systèmes d’information, d’avoir les bons réflexes, d’être plus efficace, de gagner en autonomie. La formation est également utile pour mieux tirer parti de la lecture des avis du G29 et des délibérations de la CNIL.

Pouvez-vous donner quelques exemples concrets des sujets abordés ?

Après avoir vulgarisé les concepts de base, j’explique les techniques dont la connaissance est indispensable à un CIL : qu’est-ce qu’une adresse IP ? Qu’est-ce qu’un cookie et à quoi sert-il ? Quelles sont les différences entre le data mining et le big data ? Quelles différences entre anonymisation et pseudonymisation ? Comment décider de la durée de conservation des traces ? Que signifie la doctrine de la CNIL selon laquelle les mots de passe ne doivent être conservés que sous forme d’empreintes obtenues par un procédé de hash avec du sel ? Quelles sont les différentes formes du Cloud computing ? Systématiquement le lien est fait entre la technique (« Techniquement, je peux le faire ») et la loi Informatique et Libertés (« Mais suis-je autorisé à le faire ? »). Ainsi je dévoile les solutions techniques qui se cachent derrière l’article 4 de la loi Informatique et Libertés, et dont je n’ai pas retrouvé la trace dans le RGPD (règlement européen sur les données personnelles) qui entre en vigueur le 25 mai 2018.

Le Kit de survie technique est annoncé comme permettant d’interagir avec les informaticiens. Est-ce si difficile ?

Tout d’abord, je voudrais rappeler que c’est « grâce » aux informaticiens que le sujet existe. C’est le « scoop » qu’avait révélé Monsieur Philippe Boucher, le journaliste qui avait écrit en 1974 le fameux article publié par Le Monde, « Safari ou la chasse aux français ». Dans le fil de son discours (voir son texte intégral), il nous avait révélé la source qui lui avait permis de faire son papier, celui-là même qui allait déboucher quatre ans plus tard sur la loi Informatique et Libertés et la création de la CNIL.

Toutefois, à part les cas de « DSI bienveillantes », on sent souvent une certaine réticence de la part des informaticiens, dont la plupart n’ont pas l’habitude de voir leur projet « challengé ». Cette résistance peut se traduire, par exemple par une mise à l’écart du CIL du traitement des incidents de sécurité mettant en danger les données personnelles. Or il faut absolument créer une synergie profitable aux deux parties et à l’entreprise. Outre la technique, j’aborde donc la relation de confiance et de partenariat qui doit exister entre le CIL/DPO et le RSSI (Responsable de la sécurité des systèmes d’information) et qui peut les amener à mener des projets en commun, comme la sensibilisation des salariés ou la bonne gestion des incidents de sécurité impactant des données personnelles.

Cette synergie est, par exemple, indispensable pour réaliser les analyses de risques et les études d’impacts. S’il appartient au CIL de décider dans quels cas une telle démarche s’impose, c’est bien la DSI qui réalise généralement l’analyse des risques. Mais, au final, c’est le CIL qui juge de la cotation finale des risques et si les risques résiduels sont acceptables, avant de les présenter, pour décision finale, au responsable de traitement. Sans un minimum de connaissances techniques du CIL, j’observe des EIVP (Etudes d’impacts sur la vie privée) « désincarnées » et peu pertinentes, qui ont été pilotées uniquement par la technique, alors que la démarche doit être centrée sur les risques encourues par les personnes concernées. Les mêmes questions se posent en présence de sous-traitants, soit dans les cas où les projets font appel à des acteurs du Cloud Computing ou quand les développements sont confiés à des tiers. Je rappelle, qu’au titre de l’article 36 du RGPD, le responsable de traitement devra consulter la CNIL avant toute mise en œuvre d’un projet lorsque l’analyse d’impact effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque (voir aussi le considérant 94 à ce propos).

Les Ateliers que dispensent la CNIL ne sont-ils pas suffisants ?

Je recommande systématiquement aux CIL qui souhaitent être confirmés en tant que Délégués à la protection des données de suivre ces Ateliers, qui sont toujours profitables. À ma connaissance, en Europe, la CNIL est la seule autorité de contrôle qui réalise cet effort d’accompagnement des délégués à la protection des données, ce qu’il faut saluer. Notons cependant que ces sessions, au titre de la définition stricte de la formation professionnelle, sont de sensibilisation et non de formation. Remarquons ensuite qu’elles ne sont accessibles qu’aux CIL désignés, alors que nous accueillons toutes les personnes « faisant office de ». Mais la grande différence porte sur l’adaptation aux besoins de chaque participant. S’il peut être délicat, lors d’un Atelier qui regroupe une quarantaine de CIL dans les locaux de l’Autorité de contrôle, de soulever une question liée à une éventuelle non-conformité dans l’un de ses projets, les participants qui suivent le Kit de survie Technique n’hésitent pas à le faire : les sessions comptant volontairement un nombre réduit de participants, une large part est laissée aux échanges.

Le Règlement européen va-t-il renforcer le besoin de connaissances techniques ?

Le RGPD, dont les règles vont remplacer en mai 2018 celles de l’actuelle loi Informatique et Libertés, va commencer par renforcer le besoin de formation tout court. Le temps est passé où il était possible d’être désigné CIL sans avoir suivi un minimum de formation. Le débat se déplace maintenant sur la question du niveau de cette formation. Avec un risque de sanction pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, un responsable de traitement ayant désigné un Délégué à la protection des données (l’évolution du CIL) a le droit d’être exigeant quant aux capacités de ce dernier de réduire réellement son exposition aux risques. C’est la raison pour laquelle nous voyons s’inscrire au Mastère spécialisé des CIL en exercice depuis plusieurs années, qui souhaitent ancrer davantage leur pratique professionnelle et qui veulent être confirmés DPO par leur direction dès le 25 mai 2018.

De plus le règlement introduit ou généralise des concepts qui nécessitent de compléter ou parfaire ses connaissances techniques, telles que l’obligation de réaliser, pour certains traitements, une analyse de risques et une étude d’impacts, et d’appliquer les principes du Privacy by Design (qui inclut le Security by Design). Mais c’est sans conteste l’obligation de notifier certaines violations de données – à la CNIL et, éventuellement, aux personnes concernées – qui nécessite au plus tôt l’ouverture de chantiers techniques qui peuvent être lourds. Ainsi il convient d’étudier les différentes possibilités techniques qui permettraient de bénéficier de l’exception de notification aux personnes, afin de les mettre en œuvre dès la mi-2018, date prévue d’entrée en vigueur des nouvelles règles. Faut-il privilégier du chiffrement, du hash, de la tokenisation ? Et selon quelles modalités d’implémentation ? Pour être en mesure de déployer ces solutions en 2018, il faut les avoir expérimentées en 2017. Un CIL dépourvu de connaissances techniques est-il « armé » pour initier dès aujourd’hui cette réflexion ?

Le contenu du Kit Technique évolue-t-il ?

Aussi souvent que nécessaire. Les cookies étaient abordés avant même la publication de l’ordonnance n°2011-1012 du 24 août 2011 qui a créé l’article 32-II de la loi du 6 janvier 1978 modifiée et de la doctrine de la CNIL en la matière. La publication par le G29 de son avis fondateur sur les techniques d’anonymisation a permis de compléter la partie vulgarisant la dés-identification des données personnelles. Le refus de la CNIL d’accorder à une société de commercialisation d’espaces publicitaires l’autorisation de mettre en œuvre un traitement de comptage des flux piétons en s’appuyant sur le Wi-Fi me donne l’occasion d’enfoncer le clou quant à la distinction entre la pseudonymisation et l’anonymisation. Le procédé, qui était présenté comme « anonyme » par le responsable de traitement a été requalifié de « pseudonyme » par la CNIL.

La nouvelle version de la formation voit ses parties « Etudes d’impacts » et « Notification des violations de données » enrichies et la création d’un nouveau chapitre qui traite de la conformité des traitements mettant en œuvre du Big data ou du machine learning. Le métier de CIL nécessitant de mener une veille permanente, je commence par ailleurs à préparer un ajout pour rendre lumineux les concepts de la blockchain (confiance pour la multitude et par la multitude), technique qui va révolutionner Internet et changer nos sociétés

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

56 votes