La crise modifie-t-elle la gestion des données personnelles par les DPO ?

Premier défi de la crise pour les DPO (délégués à la protection des données personnelles), la mise en place généralisée du télétravail. « Certaines entreprises, notamment dans le tertiaire, étaient avancées en matière de dématérialisation mais d’autres ont dû trouver des modes de fonctionnement dérogatoires », explique Philippe Salaün, secrétaire général de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel). Equipement informatique, messagerie sécurisée, chiffrement des données sont autant de questions rapidement soulevées. Les réponses ont varié en fonction du degré de préparation. 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

« Nous avons assisté à l’explosion du nombre d’outils utilisés pour communiquer : Teams, Skype, Zoom, etc. Certains sont très ergonomiques, mais présentent des failles de sécurité. Certains DPO de notre Association ont, par exemple, interdit l’utilisation de Zoom, notamment pour des réunions sensibles. Nous sollicitons beaucoup les RSSI (responsables de la sécurité des systèmes d'information) avant de prendre de telles décisions, mais devons agir rapidement», précise Philippe Salaün. 

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Gaëlle Bujan est DPO au CNRS, établissement public centré sur la recherche, sous la tutelle du ministère de l’enseignement supérieur, de la recherche et de l’innovation. Le CNRS compte 32 000 personnes, mais ses activités dans les laboratoires concernent plus de 115 000 personnes. « Nous connaissons déjà le travail en nomadisme, nous avons rapidement déployé un nouvel outil de communication, Tixeo, sécurisé et qui supporte la charge, confie-t-elle. Nous insistons auprès de nos collègues dans les laboratoires pour qu'ils disposent de matériels informatiques chiffrés et nos recommandations sont suivies. » Des recommandations d’autant plus importantes que les cyberattaques se multiplient depuis le début du confinement. 

Au-delà de ces enjeux matériels très concrets, le covid-19 bouleverse également l’activité des institutions et entreprises et requiert donc de fait souplesse et réactivité.

« Nous sommes une équipe de 6 personnes et travaillons avec la direction des affaires juridiques et la direction des systèmes d’information, ce qui nous permet de nous concentrer sur les dossiers prioritaires liés au covid-19. Notre rôle est de contribuer à faciliter la réalisation des projets de recherche. Et lorsque les projets comportent des données personnelles, il s’agit aussi de protéger les données et la vie privée des personnes concernées. Nous avons ainsi été saisis sur l’organisation d’une étude sur les effets de la distanciation sociale sur les familles, nous l’avons traitée en moins de 24 heures », confie Gaëlle Bujan.

Cette gestion de l’urgence se traduit également par une adaptation des règles, détaille Philippe Salaün. « Nous sommes sollicités sur des allégements de procédure, sur les niveaux de conformité à respecter dans les échanges avec les clients, les fournisseurs. Nous répondons souvent de manière favorable aux demandes dérogatoires, car nous privilégions la poursuite de l’activité et le service apporté aux clients. » 

Priorité à la poursuite de l’activité également pour Gaëlle Bujan : « nous essayons d’anticiper les questions de données personnelles. Nous avons pour règle de documenter toute décision, tout process mis en place dans l’urgence. Il sera essentiel, une fois la crise terminée, de pouvoir justifier nos décisions. Ceci est d’autant plus important que les individus se sentent fragilisés et qu’ils doivent pouvoir avoir confiance, notamment dans nos instances de recherche ».

« En cette période de pandémie, la tentation est grande de créer des plateformes pour le traitement des données de santé. Jusqu’où est-il possible d’aller ? Est-il possible de faire des fichiers de personnes fragiles ? Actuellement, sur les données de santé, les recommandations nationales et européennes continuent de s’appliquer. La protection des données ne doit pas entraver la lutte contre la pandémie, mais le covid-19 n’est pas une raison pour déroger au RGPD. Certaines dispositions du règlement prévoient d’ailleurs expressément la licéité de traitements nécessaires à la protection de l’intérêt vital et motivés par l’intérêt public en cas d’épidémie (considérant 46 du RGPD )», explique Maître Ricouart-Maillet, vice-présidente de l’AFCDP chargée de la gouvernance. 

Cette dernière insiste sur l’importance pour les collaborateurs de saisir leur DPO en amont sur toute question relatif au traitement de la donnée, mais s’inquiète également de la situation :

« quelles sont les conséquences juridiques des décisions prises en l’absence des DPO  mis au chômage partiel ? Comment répondre aux questions de l’exercice du droit des personnes en leur absence ? ». 

Quant aux DPO en activité, ils peuvent trouver des réponses à leurs interrogations au sein de l’agora dédiée aux DPO mise en place par l’AFCDP. « En revanche, silence du côté de la CNIL, dont la ligne d’information téléphonique dédiée aux DPO sonne dans le vide. Certes, il reste la sollicitation par messagerie mais ce canal de communication permet moins de réactivité et d’échanges pour obtenir une réponse rapide dans ce contexte d’urgence », regrette Philippe Salaün.