Depuis maintenant quatre mois, l’enjeu de la conformité aux règles de protection des données personnelles a changé de dimension. Si le RGPD (règlement général sur la protection des données) ne bouleverse pas les principes fondamentaux de la protection des données, il offre désormais, au plan européen, le cadre de confiance indispensable pour assurer une réelle prise en compte des droits des personnes, une transparence accrue dans l’utilisation des données et une responsabilisation plus grande de tous les acteurs – publics comme privés – qui collectent et traitent des données personnelles. C’est une avancée salutaire et un impératif, alors que les données sont au centre de l’univers numérique mais aussi que les vols de données et autres cyberattaques de grande ampleur se multiplient.
Les Grandes écoles doivent assurément donner l’exemple et « être à la pointe » dans cette aventure collective européenne qui commence autour de la protection des données. Donner l’exemple : les Grandes écoles, pôles d’excellence aux marques internationalement reconnues, doivent bien sûr être des modèles de conformité ! Bon nombre de Grandes écoles ont déjà désigné des délégués à la protection des données et il convient de saluer le dynamisme du réseau supDPO (ex-réseau supcil), crée depuis déjà plusieurs années et qui rassemble aujourd’hui les délégués d’un grand nombre d’établissements d’enseignement supérieur-universités comme Grandes écoles. Ces délégués doivent veiller sur l’ensemble des applications de l’établissement traitant des données personnelles ; ils seront en charge par exemple du registre, des études d’impact vie privée (PIA ou AIVP) pour les applications à risque, de la notification des violations de données.
Ces obligations impliquent certes une charge de travail non négligeable, la CNIL en est parfaitement consciente. Mais l’effort est accessible et la CNIL entend assister les acteurs dans cette période de transition. C’est la raison pour laquelle elle a mis à disposition sur son site une boite à outils : modèle de registre, logiciel d’aide à la réalisation d’études d’impact sur la protection des données, téléservice dédié à la désignation du Délégué, guide « sécurité ». Un guide pratique à l’attention des petites et moyennes entreprises co-édité avec la BPI est aussi disponible… y compris à l’attention des jeunes pousses incubées par les Grandes écoles ! Au-delà, la CNIL entend accompagner au mieux le monde de l’enseignement supérieur dans sa transition numérique : c’était d’ailleurs une des raisons de la convention conclue en 2011 entre la CNIL et la CGE, convention qu’il serait assurément opportun de renouveler.
« Etre à la pointe », c’est aussi le devoir de transmission du savoir. Les Grandes écoles ont en effet un rôle particulier à jouer pour sensibiliser et former leurs étudiants – managers, ingénieurs et autres décideurs de demain – à ce qui constitue un des enjeux majeurs du 21ème siècle. L’entrée en application du RGPD est donc l’occasion pour les Grandes écoles françaises d’« infuser » dans les cursus qu’elles proposent des sujets, des enjeux qui intéressent et concernent tous leurs jeunes.
Cette éducation à la protection des données devient d’ailleurs une obligation, aux termes du code de l’éducation, récemment modifié[1], car comme il est souligné « cette éducation contribue au développement de l’esprit critique et à l’apprentissage de la citoyenneté numérique ».
A l’heure des fake news et des risques de manipulation de masse, cela semble une tâche prioritaire. Cette formation a aussi vocation à préparer, voire à anticiper, les métiers et les organisations de l’ère numérique. Le DPO est devenu un métier à part entière nécessitant une formation spécifique et autour de lui, se mettent en place de nouvelles compétences (le data scientist, par exemple). L’enjeu est de construire une gouvernance globale et efficiente des données au sein des organisations publiques ou privées ; et les formations, initiales ou continues, peuvent y aider.
« Etre à la pointe » de la protection des données, c’est aussi initier, développer et soutenir la recherche dans le domaine de la protection des données (privacy by design, sécurité, anonymisation…) comme l’y incite le RGPD. Des initiatives telles que celle de la Chaire de recherche sur les valeurs et politiques des informations personnelles créée en 2013 par l’Institut Mines-telecoms avec le soutien de la CNIL sont à saluer et à poursuivre[2].
Enfin, au plan international, les Grandes écoles peuvent utilement contribuer, dans le cadre de leurs partenariats avec d’autres établissements d’enseignement supérieur étrangers, à la diffusion, du modèle européen de protection des données, à même de créer un réel effet d’entraînement. A l’heure où des visions concurrentes s’affrontent sur la question des données, il convient de démontrer que la réponse choisie par l’Europe nous dote d’un sérieux avantage. L’Europe a fait le pari d’un environnement numérique aux hautes exigences éthiques capable d’accroitre la confiance des personnes, et par-là la performance de nos organisations publiques ou privées, la résilience de nos sociétés numériques. L’influence normative internationale qu’a d’ores et déjà le RGPD – la Californie a adopté récemment une loi s’inspirant du modèle européen, le Japon vient de signer un accord d’adéquation avec l’Europe afin de favoriser les transferts de données – constitue déjà un signal fort de la capacité d’attraction de l’approche européenne.
[1] Article L- 312-9 du Code de l’éducation
Isabelle Falque-Pierrotin
Présidente
CNIL
A propos d’Isabelle Falque-Pierrotin
Conseiller d’État, Présidente de la CNIL depuis septembre 2011
Née en 1960, diplômée d’HEC, de l’ENA (promotion Denis Diderot) et de l’Institut Multimédia. Maître des requêtes au Conseil d’Etat, directeur adjoint du cabinet du ministre de la Culture et de la Francophonie (1993-1995), président du Conseil d’orientation et déléguée générale du Forum des droits sur l’internet (2001-2010), Isabelle FALQUE-PIERROTIN est conseiller d’Etat depuis novembre 2001.
Présidente de la CNIL, depuis 2011, réélue par le collège Présidente en 2014, elle a été Présidente du G29, le groupe des CNIL européennes, de février 2014 à février 2018. Elle est également, depuis septembre 2017, Présidente de la conférence mondiale des autorités de protection des données.
A propos de la CNIL
Dans l’univers numérique, la Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur des données personnelles. Autorité administrative indépendante, elle accompagne les professionnels dans leur mise en conformité et contrôle la mise en œuvre des traitements, à travers la gestion des plaintes, les contrôles et les sanctions. Elle aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits ; conseille les pouvoirs publics sur les questions relatives à la protection des données ; et mène une activité d’innovation et de prospective sur les enjeux numériques.