Une interview avec Elisabeth Illiano-Demacon, déléguée à la protection des données pour la société Calyps.
Un article écrit par Jacky Casas ; Photo by Burst
Elisabeth Illiano-Demacon promulgue ses conseils comme DPO mutualisée pour des administration publiques en France. En Suisse, elle revêt sa casquette de DPO pour l’entreprise CALYPS sur le projet d’intelligence artificielle Saniia présenté dans ce blog l’année passée. Ces deux contextes lui permettent de connaître les règlementations sur la protection des données en Suisse et en Europe.
Juriste de formation, Madame Illiano-Demacon a récemment entrepris un diplôme d’études approfondies sur les droits fondamentaux et creuse du côté de la protection des données des malades mentaux durant son mémoire. Dans son parcours, l’humain a toujours été au centre ; la protection des données est pour elle un droit fondamental qu’il est important de défendre. C’est tout naturellement qu’elle se dirige vers une fonction de Data Protection Officer (DPO), ou “déléguée à la protection des données” (DPD), et qu’elle se spécialise dans la conformité au RGPD en Europe et à la LPD en Suisse.
DPO est un nouveau métier, transversal, qui permet de collaborer avec les informaticiens et les archivistes, dans le but de concevoir des systèmes d’information qui respectent les droits des utilisateurs. L’informatique doit être au service du citoyen — ou du patient — et non l’inverse !
Protection des données
Plus haut, j’ai énoncé “RGPD” et “LPD”. Ces acronymes vous disent probablement quelque chose: dans le premier cas, nous avons affaire au “Règlement Général sur la Protection des Données” (RGPD) qui s’applique à toute l’Union Européenne (UE) depuis mai 2018. Pour le second, il s’agit de la “Loi fédérale sur la Protection des Données” (LPD), pendant helvétique du RGPD.
Le RGPD est donc une loi que tout organisme professionnel actif en Europe doit suivre. Il s’applique dès que ses clients/utilisateurs résidant dans l’UE fournissent des données personnelles. Idem pour la LPD, qui protège les citoyens suisses.
La LPD a été totalement révisée par le Parlement en septembre 2020 dans le but de mieux coller au RGPD et pour mettre à jour les lois qui s’appliquent aux technologies, qui avancent rapidement. “Le droit court après la technologie” comme le dit Elisabeth.
Cette nouvelle loi devrait être appliquée au 2e semestre 2022 en Suisse, ce qui laisse plus d’un an aux entreprises pour opérer une transition. Modérément contraignante, cette loi pourrait malgré tout devenir un facteur concurrentiel sur des marchés convoités comme l’informatique médicale. Dans la pratique, deux cas possibles :
- Le logiciel existe déjà : dans ce cas, il va falloir adapter la solution existante afin qu’elle respecte la nouvelle règlementation et ça, c’est plutôt coûteux en ressources. Pour commencer, il s’agira de lister toutes les données collectées, comprendre si l’entreprise en a vraiment besoin (puisqu’il est interdit de collecter des données inutiles), mettre à jour les données utilisateurs (elles doivent être à jour, c’est-à-dire se confirmer à une période maximale d’archivage), être en mesure d’informer les utilisateurs sur toutes les données collectées sur eux, permettre aux utilisateurs de modifier les données, de les télécharger si besoin ou de demander leur suppression, preuve à l’appui.
- Vous débutez un nouveau projet informatique: on peut alors concevoir le projet à la base et tenir compte des règlementations et des meilleures pratiques pour le développer, telle qu’une conception intégrant le principe de Privacy by design.
Faut-il embaucher un DPO ?
C’est la question que vont devoir se poser les entreprises privées notamment. Pour une grande société, pas de doute possible, il en faut un. Par contre pour une petite ou moyenne entreprise, ce n’est pas forcément évident d’engager un nouveau collaborateur à cette fin. Là encore, deux solutions:
- Un employé de l’entreprise prend le rôle de DPO, mais il lui reste à se former. Cela pose un risque, car la personne pourrait subir un conflit d’intérêt: les intérêts de l’enterprise, contre ceux des utilisateurs. Certains juristes se sont d’ores et déjà spécialisés dans ce domaine.
- Engager un DPO mutualisé, qui officie pour plusieurs organisations travaillant sauf exception dans un même écosystème: le cas des administrations publiques, par exemple.
En 2021, les DPO sont devenus monnaie courante en France, tandis que le titre de délégué à la protection des données n’est pas encore répandu en Suisse romande. Un DPO doit contribuer de façon conséquente en début de projet, mais sera moins essentiel par la suite pour le maintenir. En gestion courante, seuls quelques ajustements sont nécessaires si tout est bien planifié au début. Un DPO sera au fait des questions les plus complexes, par exemple:
- comment procéder lorsqu’on sous-traite le traitement des données de nos clients à une entreprise tierce?
- quid, si cette entreprise tierce est basée en nearshore? Et offshore?
- comment poursuivre la collaboration avec un hébergement cloud en-dehors du sol suisse?
Pour retourner le problème, la mise en conformité à des règlementations comme RGPD et LPD permettent de réfléchir en amont aux problématiques des données et, au final, de se simplifier la vie. Avant de collecter une donnée, qu’il est pertinent de réfléchir à pourquoi on en a besoin et comment l’utiliser! Cela revient à complètement repenser la gestion des données, voire à réduire le volume collecté. Admettons qu’on ait un fichier client avec des informations obsolètes: en autres, certains clients ayant souhaité ne plus recevoir de mails et qui en reçoivent tout de même. Cela risque de:
- faire perdre du temps aux utilisateurs comme à l’entreprise (pour traiter la demande de retrait émanant de l’utilisateur, ou la suppression de ses données personnelles preuve à l’appui dans le cas le plus extrême) ;
- ternir la réputation de l’entreprise ;
- utiliser un espace de stockage devenu inutile.
Respecter les règlementations RGPD et LPD, c’est finalement être plus professionnel et écologique.
Les données sont l’affaire de tous
Autre exemple intéressant fourni par Madame Illiano-Demacon, la Poste Suisse a mis en place un programme de Bug bounty, système qui permet de récompenser financièrement les internautes qui trouvent des failles de sécurité dans ses systèmes d’informations. À noter que de nombreuses entreprises du monde entier utilisent cette méthode comme mesure complémentaire pour sécuriser leurs systèmes d’information.
Il reste néanmoins un paradoxe… si un système a été conçu avec l’approche “privacy-by-design”, il devrait logiquement être exempt de failles par conception. Mais là est la différence entre théorie et pratique. Selon une étude de Steve McConnell révélée dans son livre Code Complete, les logiciels comptent entre 1 et 25 bugs pour 1’000 lignes de code. Impressionnant n’est-ce pas? Je vous l’accorde, cette étude commence à dater et le taux d’erreur est plus bas de nos jours. L’initiative de la Poste Suisse représente une pratique saine, qui oeuvre pour le bien commun (la vie privée des utilisateurs et la réputation de cette organisme publique).
En savoir plus ?
Ces questions de RGPD/LPD et de protection des données utilisateurs vous intéressent ? Vous êtes en train de développer un logiciel et ne savez pas comment faire pour protéger les données personnelles ? Vous travaillez pour une PME romande et vous vous demandez à quelle sauce vous serez mangé.e ?
Je vous invite à écouter l’interview d’Elisabeth Illiano-Demacon sans plus attendre et/ou à participer au prochain événement “Nos données face à l’incertain” qui aura lieu jeudi 23 septembre 2021 au Biopôle de Lausanne. L’événement est gratuit, sur inscription (attention, places limitées!)
