Académique Documents
Professionnel Documents
Culture Documents
INTITULE DU MEMOIRE :
Présenté par
Jean-François Mangin
Sous la direction de
Annick Haegel
Mai 2020
1
Mémoire Paris Dauphine
Les opinions exprimées le sont à titre personnel et n’engagent que leur auteur
Remerciements
Avant de débuter la lecture de ce mémoire, nous souhaitons vivement remercier les personnes
qui ont contribué, chacune à leur manière, à la réalisation et à l’aboutissement de ce travail.
Nous remercions :
• Le responsable du DU, Jean-Luc Sauron, qui m’aura permis de monter en compétence
grâce à l’enseignement d’excellence dispensé dans le cadre de ce cursus de formation,
• La directrice de mémoire, Annick Haegel pour son attention et son implication, qui m’a
été d’un soutien très efficace pour la production du présent mémoire,
• Les intervenants du DU qui ont chacun, grâce à leur expertise et qualité pédagogique,
apporté des réflexions qui auront alimenté ce travail,
• La Région Occitanie et ses nombreux collaborateurs qui sont impliqués dans leurs
missions, et qui ont inspiré certaines réflexions ou propos du présent mémoire.
2
Mémoire Paris Dauphine
Note de synthèse
Dans le cadre de ses fonctions, le DPO ne bénéficie pas d’équipe ou au mieux de ressources
très réduites. S’il veut atteindre son objectif et générer une dynamique au service de la
protection des données à caractère personnel, il devra s’allier avec des acteurs pour bénéficier
de collaborations et ainsi décupler les ressources susceptibles d’alimenter la conformité au
RGPD.
Pour ce faire, il doit identifier des projets, initiatives ou processus qui alimentent les intérêts de
l’organisation tout en contribuant à la conformité au RGPD. Les enjeux qui peuvent caractériser
une collectivité territoriale seront tout d’abord identifiés, afin que l’argumentation développée
soit en phase avec le « cœur de métier » ou la stratégie de ce type d’organisation.
Tout d’abord, une synergie peut être identifiée entre une ambition de transformation avec le
développement de nouveaux « usages numériques » et le RGPD, ce dernier pouvant inviter à
repenser la façon de gérer les données, dans un équilibre entre exploitation et valorisation des
données d’un côté, et protection et respect de la vie privée de l’autre.
De même, l’exigence de qualité associée aux données qui alimentent ces usages offre un
important potentiel de collaboration entre les acteurs qui gèrent ces données et le DPO,
notamment si la donnée est considérée comme un actif clé.
Pour pouvoir bénéficier de données, les utilisateurs doivent accepter de les partager et nous
verrons que le DPO peut coconstruire un cadre de confiance susceptible d’atténuer leur
défiance. Et la formalisation d’un engagement éthique permet d’améliorer largement la
conformité au RGPD grâce à la transparence qu’il suppose et aux valeurs partagées par tous les
acteurs qui gèrent les données.
Enfin, le traitement des données devenant l'affaire de très nombreux acteurs, de multiples
exigences doivent être adoptées, ce qui est une occasion pour le DPO de participer à la diffusion
d’une culture de la donnée pour ancrer dans de bonnes pratiques toute initiative permettant de
contribuer au respect des obligations du RGPD. Nous décrirons certaines composantes pouvant
constituer cette culture.
L’un des atouts de cette démarche de collaboration est d’éviter que sous la seule contrainte
réglementaire, le Responsable de Traitement ne se contente d’actions ponctuelles ou limitées,
car seule une mobilisation d’acteurs ou une transformation de l’organisation permettra
d’apporter une conformité durable, qui se maintiendra sur le long terme.
3
Mémoire Paris Dauphine
1 Introduction ......................................................................................................................... 6
1.1 Délégué à la Protection des Données, une fonction cadrée mais atypique .................. 6
1.2 Sortir de l’isolement en identifiant des sources de valeurs du RGPD ......................... 7
1.3 Un règlement juridique obligatoire incontournable ..................................................... 7
1.4 Méthodologie pour présenter les leviers créateurs de valeur....................................... 7
2 La mission de conseil du DPO et ses limites ...................................................................... 9
2.1 Les missions du DPO et leurs limites vis-à-vis de son Responsable de Traitement ... 9
2.2 Les limites de la sensibilisation du DPO vis-à-vis des équipes ................................. 10
3 Les enjeux du RGPD pour les Collectivités Territoriales ................................................. 11
3.1 Brève description de la Région Occitanie ................................................................. 11
3.2 Un enjeu sociétal et éthique : la confiance ................................................................ 12
3.3 Un enjeu de développement des « usages numériques » ........................................... 14
3.4 Un enjeu managérial et de gestion des RH ................................................................ 14
3.5 Un enjeu démocratique .............................................................................................. 14
3.6 Un enjeu économique délicat à appréhender ............................................................. 15
4 Levier A : Viser une synergie entre transformation et RGPD .......................................... 17
4.1 Les obligations légales du RGPD dans le cadre d’une transformation ..................... 17
4.2 Deux modalités de mise en œuvre du RGPD ............................................................ 17
4.3 Une transformation est forcément un projet ambitieux ............................................. 18
4.4 Une synergie à identifier entre une transformation et un projet de conformité ......... 18
4.5 Deux exemples de collaboration entre le RGPD et la transformation ....................... 19
4.6 Une synergie pertinente entre la transformation et le RGPD .................................... 20
5 Levier B : Collaborer sur l’exigence de qualité de la donnée ........................................... 21
5.1 Les obligations légales du RGPD en termes de qualité de la donnée ........................ 21
5.2 La donnée, valeur clé pour les organisations ............................................................. 21
5.3 Pertinence d’une gouvernance de la donnée .............................................................. 22
5.4 S’inspirer de la politique européenne de la donnée ................................................... 23
5.5 Un exemple d’exploitation locale et éthique de la donnée avec Occitanie Data ....... 24
6 Levier C : Partager les apports d’une culture de la donnée .............................................. 25
6.1 Les obligations légales du RGPD en termes culture de la donnée ............................ 25
6.2 Les caractéristiques d’une Culture ............................................................................ 25
6.3 Une synergie entre une Culture de la Donnée et le RGPD ........................................ 26
6.4 Un exemple de réseau de référents en Occitanie ....................................................... 26
7 Levier D : Sceller un pacte de confiance avec l’utilisateur............................................... 27
7.1 Les obligations légales du RGPD dans le cadre de la relation avec l’utilisateur ...... 27
4
Mémoire Paris Dauphine
7.2 Définition de la confiance dans le cadre de la protection des données ..................... 28
7.3 Importance de la confiance pour partager des données ............................................. 28
7.4 Cas pratique d’une exploitation régionale éthique de la donnée ............................... 29
7.5 L’éthique des affaires, un levier fort au service du DPO .......................................... 30
7.6 Une projection dans une société sans éthique ........................................................... 31
8 Levier E : Développer une culture de l’écrit, voire capitaliser sur le programme de
« compliance » ......................................................................................................................... 32
8.1 Les obligations légales du RGPD dans le cadre de la culture de l’écrit .................... 32
8.2 Le bénéfice de capitaliser sur une « culture de l’écrit » ............................................ 32
8.3 La pertinence de tendre vers un principe de « compliance » ..................................... 33
9 Levier F : S’intégrer dans les enjeux du développement durable ..................................... 33
9.1 Les obligations légales du RGPD dans le cadre du volume des données .................. 33
9.2 Une évolution des pratiques de collecte et de conservation à intégrer ...................... 34
9.3 Une volonté de réduire l’impact environnemental du numérique ............................. 34
9.4 Une opportunité de synergie entre le RGPD et l’enjeu environnemental ................. 34
10 Levier G : Collaborer à la constitution de référentiels de données ............................... 35
10.1 Les obligations légales du RGPD dans le cadre de la constitution de référentiels .... 35
10.2 La constitution de bases de données de référence pour optimiser l’exactitude des
données ................................................................................................................................. 35
10.3 Des exemples de constitution de base de données de référence ................................ 35
11 Levier H : Définir en amont les rôles et responsabilités des acteurs d’un projet .......... 37
11.1 Les obligations légales du RGPD dans le cadre de la définition des responsabilités
des acteurs d’un projet .......................................................................................................... 37
11.2 La définition des responsabilités de chaque acteur ................................................... 37
11.3 Une occasion pour repenser la relation contractuelle ................................................ 37
12 Conclusion ..................................................................................................................... 40
ANNEXES :
5
Mémoire Paris Dauphine
1 Introduction
1.1 Délégué à la Protection des Données, une fonction cadrée mais atypique
Avant le règlement général sur la protection des données (RGPD)1, la directive 95/46/CE32
avait déjà défini la fonction du « Data Protection Officer » (DPO, ou « Délégué à la Protection
des Données » selon sa dénomination francophone) sans contraindre les organisations à en
nommer un. Le G293 avait sur ce sujet rédigé des lignes directrices4 dès 2016 cadrant cette
fonction, en précisant notamment que cette fonction « pouvait faciliter le respect des règles et,
en outre, devenir un avantage concurrentiel pour les entreprises ».
Le RGPD a depuis formalisé et imposé un cadre de conformité fondé sur la responsabilité des
organisations. Les DPO se retrouvent ainsi depuis le 25 mai 2018 cadrés et positionnés au cœur
de ce nouveau cadre juridique. Mais si ce règlement permet au DPO de rendre compte de ses
actions au plus haut niveau, il ne bénéficie pas de pouvoir hiérarchique. Les résultats d’une
enquête5 constate que « le DPO n’a pas d’équipe dans 75% des cas, et il dispose d’une équipe
de 1 à 3 personnes dans 21,2% des cas ». Il se retrouve en conséquence limité en termes de
moyens pour accomplir sa mission. Jouer cavalier seul ou se cantonner à un rôle de censeur ne
favoriserait pas l’appropriation du changement attendu concernant la protection des données.
S’il veut atteindre son objectif en générant une dynamique au sein de son organisation, le DPO
doit développer son réseau en s’alliant avec des acteurs pour bénéficier de collaborations et
ainsi s’appuyer sur des moyens complémentaires qui favoriseront la mise en conformité au
RGPD des traitements de son organisation.
Ce qui a motivé le choix du sujet de ce mémoire est mon expérience de DPO, qui m’incite à
développer des synergies de collaboration pour contrer son isolement. L’objectif du mémoire
est d’exposer que cela faisable si le DPO parvient à démontrer que la conformité au RGPD peut
1
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE
2
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
3
Le groupe G29 a été institué par l’article 29 de la directive 95/46/CE : il s’agit d’un organe consultatif européen
indépendant sur la protection des données et de la vie privée.
4
Lignes directrices concernant les délégués à la protection des données (WP243) –
https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf
5
Enquête "Mettre en œuvre le règlement général sur la protection des données" réalisée en avril 2019 par la
Délégation Générale à l'Emploi et à la Formation Professionnelle (DGEFP) avec l’appui de l’AFPA et en
partenariat avec l’AFCDP et la CNIL - https://afcdp.net/media/documents/Etude-DGEFP-Descriptif-fonction-
DPO.pdf
6
Mémoire Paris Dauphine
être source de valeur pour son organisation. Il doit pour cela argumenter pour que les différentes
composantes de la conformité au RGPD ne soient plus l’unique objectif du DPO, mais qu’elles
soient partagées par d’autres acteurs.
Le DPO pourrait ainsi appuyer ou insuffler une énergie fédératrice qui alimenterait les intérêts
de l’organisation, tout en contribuant à la conformité au RGPD. Cela permettrait d’atténuer son
positionnement de cavalier solitaire et solutionner son éventuelle absence de budget, en
intégrant le « chef d’orchestre de la conformité » dans une dynamique collective. Le DPO
deviendrait alors idéalement l’homme des transformations organisationnelles et accélérateurs
de changements au sein des organisations.
L’objectif est d’éviter que, sous la seule contrainte réglementaire, le Responsable de Traitement
ne se contente d’actions ponctuelles ou limitées qui ne pourraient concourir qu’à une conformité
minimaliste, sans une nécessaire mobilisation d’acteurs ou une transformation de
l’organisation.
Nous vous proposons donc dans le cadre de ce mémoire d’identifier les sources de valeurs qui
pourront actionner un double effet de levier en apportant à la fois de la valeur à l’organisation,
tout en contribuant de manière complémentaire à la conformité au RGPD.
Le parti pris de ce mémoire est donc de ne pas se focaliser exclusivement sur les nombreuses
exigences, les obligations réglementaires ou la crainte de sanctions. Il part de l’hypothèse qu’il
existe des moyens complémentaires pour convaincre l’organisation, la Direction Générale ou
le Responsable de Traitement d’y investir les ressources nécessaires.
7
Mémoire Paris Dauphine
Pour chacun des leviers identifiés, nous préciserons tout d’abord en quoi consistent les
exigences du RGPD dans le contexte envisagé. Nous détaillerons ensuite les spécificités du
sujet considéré, en abordant les composantes qui peuvent concourir à apporter de la valeur,
et donc inciter les organisations à en faire une réelle opportunité.
Le parti pris dans ce mémoire consiste à croire que l’acceptabilité des actions contribuant à
la conformité au RGPD est le fruit d’une valorisation par le DPO des effets de levier que ces
actions peuvent apporter à l’organisation.
8 points 30 points
Si on suit cette même approche dans le cadre de la conformité au RGPD, on peut constater
qu’avec des actions qui sont limitées ou effectuées de manière isolée par le DPO, on aboutira à
une conformité minimale et peu durable.
Cependant, les actions en lien avec la stratégie de l’organisation intégrant des acteurs pertinents
au cœur de la démarche peuvent générer en matière de mise en conformité au RGPD une
efficacité démultipliée.
Nous organisons ce mémoire en trois parties. La 1ère partie sera consacrée aux limites que peut
rencontrer le DPO dans l’exercice de sa mission à la fois vis-à-vis de son Responsable de
Traitement que des acteurs de l’organisation. Une 2ème partie décrira les enjeux et les
particularités des collectivités territoriales concernant le RGPD. Et enfin une 3ème partie
présentera les différents leviers susceptibles d’apporter de la valeur à l’organisation tout en
contribuant de manière durable à sa conformité au RGPD.
8
Mémoire Paris Dauphine
PARTIE I : Les limites de l’argumentation du DPO
2.1 Les missions du DPO et leurs limites vis-à-vis de son Responsable de Traitement
Le point b), paragraphe 1 de l’article 39 du RGPD confie au DPO la tâche de contrôler le respect
du RGPD. Le considérant 97 précise en outre que le DPO « devrait aider le responsable du
traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement ».
Les lignes directrices concernant les délégués à la protection des données7 complètent cet article
et confirment que le DPO peut émettre vis-à-vis de son Responsable de Traitement des
recommandations en cas de non-conformité, voire des alertes en éclairant sur les risques
inhérents.
Mais ces alertes peuvent ne pas être prises en considération, ce qui n’est d’ailleurs pas un signe
d’incompétence ou d’insuffisance du DPO. En effet, le Responsable de Traitement a une vision
globale des enjeux de par sa mission stratégique et transverse pour l’organisation qu’il dirige.
Il est en charge de l’arbitrage de l’intégralité des risques qui lui sont remontés et qui peuvent
impacter tant une dimension opérationnelle, un impact business, social, financier ou logistique.
Un risque de non-conformité pourrait être identifié par le DPO, analysé et relayé de manière
pertinente, sans que le Responsable de Traitement ne le priorise pour une prise en considération.
Le DPO doit donc trouver des pistes pour compléter son argumentation et persuader son
Responsable de Traitement et les décideurs que les recommandations émises peuvent apporter
de la valeur pour son organisation : ce sont ces sources que nous vous proposons d’exposer
dans la suite du mémoire.
6
Sondage réalisé par la Délégation Générale à l'Emploi et à la Formation Professionnelle (DGEFP) de février à
avril 2019 avec l’appui de l’AFPA et en partenariat avec l’AFCDP -
https://afcdp.net/etude-sur-le-metier-de-dpo/
7
Lignes directrices concernant les délégués à la protection des données (WP243) –
https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf
9
Mémoire Paris Dauphine
Maitre Thiebaut Devergranne, Avocat et Docteur en droit privé, indique8 d’ailleurs que « pour
être écouté, le DPO doit coller aux objectifs de l’organisation, utiliser des éléments de langage
« business » pour connecter le RGPD au cœur de métier ».
Collaborer ou coopérer sur des projets qui vont au-delà des seules exigences du RGPD va
permettre au DPO d’étendre son réseau d’influence, et donc de rallier d’autres ressources au
sein de l’organisation, qui serviront indirectement certaines composantes de conformité au
RGPD.
La pertinence des collaborations est par ailleurs mise en avant par une citation de Nelson
Mandela qui affirmait que « nous ne savons bien qu’aucun d’entre nous, agissant seul, ne peut
atteindre le succès ».
La partie III de ce mémoire identifiera ces leviers, qui constitueront des sujets de collaboration.
Après avoir décrit les limites de l’argumentation du DPO, nous allons identifier les enjeux qui
peuvent caractériser les collectivités territoriales.
8
Maitre Thiebaut Devergranne, vidéo intitulée « DPO : que faire si votre RT ne vous écoute pas » :
https://www.youtube.com/watch?v=_wKdrDjDqwI
10
Mémoire Paris Dauphine
PARTIE II : Les enjeux et les particularités des collectivités
territoriales concernant le RGPD
En qualité de DPO d’une collectivité territoriale, nous vous proposons d’identifier les enjeux
qui peuvent être particulièrement importants pour ce type d’organisation.
La vocation des Collectivités Territoriales n’est pas le profit mais l’intérêt général via la mise
en œuvre et la gestion de politiques publiques adaptées à leur territoire. Outre leurs obligations
qui sont similaires à celles imposées au secteur privé, les collectivités doivent également tenir
compte de législations spécifiques comme la « Loi pour une république numérique ».
Après une brève description de la Région Occitanie, nous allons identifier en quoi le contexte
des Collectivités territoriales est favorable à la mise en œuvre du RGPD, en citant les enjeux
dans les sous-chapitres suivants.
Elle est un acteur clé dans la réussite des jeunes en accueillant et en transportant plus de 230
000 lycéens ou 40 000 apprentis répartis dans 375 lycées et 245 000 étudiants dans 35 grands
écoles et universités. 50 000 demandeurs d’emploi ont bénéficié d’une formation
professionnelle financée par la Région dans plus de 550 organismes de formation financés par
la collectivité.
9
NIR : Numéro d’Inscription au Répertoire (appelé usuellement N° de Sécurité Sociale) : il s'agit d'une donnée
hautement identifiante, attribuée par l'INSEE
10
Loi NOTRé du 7 août 2015 portant nouvelle organisation territoriale de la République
https://www.vie-publique.fr/loi/20721-loi-notre-loi-du-7-aout-2015-nouvelle-organisation-territoriale-de-la
11
Mémoire Paris Dauphine
de soutien à l’internationalisation ou d’aides à l’innovation. C’est ainsi que la région Occitanie
est la deuxième région française au niveau du développement durable pour la production
photovoltaïque et d’hydro-électricité. Elle occupe également la deuxième place au niveau
agricole avec près de 70 000 exploitants, en fournissant près du tiers de la production de viande
et les trois quarts de la production de lait. Et l’Occitanie représente le premier vignoble national
avec un tiers des surfaces françaises et 51 AOP.
Les collectivités territoriales, et notamment les Régions, se caractérisent ainsi par leurs très
nombreuses compétences, ce qui suppose un nombre conséquent de traitements de données à
caractère personnel, impliquant des personnes concernées variées qui vont des dirigeants des
entreprises aux lycées, apprentis, étudiants en passant par les demandeurs d’emplois ou encore
tous les habitants du territoire.
Nous vous proposons d’exposer les principaux enjeux auxquels elles sont confrontées.
Cet enjeu peut être exposé via l’exemple suivant, qui compare en janvier 2020 les suggestions
de recherche lors de la saisie dans Google pour deux communautés de communes ou
d’agglomération : l’une ayant subi une cyberattaque en novembre 2019 (Grand Cognac) alors
que l’autre n’en a pas été victime (Grand Pic Saint Loup).
Voici présenté ci-dessous les mots qui sont suggérés par Google lorsque l’on tape le nom de
ces deux collectivités.
11
Article CNIL "un an de RGPD : une prise de conscience inédite" –
https://www.cnil.fr/fr/1-de-rgpd-une-prise-de-conscience-inedite
12
Mémoire Paris Dauphine
Cinq des huit suggestions font référence à la récente cyberattaque pour la collectivité qui en a
été victime, tandis que pour l’autre, toutes les suggestions font référence à ses compétences, et
donc contribuent à la valoriser dans ses missions.
Une cyberattaque n’est pas propice à instaurer une relation de confiance. Cela démontre
l’importance de la protection des données sur la valorisation ou la dégradation de l’image de
marque d’une collectivité.
La situation pourrait être similaire voire pire si une sanction était prononcée par la formation
restreinte de la CNIL, cette dernière ayant la capacité à la rendre publique.
Dans le contexte des collectivités territoriales, l’instauration d’une relation de confiance avec
les utilisateurs est essentielle, et pas seulement guidée par l’enjeu électoral. Elles sont en effet
engagées dans une transformation numérique profonde pour rendre un meilleur service, et la
notion de protection des utilisateurs, notamment en respectant scrupuleusement leurs droits à la
protection des données tels que réglementés par le RGPD, est absolument incontournable.
C’est la raison pour laquelle il est pertinent qu’elles apportent, au-delà de la conformité
réglementaire, une totale transparence en affichant leurs valeurs et engagements éthiques, en
vue d’alimenter le capital confiance que les utilisateurs sont susceptibles d’attendre de la part
des collectivités.
Laurent Lafaye expose dans le journal La Tribune du 28 janvier 2020 un article12 qui évoque
l’importance pour les élus de définir les conditions de partage de données dans un espace de
confiance. Il précise dans son article intitulé « De l'art d'être un élu local à l'heure de la data » :
« L’espace de confiance sera demain le cadre nécessaire […]dont la concrétisation passe par
la fourniture de données publiques et privées fiables, sourcées et sécurisées […]. Les nouveaux
décideurs publics seront ceux qui créeront les conditions de ce partage et sauront l'organiser
au bénéfice des territoires qu'ils administrent et de la population toute entière. »
12
Laurent Lafaye, cofondateur et co-CEO de Dawex, article dans le journal La Tribune du 28 janvier 2020 -
https://www.latribune.fr/opinions/tribunes/de-l-art-d-etre-un-elu-local-a-l-heure-de-la-data-838146.html
13
Mémoire Paris Dauphine
3.3 Un enjeu de développement des « usages numériques »
Après une première phase de « dématérialisation » et de « déploiement de services en ligne »,
qui n’est pas forcément aboutie dans toutes les collectivités territoriales, ces dernières se
concentrent désormais sur les atouts liés aux « usages numériques ».
Ces réflexions constituent un levier majeur de la modernisation voire de transformation de
l’action publique. Elles se concentrent notamment sur une vision centrée sur l’usager et ses
besoins, avec une mutualisation de données fréquemment partagées avec d’autres entités ou
partenaires. C’est le cas par exemple pour les parcours de formation professionnelle, pour
lesquels des données sont partagées entre les Régions et Pôle Emploi (exemple présenté au
chapitre 10).
Les collectivités doivent également, depuis la promulgation de la loi pour une République
numérique du 7 octobre 2018, ouvrir par défaut leurs données. Cette loi marque une étape
majeure dans l’avènement de l’Open Data et cette large exploitation de données permet à la fois
d’enrichir et justifier certains choix ou décisions en exploitant des données locales ou
nationales, mais aussi de partager de manière transparente une vision du territoire.
C’est dans ce contexte que la Région Occitanie, en vue de capitaliser sur les services en ligne
et mettre en place une relation de confiance a fait voter lors de son Assemblée Plénière du 19
décembre 2019 une délibération intitulée « Fourniture par la Région de services numériques
de confiance »13.
Mounir Mahjoubi, secrétaire d’Etat au numérique, avait rappelé à l’occasion du Salon Big Data
2019 : « il est du devoir des entreprises de former pour ne pas licencier les employés dont le
métier devient obsolète ».
13
Délibération de la Région Occitanie votée lors de l'Assemblée Plénière du 19 déc
https://deliberations.laregion.fr/Docs/AssembleePleniere/2019/12/19/DELIBERATION/D07QL.pdf
14
Civic Tech : ensemble des procédés, outils et technologies qui permettent d’améliorer le fonctionnement
démocratique en renforçant le rôle joué par les citoyens dans les débats et prises de décision.
14
Mémoire Paris Dauphine
Cela est notamment pertinent pour les collectivités gérant un vaste territoire, et qui veulent
s’engager dans une démarche de renforcement de la proximité avec les citoyens.
Les utilisateurs sont ainsi en capacité d’être consultés, mais peuvent aussi proposer ou participer
à des initiatives. Ainsi, certains nouveaux services peuvent émaner d’une concertation avec les
usagers, et ils sont alors le fruit d’une construction participative et collaborative.
Nous pouvons prendre pour exemple l’initiative de la Région Occitanie qui veut, selon sa
Présidente Carole Delga « tisser un contrat démocratique renouvelé avec les citoyens ». C’est
ainsi que, conformément à la finalité qui consiste à « permettre l’expression et la participation
des citoyens à l’élaboration des politiques publiques régionales à travers un ensemble d’outils
de consultation et de recueil de proposition », les services suivants sont proposés : consultations,
votations à l’initiative des citoyens, budgets participatifs, commissions citoyennes ou encore
débats citoyens contradictoires.
Les principes et valeurs de ce « contrat démocratique »15 sont publiés en toute transparence.
Ce type d’initiatives soulève des enjeux de protection de la vie privée et il est indispensable de
proposer des solutions techniques et organisationnelles basées sur des modèles vertueux qui
suscitent la confiance afin que les utilisateurs ne limitent pas leur participation : cela sera
développé dans le chapitre 7 intitulé « Sceller un pacte de confiance avec l’utilisateur ».
15
Charte régionale de la citoyenneté active de la Région Citoyenne - https://www.laregioncitoyenne.fr/Charte
Ou charte détaillée : https://www.laregion.fr/IMG/pdf/charte_citoyennete_mars2018bd.pdf
15
Mémoire Paris Dauphine
collectivité, son montant serait estimé par la CNIL en fonction de la nature, de la gravité, de la
durée de la violation des données ou de la portée du traitement concerné (nombre de personnes
affectées, niveau de dommage subi, …).
En conséquence, cet argument n’est pas sans effet, mais assez flou pour suffire à pour motiver
le Responsable de Traitement à initier les actions nécessaires de mise en conformité.
Outre l’enjeu financier non nul mais délicat à appréhender, nous venons de voir qu’il peut être
opportun pour le DPO d’une collectivité de capitaliser sur les enjeux cités et démontrer que le
RGPD est un atout pour leur mise en œuvre. Cela peut lui fournir des arguments
complémentaires pour l’initialisation ou l’accélération d’actions contribuant à la conformité.
C’est également une occasion pour identifier des alliés, motivés par certains de ces enjeux.
Nous pouvons citer par exemple la pertinence de la mise en œuvre de principes éthiques pour
instaurer une relation de confiance, le développement des « usages numériques », l’enjeu
managérial pour anticiper certaines mutations ou encore l’enjeu démocratique avec les « Civic
Teh ».
Nous allons aborder de manière détaillée ces sujets dans la partie suivante du présent mémoire.
16
Mémoire Paris Dauphine
PARTIE III : Les leviers créateurs de valeur
Comme nous l’avons précisé en introduction, nous présenterons dans les chapitres suivants les
leviers susceptibles d’apporter de la valeur à l’organisation tout en contribuant de manière
durable à sa conformité au RGPD. Nous monterons que ces leviers sont l’occasion pour le DPO
d’identifier des alliés, qui deviendront autant de ressources supplémentaires pour participer à
des actions alimentant la conformité au RGPD.
Attiré par les lois de l'inertie, devant arbitrer de nombreuses priorités ou urgences, avec des
ressources humaines et financières limitées, il peut hélas être « tentant » pour un Responsable
de Traitement d’arbitrer en faveur d’une conformité minimaliste qui n’apporte pas les
transformations nécessaires à une conformité durable.
La seconde approche consiste à conduire une véritable transformation, qui propose un projet
ambitieux, structurant et collectif pour initier une dynamique vertueuse : il s’agit alors d’aller
au-delà d’une conformité réglementaire en « visant la valeur à laquelle l’organisation est
sensible », en se focalisant donc sur des bénéfices complémentaires aux seules obligations
réglementaires.
17
Mémoire Paris Dauphine
C’est cette approche de transformation que nous nous proposons d’aborder dans le présent
chapitre.
Elle se distingue d'une « classique informatisation » car elle implique un changement culturel
important en raisonnant au niveau des usages, ce qui impacte directement l'organisation.
Il s’agit en effet de repenser les usages et les pratiques en amont avec une notion de « parcours
utilisateurs ». Cette réflexion doit être construite avec toutes les parties prenantes de
l’organisation, en intégrant en amont la définition du cycle de vie de la donnée.
Ainsi, la transformation ne se limite pas à une informatisation ou dématérialisation d’un
processus existant car cela exige une réflexion de fond partagée avec toutes les directions de
l’organisation, en phase avec sa stratégie ou sa « raison d’être » (voir cette notion au chapitre
7.5).
Une réelle transformation sera donc forcément ambitieuse car elle impliquera tous les décideurs
de l’organisation.
Cette collaboration peut être effective quel que soit le niveau d’avancement du projet de
transformation.
Si ce dernier est déjà initié, le RGPD pourra confirmer la pertinence de l’initiative en veillant à
ce que le projet contribue aux exigences de la conformité. Le DPO suivra et encouragera alors
sa mise en œuvre effective.
18
Mémoire Paris Dauphine
La transformation et la conformité au RGPD pourront ainsi s’alimenter mutuellement, en
capitalisant sur une relation « gagnant, gagnant ». La protection des données personnelles ne
peut pas être une option dans un projet de transformation, et le résultat d’une transformation
rendra la conformité plus durable, en l’intégrant dans des process impliquant de nombreuses
ressources. En ce sens, elle sera un atout essentiel pour servir la conformité au RGPD.
Si la Transformation rend l’organisation centrée sur l’usage de la donnée (la terminologie data
driven est parfois utilisée), cela participera à l’acculturation des équipes aux enjeux de la
donnée, voire à intégrer de nouvelles compétences à la fois techniques et comportementales,
comme nous l’aborderons dans le chapitre 7.
Le fait de pouvoir citer dans les motifs qui justifient la transformation une obligation
réglementaire, qui plus est dont le principe repose sur la protection de la vie privée des
utilisateurs, ne peut que contribuer à favoriser sa mise en œuvre. Il est en effet admis
que l’acceptabilité des impacts liés aux changements provient davantage de la façon dont le
changement est perçu que la transformation elle-même. La perception sera donc meilleure si
elle est liée à la protection de la vie privée.
Destiné aux petites et moyennes entreprises16, la CNIL et BPI France ont publié un guide de
sensibilisation au RGPD sciemment orienté pour permettre aux PME de progresser dans leur
maturité numérique, et donc se transformer.
La CNIL invite donc clairement les PME à profiter du RGPD pour se transformer, et le
positionne comme une opportunité pour se valoriser, en se démarquant de la concurrence. Sa
préconisation est de muer vers les nouveaux standards des organisations digitales pour « ne pas
rester sur le carreau ».
Un autre exemple est le projet de Stratégie Régionale de la Donnée de la Région Occitanie. Elle
est en cours de réflexion au sein de la Région Occitanie et se base sur la promesse suivante :
« en Occitanie on ne fait pas n’importe quoi avec les (nos)(vos) données ».
Ce type de stratégie ne nécessite pas seulement la mise en œuvre d’un projet nouveau, aussi
complexe soit-il, il exige une remise en question du positionnement de la donnée au sein de la
collectivité et interroge donc l’organisation pour réellement prendre en considération cette
ambition.
Cette stratégie, dont le fil rouge est la confiance de l’usager, se justifie car les volumes de
données sont appelés à poursuivre leur expansion et les enjeux de la gestion des données sont
de plus en plus prégnants dans les services qu’ambitionne de mettre en œuvre la Région
16
Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, publié par la CNIL et BPI
France - https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf
19
Mémoire Paris Dauphine
Occitanie. Enfin, les acteurs publics locaux sont légitimes à agir car la donnée peut ainsi
contribuer à redonner confiance dans l’action publique.
Cette légitimité est confirmée par le sondage17 réalisé à la demande de l’association Occitanie
Data en septembre 2019, qui révèle que 81% des utilisateurs se déclarent favorables à une
initiative de coopération à l’échelle régionale entre acteurs publics et privés.
L’ambition de cette stratégie va au-delà de l’exploitation des données afin de piloter les
activités, évaluer la performance voire anticiper les changements. Elle consiste à s’inscrire dans
une dynamique de transformation pour accroître la maturité des collaborateurs en gestion de
l’information, en exploitant de manière appropriée des méthodologies ou technologies pour
mieux analyser les données, les transformer en information voire en connaissance (Intelligence
Artificielle, Dataviz, …).
Dans un contexte de transformation, le DPO doit encore plus « sensibiliser et conseiller » pour
inviter à réfléchir en amont sur tout le cycle de vie des données. Comme nous venons de le voir,
le RGPD peut contribuer à donner du sens à cet ambitieux chantier.
Le DPO doit se saisir de cette opportunité de collaboration pour inciter son organisation à
prendre le virage de la transformation numérique dans un équilibre entre valorisation des
données d’un côté, et protection et respect de la vie privée de l’autre.
Nous venons de voir que la transformation d’une organisation suppose de tirer parti des données
pour optimiser les services proposés à destination des utilisateurs. En d’autres termes, la donnée
doit être considérée comme le catalyseur des usages. Mais pour pouvoir l’utiliser, cela nécessite
que les données soient valorisables et donc de qualité. C’est que nous vous proposons d’aborder
dans le chapitre qui suit.
17
Sondage Harris Interactive commandé par Occitanie Data en septembre 2019 sur les attitudes, jugements et
attentes à l’égard de la gestion des données -
https://occitaniedata.fr/le-sondage-harris-interactive-commande-par-occitanie-data-et-son-partenaire-civiteo-
devoile/
20
Mémoire Paris Dauphine
5 Levier B : Collaborer sur l’exigence de qualité de la donnée
Ainsi, une conformité au RGPD exige un niveau approprié de qualité de la donnée, et ce durant
tout son cycle de vie.
Il peut d’ailleurs être opportun de ne pas se focaliser sur les données à caractère personnel dans
le cadre de cette réflexion sur la qualité, et donc d’y intégrer les autres catégories de données.
L’exigence de qualité est essentielle quel que soit la volumétrie du traitement. Par exemple, le
concept du Big Data caractérise les données par la règle des « 4V » : Volume (masse de
données), Variété (diversité) et Vélocité (temps réel) et Valeur (qualité).
Nous vous proposons d’illustrer quelques exemples d’usage de données, pour lesquels le niveau
de qualité ne peut pas être considéré comme une option.
Tout d’abord les nombreuses productions de tableaux de bord, reportings ou bilans qui
permettent de partager une vision synthétique de données provenant de sources multiples. Cela
peut permettre un pilotage d’activités ou une évaluation de performance, en apportant un
éclairage qu’une grande quantité de données n’aurait pas pu fournir sans exploiter par exemple
des solutions de « Dataviz »18.
L’analyse prédictive est également de plus en plus utilisée pour anticiper des événements plutôt
que de les subir. Cela exige notamment des méthodologies d’analyse de données, pour les
transformer en information voire en connaissance.
Enfin de plus en plus de services exploitent grâce aux données collectées des fonctionnalités de
profilage ou de personnalisation, pouvant exploiter le potentiel de l’Intelligence Artificielle.
18
Dataviz : consiste à communiquer des données brutes en les transformant en objets visuels, points, barres,
courbes, cartographies, …
21
Mémoire Paris Dauphine
concerné par l’exigence de qualité imposée par le RGPD, et peut donc potentiellement trouver
des alliés parmi ceux qui sont impliqués dans le traitement des données.
Tout d’abord, la gouvernance exige de formaliser la responsabilisation des acteurs qui traitent
les données. Il s’agit de formaliser le cycle de vie de la donnée et donc d’identifier qui a la
capacité de collecter, stocker, enrichir, mettre à jour, consolider, éditer, archiver ou détruire des
données. Cela permet notamment de garantir un accès des données seulement aux utilisateurs
qui justifient en avoir besoin. On retrouve ici la notion du « besoin d’en connaitre », qui
restreint l'accès à une information, qui plus est lorsqu’elle est considérée comme sensible.
Enfin, une bonne gouvernance exige une organisation des données en amont pour les structurer,
afin de les qualifier, les filtrer ou les interpréter pour répondre aux besoins métier. Cela nécessite
par exemple de partager une sémantique pour qu’elles soient compréhensibles par les différents
acteurs qui les traiteront.
Le DPO doit être un allié du projet de gouvernance car les composantes décrites de la
gouvernance sont parfaitement alignées avec certaines exigences du RGPD, notamment dans
son 1er paragraphe de l’article 5. En effet, le point c) décrit une « minimisation des données » à
ce qui est strictement nécessaire au traitement.
Le point d) exige quant à lui que les données soient « exactes et si nécessaire, tenues à jour ».
Et le point f) évoque des « mesures techniques ou organisationnelles appropriées » en vue de
garantir l’intégrité et la confidentialité des données, ce qui suppose par exemple une restriction
de l’accessibilité des données exclusivement aux profils qui ont « besoin d’en connaitre ».
De même, concernant les informations à fournir lorsque les données sont collectées, le point a),
paragraphe 2 de l’article 13 du RGPD exige que soit précisée la « durée de conservation des
données à caractère personnel ».
Enfin, sans que le RGPD le précise en ces termes, la CNIL exige dans le cadre du plan d'action
pour se mettre en conformité19 de tenir une documentation interne complète sur les traitements
de données personnelles. C’est à ce titre que les organisations sont invitées à produire une
cartographie de leurs traitements de données.
Dans le cadre de la gouvernance des données, le RGPD confirme donc l’interdiction d’abuser
de la facilité engendrée par l’économie de l'abondance des données. Il est obligatoire d’en
19
CNIL : Cartographier vos traitements de données personnelles
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
22
Mémoire Paris Dauphine
garantir un niveau approprié de qualité, seul gage pour qu’elle soit synonyme de « valeur » et
« d’exploitabilité » pour l’organisation.
Et il existe une raison supplémentaire de collaboration entre le DPO et l’entité en charge des
données (Chief Data Officer, DSI ou service dédié à la valorisation des données avec des Data
Scientist, comme cela existe dans certaines organisations visionnaires de type « data driven ») :
les « données de mauvaise qualité » sont chronophages à identifier et donc coûteuses à corriger.
La seule solution cible consiste à s’orienter vers l’automatisation du traitement.
Une bonne gouvernance pose donc les fondements nécessaires pour développer des initiatives
d’exploitation des données. Cela est notamment une condition sine qua non pour que le Big
Data alimente des solutions décisionnelles voire de l’Intelligence Artificielle. Plus globalement,
la gouvernance de la donnée ne doit plus être considérée comme un simple concept, elle doit
dorénavant l’être comme une stratégie en matière de gestion de l’information.
Et il a renforcé son propos dans une interview20 : « Il n'y avait pas une véritable politique
industrielle pour notre continent. L'une de mes missions est d'y pourvoir dans les mois qui
viennent. Comme l'a rappelé Ursula von der Leyen, cette politique prendra en compte … le
traitement des données numériques. … Concentrons-nous sur la 2ème vague du B to B, et
faisons-le avec un principe clair : les Européens doivent être propriétaires de leurs données et
celles-ci doivent être traitées en Europe, selon nos règles et nos valeurs. »
La Commission européenne a dans ce cadre publié le 19 février 2020 son livre blanc sur la
régulation de l’Intelligence Artificielle (IA)21, en créant un écosystème d’excellence et de
confiance. Ce document livre des informations intéressantes pour construire dès aujourd’hui
des solutions d’IA responsables et éthiques, en attendant un cadre normatif applicable,
spécifique à l’IA.
L’objectif est de formaliser une vision européenne qui affirme notamment un point de vue
idéologique, qui consiste à promouvoir un modèle de société où le numérique est au service de
l’humain. Cette politique ne sera pas une incitation à produire des données en vue d’une
exploitation purement commerciale ou à des fins de surveillance et de contrôle. Elle a pour
ambition de donner une vision humaniste de l’usage des données, en lien avec nos valeurs
fondamentales. Pour l’Europe, le RGPD nous distingue du reste du monde avec une approche
basée sur la confiance et le respect.
20
Interview de Thierry Breton dans les Echos du 07 janvier 2020
21
Livre blanc « Intelligence artificielle. Une approche européenne axée sur l’excellence et la confiance », 19
févr. 2020 –
https://op.europa.eu/fr/publication-detail/-/publication/ac957f13-53c6-11ea-aece-01aa75ed71a1/language-fr
23
Mémoire Paris Dauphine
Cela suscitera des débats éthiques pour les utilisations futures de l’IA. Car les algorithmes
n’apprennent pas seuls, ils se nourrissent des données qu’on leur fournit en entrée pour répondre
aux questions ou problématiques posées. L’IA sera donc à l’image de ceux qui la feront, ce qui
fait de l’éthique un sujet incontournable car c’est elle qui définira les orientations et limites des
usages induits. C’est l’éthique qui définira ce que nous voulons faire, en distinguant en amont
le "faisable" et le "souhaitable". Ce point sera abordé dans le chapitre 7.
Localement dans son organisation, le DPO peut évoquer un lien avec cette « stratégie
européenne sur les données » car capitaliser ou faire référence à cette initiative peut être
opportun pour une organisation. La conformité au RGPD devient alors l’un des piliers
incontournables de la déclinaison locale de cette politique.
Cette dynamique régionale fait le constat d’une maturité insuffisante de l’offre et des acteurs
en matière d’exploitation de la donnée et d’Intelligence Artificielle (IA). Un consensus est donc
partagé par les membres d’Occitanie Data sur la nécessité de disposer d’un guichet unique
d’accès aux données et de capacités de traitement, de stockage et d’apprentissage IA.
Sa feuille de route est en cours d’écriture, et prévoira un versant opérationnel pour répondre
aux besoins de l’écosystème ; il s’agit de créer une structure régionale dédiée à l'économie de
la donnée afin d’en valoriser localement l’exploitation.
Ces initiatives sont en cohérence avec le projet de programme européen pour une « Europe
numérique »23. L'UE a en effet établi un programme de financement qui sera lancé en 2021 pour
accompagner la transformation numérique des sociétés européennes. Sur les cinq domaines
confirmés dans son "orientation générale partielle", dont deux sont concernés par le projet
d’Occitanie Data. Il s’agit de l’Intelligence Artificielle (espaces communs de données,
infrastructures de tests et d’expérimentation, passage à l’échelle des plateformes d’accès aux
technologies IA) et de « Cybersécurité et confiance ».
Occitanie Data constitue ainsi une opportunité pour les organisations pour s’intégrer dans un
écosystème dynamique et volontaire, et initier le virage de la transformation numérique par la
donnée, en respectant un équilibre entre exploitation ou valorisation d’un côté et protection de
la vie privée.
Le DPO, qui n’est pas en responsabilisation directe sur Occitanie Data, peut ainsi identifier
parmi les ressources qui mettront en œuvre ces projets des alliés potentiels, en démontrant en
22
Occitanie Data, association pour un développement éthique de l'économie de la donnée
https://occitaniedata.fr
23
Programme pour une "Europe numérique" -
https://www.consilium.europa.eu/fr/press/press-releases/2018/12/04/digital-europe-programme-council-agrees-
its-position/
24
Mémoire Paris Dauphine
amont que le RGPD apporte des réponses au débat éthique, qui est indispensable à toute
initialisation de projet d’exploitation des données.
Le potentiel de collaboration croisé est ainsi pertinent entre le DPO, qui vise une conformité au
RGPD, et les nombreux acteurs de l’organisation impliqués dans le traitement des données.
En effet, ces derniers ne peuvent être que soucieux de la qualité des données en vue de leur
valorisation, de la mise en œuvre d’une gouvernance des données ou de cadre susceptibles de
les guider dans leur démarche.
La valeur ajoutée de ce type d’initiative pour le DPO est de s’assurer d’une conformité au
RGPD durable dans le temps, en impliquant une organisation formalisée, des process établis et
des ressources adéquates. Mais si cela constitue pour lui une occasion d’identifier des alliés,
encore faut-il pouvoir les fédérer et être en capacité de les intégrer dans une dynamique autour
de valeurs communes.
Pour appuyer ces propos, la dernière feuille de route stratégique de la CNIL24 précise que « la
CNIL doit faire définitivement entrer la protection des données dans les mœurs et la culture
quotidienne des professionnels, condition impérative du succès du RGPD et de la sécurité
juridique des actions de la CNIL ».
24
Feuille de route stratégique de la CNIL pour la période 2019-2021 :
https://www.cnil.fr/sites/default/files/atoms/files/cnil-feuille-de-route-strategique-2019-2021.pdf
25
Mémoire Paris Dauphine
Tout d’abord, Edgar H. Schein définit dans son livre « Organizational Culture and
Leadership »25 la culture d'entreprise comme « un ensemble de croyances partagées que le
groupe a appris au fur et à mesure qu'il a résolu ses problèmes d'adaptation, qui a fonctionné
suffisamment bien pour qu'il soit considéré valide, et par conséquent est enseigné aux nouveaux
membres comme la manière appropriée de percevoir, de penser et de ressentir par rapport à
ces problèmes ».
Ben Horowitz en propose une définition courte et efficace26 : « La culture, ce n’est pas un
ensemble de règles magiques qui font que tout le monde se comporte comme on le voudrait.
C’est un système de comportements que vous espérez que la plupart des gens suivront la plupart
du temps. »
Ainsi, on ne peut pas limiter la culture à un ensemble de valeurs imposées ou assénées lors de
discours ou réunions, elle comporte des principes qui doivent être coconstruits et surtout
partagés collectivement.
Il est donc opportun que le DPO s’implique dans la définition et la mise en œuvre de cette
culture, pour que la protection des données en constitue l’un des domaines clé et devienne ainsi
un réflexe dès la phase de conception d’un traitement. Les bonnes pratiques exigées par le
« Privacy by Design » constituent un socle solide pour la Culture à développer.
Le DPO ne peut donc pas agir seul et c’est la raison pour laquelle un réseau opérationnel de
référents a été nommé au sein des directions pour collaborer à la mise conformité des
traitements. Des présentations leur ont été dédiées afin de leur expliquer leur mission initiale.
25
Edgar H. Schein, Organizational Culture and Leadership (Wiley - 2016)
26
Ben Horowitz, What You Do Is Who You Are : How to Create Your Business Culture (Dunod 2019)
26
Mémoire Paris Dauphine
Elle consiste globalement à recenser les traitements, compléter les fiches de registre et se
positionner sur chaque nouveau projet en adoptant les bonnes pratiques issues du « Privacy by
Design » afin qu’ils adoptent des réflexes sur le sujet de la protection des données.
Les référents sont ainsi positionnés en qualité de relai intermédiaire entre le DPO et la Direction
en charge du traitement.
Un plan de formation reste à formaliser avec une animation dynamique afin de professionnaliser
et valoriser cette communauté, qui deviendrait le « noyau dur » de la donnée. Le but est
également de faire acquérir des compétences comportementales transversales pour que ces
relais sachent motiver et influencer.
Mais exploiter les nombreuses données valorisées conformément à la culture de la protection
des données nécessite une acceptation de partage de la part des personnes concernées. Cela
nécessite un cadre de confiance et nous vous proposons d’aborder cette problématique dans le
chapitre suivant.
7.1 Les obligations légales du RGPD dans le cadre de la relation avec l’utilisateur
Le RGPD confirme clairement la protection des données personnelles comme un droit
fondamental, ce principe étant posé dès ses deux premiers considérants, en faisant notamment
référence à la Charte des droits fondamentaux de l’Union européenne. Si les considérants ne
font pas force de loi, ils explicitent le règlement et constituent une source pour son
interprétation.
Son deuxième considérant précise quant à lui que « Le présent règlement vise à contribuer à la
réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au
progrès économique et social, à la consolidation et à la convergence des économies au sein du
marché intérieur, ainsi qu’au bien-être des personnes physiques ».
27
Mémoire Paris Dauphine
L’article 12 du RGPD décrit ainsi les exigences de « transparence des informations » à rendre
accessibles aux personnes concernées, les articles 13 et 14 précisant le contenu : il est ainsi
confirmé la nécessité d’une information « concise, transparente, compréhensible et aisément
accessible ».
Mais la confiance n’est pas binaire, elle procède d’une démarche complexe qui peut évoluer en
fonction du contexte. Elle peut en effet différer si on considère un échange avec une société du
groupe des GAFAM27 ou des BATX28, une entreprise nationale, l’Etat ou une collectivité. Le
niveau de confiance peut également dépendre du rapport au numérique, en fonction de ses
usages ou de la perception de ses effets sociétaux ou en termes de progrès, comme l’expose en
détail le sondage d’Occitanie Data, présenté au chapitre 7.4.
Pour appuyer ce propos, Michel Sapin, en sa qualité de Ministre des Finances et des Comptes
publics avait affirmé le 30 mars 2016 à Bercy que « la transparence est une conquête jamais
achevée : elle est nécessaire … car l’opacité est la mère de tous les soupçons, de toutes les
défiances, de toutes les démagogies, de toutes les dérives ».
De nombreux sondages viennent appuyer ces propos. Parmi eux, le baromètre CNIL - LINC
201930 confirme que 84% des internautes sont très attentifs dans le paramétrage de leur
navigation, démontrant que les pratiques de protection des données progressent et qu’il est
désormais inscrit dans les usages d’être vigilant notamment quand cela concerne directement
sa vie privée.
De même, une autre enquête31 fait ressortir que « la confidentialité des données est une
préoccupation pour 96% des consommateurs … et que 88 % des personnes interrogées
cesseront de recourir à un service utile en cas de doute quant à la façon dont leurs données
sont traitées ».
27
GAFAM : acronyme des géants du Web américains — Google, Apple, Facebook, Amazon et Microsoft.
28
BATX : acronyme des géants du Web chinois - Baidu, Alibaba, Tencent et Xiaomi.
29
Général Marc Watin-Augouard en janvier 2020 lors du salon FIC - Interview :
https://www.youtube.com/watch?v=2O6irWV3CEc
30
Baromètre CNIL - LINC 2019 : des internautes toujours très attentifs dans leur navigation
https://linc.cnil.fr/fr/barometre-linc-2019-les-pratiques-de-protection-des-donnees-progressent
31
Enquête CES2020 Etude CITE Research Dassault Systèmes de janvier 2020, abordant la nécessité de partage
des données pour bénéficier d’une personnalisation du service :
https://mydigitalweek.com/ces2020-etude-cite-research-dassault-systemes-vers-une-personnalisation-et-une-
monetisation-des-donnees/
28
Mémoire Paris Dauphine
Nous ne pouvons que constater que les questions de confiance prennent de l’ampleur à mesure
que le potentiel des technologies émergentes se précise et que leur adoption gagne du terrain.
Chaque organisation se doit de résoudre le dilemme découlant d’une tension entre « l’art du
possible » et « l’art de l’acceptable ». Le challenge est que chacun contribue à créer un futur
plus optimiste et rassurant, notamment en faisant preuve de transparence
La définition d’un cadre éthique peut contribuer à favoriser la confiance des utilisateurs en
atténuant leur défiance. Dans ce cadre, les exemples suivants permettre de montrer la pertinence
pour une organisation d’aller au-delà des obligations imposées par le RGPD.
A cette fin, un sondage quantitatif et qualitatif33 a été réalisé à la demande d’Occitanie Data en
septembre 2019. Son objectif est de révéler les réticences ou les facteurs de réassurance des
utilisateurs lorsqu’il s’agit de partager des informations relevant de leur vie privée.
Parmi les facteurs potentiels de réassurance, ce sondage identifie les bénéfices attendus en
retour de l’exploitation des données et le niveau de confiance dans les acteurs avec qui ils
partagent ces données. Ainsi, une faible majorité (52%) est favorable à ce que des acteurs
publics et des acteurs privés échangent des données et les exploitent « afin d’améliorer des
services publics ou des produits et des services privés ». Et 81% se déclarent favorables à une
initiative de coopération à l’échelle régionale entre acteurs publics et privés.
Ce sondage révèle également que le fait d’exposer clairement les finalités justifiant la collecte
et l’exploitation des données est susceptible de lever leurs réticences. En effet, 76% sont
demandeurs d’informations régulières et de pédagogie sur l’utilisation des données et 69%
expriment le souhait de l’adoption d’une charte éthique. Cela signifie clairement que si on
présente la finalité du traitement des données, le niveau de confiance s'améliore.
Occitanie Data est donc en cours de production d’une Charte Ethique, qui a pour objectif de
présenter à la fois une fonction pédagogique en explicitant clairement le projet et ses intentions,
et une fonction d’engagement de tous les partenaires participant au projet. Il est intéressant de
noter que si la version initiale de la charte éthique a été produite par un groupe d’experts, la
version qui sera publiée sera rédigée selon une méthodologie collaborative originale.
32
Occitanie Data, association pour un développement éthique de l'économie de la donnée
https://occitaniedata.fr
33
Sondage Harris Interactive commandé par Occitanie Data en septembre 2019 sur les attitudes, jugements et
attentes à l’égard de la gestion des données -
https://occitaniedata.fr/le-sondage-harris-interactive-commande-par-occitanie-data-et-son-partenaire-civiteo-
devoile/
29
Mémoire Paris Dauphine
Christophe Abrassart34, professeur de design et chercheur à l'université de Montréal, a en effet
initié une démarche pour la déclaration de Montréal sur l'IA, qualifiée de « Design Fiction ».
Le principe du « Design Fiction » est d’impliquer les utilisateurs dans des scénarios prospectifs.
Il s’agit d’initier et d’alimenter des cas d’usage, de les mettre à l'épreuve en suscitant des débats.
En réaction à ces projections, la suite consiste à exprimer des recommandations pour le présent
afin que les scénarios prospectifs négatifs ne se produisent pas demain.
Plus globalement, il faut « designer » le champ des « possibles » pour garantir un résultat
conforme et pertinent, pour éviter de se focaliser sur le champ des « probables » par le seul
examen des données.
C’est dans ce cadre que certaines entreprises se définissent une « raison d’être ». Elle consiste
à déterminer en toute transparence l’ambition poursuivie et représente donc une opportunité
pour expliquer sa vision, et être mieux compris par ses utilisateurs. En élargissant son rôle au-
delà de la sphère économique, une entreprise affiche ainsi que son ambition est plus large, et
non centrée sur l’unique recherche du profit. Cette notion fait émerger le nouveau paradigme
de « l’entreprise citoyenne ».
Cette notion est abordée dans le texte de la loi Pacte, afin de permettre d’inscrire une « raison
d’être dans leurs statuts » : « Les statuts peuvent préciser une raison d'être, constituée des
principes dont la société se dote et pour le respect desquels elle entend affecter des moyens
dans la réalisation de son activité ».
On peut citer l’exemple du Président d’Orange, qui annonce la « raison d’être » de son groupe
en décembre 2019 : « Acteur de confiance qui donne les clés d’un monde numérique
responsable ». « Bâtir la confiance en notre société » est celle de PWC, annoncée en octobre
2019 par Bob Moritz, président du réseau international d'audit-conseil.
34
Christophe Abrassart, Professeur agrégé à l'Université de Montréal, Responsable du Laboratoire écodesign -
https://design.umontreal.ca/professeurs/fiche/in/in16712/sg/Christophe%20Abrassart/
35
René Dosière, président de l’observatoire de l’éthique publique - Tribune dans Le Monde du 17/01/20 -
https://www.lemonde.fr/idees/article/2020/01/13/rene-dosiere-faisons-de-la-france-une-nation-pionniere-en-
matiere-d-ethique-des-affaires_6025642_3232.html
30
Mémoire Paris Dauphine
Et sans qu’il s’agisse d’une « raison d’être »,
Apple a confirmé l’exigence de la confiance en
misant, lors du Consumer Electronic Show (CES)
de Las Vegas en 2019 sur le slogan :
Il devient ainsi fondamental qu’une organisation soit en cohérence vis-à-vis de ses valeurs, qui
définissent un « code de conduite ». Le fait de communiquer et donc de mettre en avant ces
valeurs engagera l’organisation dans une démarche éthique et contribuera à donner confiance à
l’utilisateur. Si l’engagement suppose des services respectueux de la vie privée, cela pourrait
atténuer l’inquiétude des utilisateurs, en leur faisant accepter de partager leurs données.
Alain Damasio décrit dans son roman de Science-Fiction « Les Furtifs »36 une société dans
laquelle chaque citoyen est déclaré libre mais tracé en permanence, et où chacune de ses actions
produit de la donnée commercialisable, grâce à une qualification enrichie par l’IA qui favorise
le marché de la donnée. Dans cette projection, « l’aliénation n’a même plus à être imposée, elle
est devenue un self serf vice ».
Le risque n’est hélas pas nul que cette fiction devienne réalité. Car les technologies évoquées
existent ou elles sont en cours de recherche au sein des GAFAM américaines ou des BATX
chinoises. Le rejet de ce type de finalité pour nos organisations doit être motivé par nos valeurs
éthiques, et non par la seule crainte de ne pas être conforme au RGPD !
Nous pouvons donc constater que nous nous dirigeons vers une exigence éthique renforcée,
imposée par les utilisateurs. Ce n’est plus la technologie seule qui contraindra les futurs usages
car c’est uniquement en créant un contexte de confiance qu’ils accepteront plus facilement de
partager leurs données. Dans ce cadre, le DPO a l’opportunité d’argumenter que le RGPD invite
à (re)mettre l'humain au cœur du fonctionnement, des valeurs et des processus gérés par nos
organisations.
Il s’agit de l’essence même du règlement, son premier considérant affirmant que « toute
personne a droit à la protection des données à caractère personnel la concernant ». Le RGPD
n’est donc pas seulement à considérer comme une obligation ou un projet spécifique à piloter.
Il décrit la voie pour que toute organisation définisse de manière transparente vis-à-vis de ses
utilisateurs une cible éthique qui inspire la confiance.
Nous vous proposons désormais de voir la valeur ajoutée que peut apporter une culture de
l’écrit, et en quoi le RGPD permet d’en démontrer la valeur ajoutée.
36
Alain Damasio, Les Furtifs (La Volte) - 2019
31
Mémoire Paris Dauphine
8 Levier E : Développer une culture de l’écrit, voire capitaliser
sur le programme de « compliance »
Nous pouvons également citer les descriptions de l'encadrement des transferts de données hors
de l'Espace Economique Européen ou de l’un des pays bénéficiant d’une mesure d’adéquation
(selon l’article 45 du RGPD). On peut citer dans ce cadre les règles d’entreprise contraignantes
(BCR) telles que décrites à l'article 47 du RGPD ou les mesures appropriées décrites à l'article
46 (clauses contractuelles types, codes de conduite ou mécanismes de certification),
32
Mémoire Paris Dauphine
Par expérience, la fiche de registre est d’ailleurs parfois la meilleure synthèse permettant de
présenter les différentes composantes d’un traitement et est une opportunité pour consolider la
performance de l’organisation.
La « compliance » peut ainsi être considérée comme une action proactive qui vise à organiser
les procédures et les moyens nécessaires au respect de la réglementation par l'organisation. Elle
doit être portée par l'engagement des dirigeants et doit être a minima formalisée par un code de
conduite, une charte interne ou la mise en place de procédures.
Le DPO peut ainsi argumenter que la charge non négligeable qu’exige la documentation du
RGPD permet d’alimenter la compliance, cette dernière étant à considérer comme une source
de performance pour l’organisation, voire un atout de compétitivité. Les ressources à investir
ou la complexité de mise en œuvre se traduit ainsi en avantage.
Nous voyons donc la synergie qui peut être identifiée entre le plan de conformité au RGPD et
le programme de « compliance ». Tout d’abord pour le RGPD, le plus délicat n'est pas d'établir
un programme de conformité, mais de l’intégrer dans le fonctionnement de l’organisation que
sous-tend la « Compliance ». Et le DPO pourra mettre en avant le caractère obligatoire du
RGPD et son réseau de référents, qui sont des acteurs sensibilisés et responsables, qui peuvent
contribuer activement à la mise en œuvre d’un programme de compliance. La personne en
charge de ce programme doit donc devenir l’alliée du DPO.
Dans un autre registre, la transition énergétique est une préoccupation majeure de notre société
et aucune organisation ne pourrait se permettre ne pas s’en soucier. Nous vous proposons de
voir en quoi le DPO peut identifier des alliés sur ce sujet.
9.1 Les obligations légales du RGPD dans le cadre du volume des données
Le point c) du paragraphe 1 de l’article 5 du RGPD confirme les données collectées doivent
être « adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des
finalités pour lesquelles elles sont traitées (minimisation des données) ».
33
Mémoire Paris Dauphine
Le point e) du même article précise que ces données doivent être « conservées sous une forme
permettant l'identification des personnes concernées pendant une durée n'excédant pas celle
nécessaire au regard des finalités pour lesquelles elles sont traitées ».
L'article 25 confirme ces principes en exigeant qu'ils soient pris en considération dès la phase
de conception du traitement et par défaut, selon les principes du Privacy by Design et "Privacy
by Default".
D’un côté le précédent sondage révèle une prise de conscience des utilisateurs, l’impact
environnemental du numérique jugé préoccupant est amplifié par le fait que la transition
énergétique apparait de plus en plus comme une nécessité au vu des catastrophes climatiques.
Et d’autre part, la transition numérique semble incontournable, et transforme nos modes de vie
tant dans le cadre personnel que professionnel. Le secteur du numérique (serveurs, réseaux,
ordinateurs, smartphones, …) génère des émissions de gaz à effet de serre significatives au
niveau mondial, plus importantes que celles du secteur de l'aviation. Ces dernières sont
notamment proportionnelles au volume de données consommées. Cette transition est de plus
amplifiée par le déploiement de capteurs dans les objets connectés ou avec le potentiel
d’échange de données apporté par la future 5G.
Les initiatives dans les secteurs numérique et énergétique sont rarement élaborées de manière
convergente. Mais le DPO peut inciter à accorder et lier ces politiques pour réussir la
37
Baromètre du numérique ARCEP 2019
https://www.arcep.fr/uploads/tx_gspublication/dossier-presse-barometre-num-2019.pdf
34
Mémoire Paris Dauphine
transformation numérique en respectant certes la conformité au RGPD, également en prenant
le virage énergétique, ce dernier apparaissant comme une attente voire une exigence de la part
des utilisateurs.
Sans prétendre que le RGPD serait la solution, il peut néanmoins enclencher une dynamique
vertueuse. Le premier sujet focaliserait sur les obligations liées à la minimisation des données
collectées et conservées, cela contribuant à réduire le stockage, les sauvegardes et les calculs
réduisant ainsi l’empreinte énergétique.
Le deuxième sujet de collaboration serait d’intégrer au sein des bonnes pratiques du « Privacy
by Design » une invitation à élaborer de manière convergente la dimension de conformité au
RGPD et l’approche environnementale. Ce positionnement constitue une occasion pour le DPO
de se faire des alliés parmi les promoteurs de la transition énergétique.
Le DPO peut également intégrer une autre bonne pratique dans le cadre du « Privacy by
Design», en vue de consolider les données dans des bases de référence.
En conséquence, le responsable du traitement doit prendre les mesures appropriées afin que des
données inexactes ou incomplètes au regard des finalités soient effacées ou rectifiées.
35
Mémoire Paris Dauphine
Le premier consiste à harmoniser et unifier la gestion des contacts de la Région Occitanie. La
Région Occitanie gérait initialement ses contacts pour ses activités protocolaires, sa
communication institutionnelle et les besoins de ses directions opérationnelles de manière non
harmonisée via divers processus ou outils.
Ces différents traitements de contacts constituaient un risque avéré de non-conformité au RGPD
car l’absence de stockage centralisé ne donnait pas de vision consolidée des personnes
concernées. Ainsi, il était délicat de maitriser leur consentement et de répondre favorablement
aux demandes d’exercice de droit (accès aux données, retrait du consentement et effacement
des données)
C’est dans ce contexte qu’il a été décidé de faire basculer progressivement l’ensemble des
usages des différentes directions dans un outil unique : le référentiel correspondant sert la
conformité au RGPD, mais a également été positionné pour servir la stratégie de la gestion des
contacts
Un 2ème exemple consiste à partager les données des personnes en recherche d’emploi. Le
champ de la formation professionnelle des personnes en recherche d’emploi implique à la fois
l’État, Pôle Emploi et les Régions. Si chacune a développé un système d’information adapté à
son propre besoin, il est incontournable de partager ses données pour disposer d’une vue
consolidée et collectivement renforcer le suivi et la mesure d’impact des actions déployées.
La solution en cours de mise en œuvre est basée sur la capacité à mettre les données à
disposition des différents systèmes de gestion à partir d’un agrégateur de données, qui organise
les échanges.
Un troisième exemple consiste à unifier et industrialiser la gestion des identités des entreprises.
La loi NOTRé38 a confirmé que « le conseil régional a compétence pour promouvoir le
développement économique ». Dans ce cadre, de nombreux acteurs régionaux collaborent pour
gérer les relations avec les entreprises et il a été donc jugé pertinent de mettre en œuvre un
service d’identités numériques pour pouvoir les identifier et les authentifier de manière unique.
Un lien a également été établi avec le programme « Dites-le nous une fois »39 proposé par la
direction interministérielle de la transformation publique (DITP), en vue de simplifier la vie
des entreprises.
Citant l’exigence d’exactitude des données imposées par le RGPD, le DPO peut donc appuyer
ou conforter les initiatives identifiées pour constituer des référentiels de données, ces derniers
contribuants in fine à optimiser le niveau de qualité.
Mais ces initiatives sont susceptibles d’impliquer de nombreux acteurs, il est donc pertinent et
même vertueux que chacun d’eux soit responsabilisé en fonction de son rôle : le DPO peut là
encore accompagner cette démarche en cadrant avec les obligations du RGPD.
38
Loi NOTRé du 7 août 2015 portant nouvelle organisation territoriale de la République
https://www.vie-publique.fr/loi/20721-loi-notre-loi-du-7-aout-2015-nouvelle-organisation-territoriale-de-la
39
Programme « Dites-le nous une fois » de la DITP :
https://www.modernisation.gouv.fr/home/dites-le-nous-une-fois-un-programme-pour-simplifier-la-vie-des-
entreprises
36
Mémoire Paris Dauphine
11 Levier H : Définir en amont les rôles et responsabilités des
acteurs d’un projet
11.1 Les obligations légales du RGPD dans le cadre de la définition des responsabilités des
acteurs d’un projet
L’article 4 du RGPD précise certaines définitions. C’est ainsi que son Paragraphe 7 définit le
Responsable de Traitement comme « la personne morale (entreprise, commune, etc.) ou
physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la
façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son
représentant légal ».
Ces définitions sont structurantes et le RGPD permet d’en avoir une lecture commune pour tous
les pays de l’UE, voire de l’EEE : elles définissent en amont le rôle de chaque acteur, reste
ensuite à identifier les responsabilités de chacun.
Le 2ème exemple du chapitre 10.3 a notamment nécessité une convention entre l’entité en charge
du SI de Pôle Emploi et les différentes Régions. Et dans le cadre du 3ème exemple cité au chapitre
10.3, le fait que le DPO exige ce partage de responsabilité a permis d’établir une convention
numérique entre la Région et son agence de développement économique. Ce document qui
n’avait jamais été produit est qualifié de particulièrement vertueux par la Direction des Affaires
Juridiques.
Le fait que le DPO se positionner un amont du projet pour cadrer et exiger ce partage de
responsabilités entre les différents acteurs peut réellement être considéré comme vertueux, et
laisse présager une bonne initialisation de la collaboration pour la suite du projet.
38
Mémoire Paris Dauphine
Articulation des leviers porteurs de valeur :
Le schéma ci-dessous synthétise l’articulation entre les leviers porteurs de valeur qui ont été
présentés dans les chapitres précédents.
La nécessaire transformation a besoin de consommer des données de qualité pour alimenter ses
services, données qui ne peuvent être obtenues de la part des personnes concernées que dans un
cadre de confiance et si le service est apprécié. Ce cercle vertueux sera d’autant mieux alimenté
si une culture de la donnée permet de garantir un niveau de qualité adapté, en intégrant
notamment une culture de l’écrit, la prise en compte des enjeux de développement durable, la
constitution de référentiels de données et la définition des responsabilités entre les différents
acteurs internes ou externes d’un traitement.
Levier
Exigence de Transformation Cadre de
Nouveaux Usages service apprécié D confiance
Cercle vertueux
à alimenter
DONNEES
Levier
de Qualité B
Levier
E F G H
Enjeu Constitution Définition
Culture de
développement de rôles et resp
l’écrit
durable référentiels des acteurs
Gestion de la Minimisation des Exigence Repenser la relation
connaissance, données, convergence d’exactitude contractuelle,
compliance « by design » des relations plus saines
dynamiques
39
Mémoire Paris Dauphine
12 Conclusion
Nous venons donc de voir que pour lutter contre l’isolement du DPO et ses ressources limitées,
le RGPD peut être positionné non exclusivement comme une obligation légale, mais comme un
projet collectif, créateur de valeur pour l’organisation.
Pour cela, le DPO doit s’interroger sur les composantes du RGPD pouvant s’aligner sur la
« Stratégie de l’organisation » ou sur d’autres ambitions. Il doit identifier les sujets pouvant
motiver d’autres ressources en vue de susciter des collaborations. Pour cela, il reste positionné
dans son rôle de conseil et de sensibilisation, en attirant l'attention grâce à une argumentation
ciblée pouvant générer des prises de conscience.
Il doit tout d’abord se positionner sur l’enjeu du développement des « usages numériques » en
argumentant qu’une transformation ne peut être initiée sans se fonder sur la protection des
données personnelles. L’esprit du RGPD doit inciter à repenser la façon de gérer les données,
en permettant aux utilisateurs d’en conserver le contrôle pour protéger leur vie privée. Ainsi, le
DPO sera intégré dans les réflexions liées aux projets de transformation, en générant des
collaborations constructives grâce au cadrage apporté par le RGPD.
Ce sont les données qui alimenteront les usages issus de la transformation, et le DPO s’attachera
à l’exigence de qualité, se faisant ainsi des alliés parmi tous ceux qui utilisent cette donnée. Un
bon niveau de qualité est en effet indispensable pour valoriser ou « faire parler » une donnée,
la convertir en information, en la positionnant comme un actif clé voire stratégique de
l’organisation.
Pour pouvoir bénéficier de données, les utilisateurs doivent accepter de les partager et un cadre
de confiance permet d’atténuer leur défiance. Le DPO peut se positionner comme un allié pour
répondre à cet enjeu éthique en coconstruisant ce cadre de confiance. Cette transparence dans
l’usage des données constitue une opportunité pour afficher les valeurs et engagements de
l’organisation, le DPO pouvant en profiter dans le cadre de l’obligation d’information.
Puisque le traitement des données devient l'affaire de très nombreux acteurs, de multiples
exigences doivent être adoptées par tout un écosystème, ce qui est une occasion pour développer
et diffuser une culture de la donnée, pour ancrer dans de bonnes pratiques toute initiative
permettant de s’adapter aux nouveaux enjeux liés aux données et contribuer au respect des
obligations du RGPD. Parmi les réflexes à faire adopter, on peut citer l’encouragement d’une
«culture de l’écrit » pour profiter du bénéfice d’une documentation pertinente en capitaliser sur
les connaissances. De même, enclencher une dynamique vertueuse en intégrant l’approche
environnementale dans les bonnes pratiques du « Privacy by Design » permet une collaboration
potentielle avec les acteurs soucieux de réduire l’impact environnemental du numérique. Enfin,
cette culture peut conforter les initiatives de constitution de référentiels de données et inviter à
repenser la relation contractuelle en partageant les responsabilités entre les différents acteurs
d’un traitement.
Grâce à cette démarche, la conformité au RGPD pourra s’intégrer dans un projet d'entreprise
porteur de valeur, au sens où il apporte de réels bénéfices non exclusivement focalisés sur la
conformité réglementaire. Et la conformité s’en trouvera confortée à la fois car elle bénéficiera
de ressources financières et humaines supplémentaires, mais aussi parce que la culture
développée et les process décrits permettront une conformité durable, avec une efficacité
40
Mémoire Paris Dauphine
démultipliée grâce à un réseau d’acteurs qui y contribue, plus efficacement qu’avec un DPO
isolé.
Mais pour cela, le DPO doit faire preuve d’une certaine aisance relationnelle et doit savoir
susciter la confiance pour transformer les ressources identifiées en alliés. Bénéficier de
l’implication des acteurs exige en effet des qualités complémentaires qui vont au-delà des
compétences juridiques, techniques et organisationnelles exigées pour ce type de poste. Le DPO
doit faire preuve de compétences comportementales transversales, souvent qualifiées de soft
skills, telles qu’avoir le sens du collectif ou l’esprit d’équipe ou encore savoir gérer le temps,
car nombre des initiatives citées seront chronophages. Savoir animer un réseau en faisant preuve
de qualités pédagogiques et d’écoute active est également une compétence clé, qui exige une
adaptation de méthodologie en fonction de l’auditoire. Il doit avant tout se positionner comme
un « porteur de solutions ou d’idées », et non pas comme un frein à tout souhait d’évolution.
Hors relation hiérarchique, savoir motiver et influencer des acteurs exige des compétences qui
sont plus complexes à acquérir, développer et mesurer que les compétences purement
« techniques ». Mais ces compétences comportementales transversales sont indispensables au
DPO, s’il veut pouvoir s’intégrer dans un véritable projet d’entreprise avec de nombreuses
ressources impliquées, gage d’une conformité solide qui pourra ainsi être maintenue sur le long
terme.
La crise actuelle du Covid-19 permet de mettre en perspective a minima deux des leviers
présentés. Tout d’abord, nous constatons vis-à-vis des personnes concernées une prise de
conscience effective des problématiques liées à la protection de la vie privée. En effet, que ce
soit pour les traitements anonymisés et agrégés de traçage de la population, le dispositif
numérique d’attestation de déplacement ou encore le projet StopCovid ayant pour finalité
d’identifier les chaînes de transmission, les esprits s’enflamment collectivement. Pour tous ces
usages, on ne peut que mesurer la nécessité d’un cadre de confiance respectueux de la vie privée
pour créer les conditions d’une acceptabilité vis-à-vis de ces techniques potentiellement
intrusives.
Le RGPD permet d’apporter une cadre juridique pertinent en imposant une orientation qui
privilégie la transparence dans l’usage en délimitant la finalité, le respect des libertés
individuelles, le consentement libre et éclairé et en limitant les durées de conservation. Ce
règlement permet ainsi d’explorer les opportunités technologiques adaptées à une situation
inédite, tout en apportant des garanties adaptées quant aux limites d’usage et au risque
d’intrusion dans la vie privée. Le Comité Européen de la Protection des Données ainsi que la
Convention 108+ ont confirmés que « l’urgence est une condition juridique qui peut légitimer
des restrictions des libertés à condition que ces restrictions soient proportionnées et limitées à
la période d’urgence ».
41
Mémoire Paris Dauphine
ANNEXE 1 - Liste des abréviations et rappel de définitions
Voici la liste des abréviations utilisées dans le présent mémoire, avec une brève définition :
• RGPD : le Règlement Général sur la Protection des Données personnelles est le texte
de référence en matière de protection des données à caractère personnel. Il renforce la
protection des données pour les individus au sein de l'Union Européenne et définit les
conditions dans lesquelles des traitements de données à caractère personnel peuvent être
effectués en cadrant l’utilisation des données personnelles pour qu’elle soit responsable,
pertinente et limitée aux stricts besoins.
• DCP : une Donnée à Caractère Personnelle est, selon l’article 4 du RGPD, toute
information permettant identifier, directement ou indirectement une personne physique.
Il peut s’agir :
o d’un identifiant, tel qu'un nom, un numéro d'identification, des données de
localisation, un identifiant en ligne,
o d’un élément spécifique propre à son identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale.
• UE : Union Européenne
42
Mémoire Paris Dauphine
Précisions concernant la terminologie :
43
Mémoire Paris Dauphine
ANNEXE 2 : Référence des notes figurant en bas de pages
45
Mémoire Paris Dauphine
34. Christophe Abrassart, Professeur agrégé à l'Université de Montréal, Responsable du
Laboratoire écodesign -
https://design.umontreal.ca/professeurs/fiche/in/in16712/sg/Christophe%20Abrassart/
35. René Dosière, président de l’observatoire de l’éthique publique - Tribune dans Le
Monde du 17/01/20 -
https://www.lemonde.fr/idees/article/2020/01/13/rene-dosiere-faisons-de-la-france-
une-nation-pionniere-en-matiere-d-ethique-des-affaires_6025642_3232.html
36. Alain Damasio, Les Furtifs (La Volte) - 2019
37. Baromètre du numérique ARCEP 2019
https://www.arcep.fr/uploads/tx_gspublication/dossier-presse-barometre-num-
2019.pdf
38. Loi NOTRé du 7 août 2015 portant nouvelle organisation territoriale de la République
https://www.vie-publique.fr/loi/20721-loi-notre-loi-du-7-aout-2015-nouvelle-
organisation-territoriale-de-la
39. Programme « Dites-le nous une fois » de la DITP :
https://www.modernisation.gouv.fr/home/dites-le-nous-une-fois-un-programme-pour-
simplifier-la-vie-des-entreprises
46
Mémoire Paris Dauphine