Mémoire DU DPO JFMangin

Université Paris-Dauphine
DU Délégué à la protection des données personnelles

Promotion 2019-2020
INTITULE DU MEMOIRE :
« RGPD : comment passer d’une obligation légale

à une approche collective créatrice de valeur »
Présenté par
Jean-François Mangin
Sous la direction de
Annick Haegel
Mai 2020
1
Mémoire Paris Dauphine
Les opinions exprimées le sont à titre personnel et n’engagent que leur auteur
Remerciements
Avant de débuter la lecture de ce mémoire, nous souhaitons vivement remercier les personnes
qui ont contribué, chacune à leur manière, à la réalisation et à l’aboutissement de ce travail.
Nous remercions :
• Le responsable du DU, Jean-Luc Sauron, qui m’aura permis de monter en compétence
grâce à l’enseignement d’excellence dispensé dans le cadre de ce cursus de formation,
• La directrice de mémoire, Annick Haegel pour son attention et son implication, qui m’a
été d’un soutien très efficace pour la production du présent mémoire,
• Les intervenants du DU qui ont chacun, grâce à leur expertise et qualité pédagogique,
apporté des réflexions qui auront alimenté ce travail,
• La Région Occitanie et ses nombreux collaborateurs qui sont impliqués dans leurs
missions, et qui ont inspiré certaines réflexions ou propos du présent mémoire.
2
Note de synthèse
Dans le cadre de ses fonctions, le DPO ne bénéficie pas d’équipe ou au mieux de ressources
très réduites. S’il veut atteindre son objectif et générer une dynamique au service de la
protection des données à caractère personnel, il devra s’allier avec des acteurs pour bénéficier
de collaborations et ainsi décupler les ressources susceptibles d’alimenter la conformité au
RGPD.
Pour ce faire, il doit identifier des projets, initiatives ou processus qui alimentent les intérêts de
l’organisation tout en contribuant à la conformité au RGPD. Les enjeux qui peuvent caractériser
une collectivité territoriale seront tout d’abord identifiés, afin que l’argumentation développée
soit en phase avec le « cœur de métier » ou la stratégie de ce type d’organisation.
Ce mémoire expose différentes composantes de la conformité au RGPD qui ne constituent pas

l’objectif exclusif du DPO, en montrant qu’elles peuvent être partagées par d’autres acteurs, et
donc que le RGPD peut être source de valeur pour son organisation.
Tout d’abord, une synergie peut être identifiée entre une ambition de transformation avec le
développement de nouveaux « usages numériques » et le RGPD, ce dernier pouvant inviter à
repenser la façon de gérer les données, dans un équilibre entre exploitation et valorisation des
données d’un côté, et protection et respect de la vie privée de l’autre.
De même, l’exigence de qualité associée aux données qui alimentent ces usages offre un
important potentiel de collaboration entre les acteurs qui gèrent ces données et le DPO,
notamment si la donnée est considérée comme un actif clé.
Pour pouvoir bénéficier de données, les utilisateurs doivent accepter de les partager et nous
verrons que le DPO peut coconstruire un cadre de confiance susceptible d’atténuer leur
défiance. Et la formalisation d’un engagement éthique permet d’améliorer largement la
conformité au RGPD grâce à la transparence qu’il suppose et aux valeurs partagées par tous les
acteurs qui gèrent les données.
Enfin, le traitement des données devenant l'affaire de très nombreux acteurs, de multiples
exigences doivent être adoptées, ce qui est une occasion pour le DPO de participer à la diffusion
d’une culture de la donnée pour ancrer dans de bonnes pratiques toute initiative permettant de
contribuer au respect des obligations du RGPD. Nous décrirons certaines composantes pouvant
constituer cette culture.
L’un des atouts de cette démarche de collaboration est d’éviter que sous la seule contrainte
réglementaire, le Responsable de Traitement ne se contente d’actions ponctuelles ou limitées,
car seule une mobilisation d’acteurs ou une transformation de l’organisation permettra
d’apporter une conformité durable, qui se maintiendra sur le long terme.
3
1 Introduction ......................................................................................................................... 6
1.1 Délégué à la Protection des Données, une fonction cadrée mais atypique .................. 6
1.2 Sortir de l’isolement en identifiant des sources de valeurs du RGPD ......................... 7
1.3 Un règlement juridique obligatoire incontournable ..................................................... 7
1.4 Méthodologie pour présenter les leviers créateurs de valeur....................................... 7
2 La mission de conseil du DPO et ses limites ...................................................................... 9
2.1 Les missions du DPO et leurs limites vis-à-vis de son Responsable de Traitement ... 9
2.2 Les limites de la sensibilisation du DPO vis-à-vis des équipes ................................. 10
3 Les enjeux du RGPD pour les Collectivités Territoriales ................................................. 11
3.1 Brève description de la Région Occitanie ................................................................. 11
3.2 Un enjeu sociétal et éthique : la confiance ................................................................ 12
3.3 Un enjeu de développement des « usages numériques » ........................................... 14
3.4 Un enjeu managérial et de gestion des RH ................................................................ 14
3.5 Un enjeu démocratique .............................................................................................. 14
3.6 Un enjeu économique délicat à appréhender ............................................................. 15
4 Levier A : Viser une synergie entre transformation et RGPD .......................................... 17
4.1 Les obligations légales du RGPD dans le cadre d’une transformation ..................... 17
4.2 Deux modalités de mise en œuvre du RGPD ............................................................ 17
4.3 Une transformation est forcément un projet ambitieux ............................................. 18
4.4 Une synergie à identifier entre une transformation et un projet de conformité ......... 18
4.5 Deux exemples de collaboration entre le RGPD et la transformation ....................... 19
4.6 Une synergie pertinente entre la transformation et le RGPD .................................... 20
5 Levier B : Collaborer sur l’exigence de qualité de la donnée ........................................... 21
5.1 Les obligations légales du RGPD en termes de qualité de la donnée ........................ 21
5.2 La donnée, valeur clé pour les organisations ............................................................. 21
5.3 Pertinence d’une gouvernance de la donnée .............................................................. 22
5.4 S’inspirer de la politique européenne de la donnée ................................................... 23
5.5 Un exemple d’exploitation locale et éthique de la donnée avec Occitanie Data ....... 24
6 Levier C : Partager les apports d’une culture de la donnée .............................................. 25
6.1 Les obligations légales du RGPD en termes culture de la donnée ............................ 25
6.2 Les caractéristiques d’une Culture ............................................................................ 25
6.3 Une synergie entre une Culture de la Donnée et le RGPD ........................................ 26
6.4 Un exemple de réseau de référents en Occitanie ....................................................... 26
7 Levier D : Sceller un pacte de confiance avec l’utilisateur............................................... 27
7.1 Les obligations légales du RGPD dans le cadre de la relation avec l’utilisateur ...... 27
4
7.2 Définition de la confiance dans le cadre de la protection des données ..................... 28
7.3 Importance de la confiance pour partager des données ............................................. 28
7.4 Cas pratique d’une exploitation régionale éthique de la donnée ............................... 29
7.5 L’éthique des affaires, un levier fort au service du DPO .......................................... 30
7.6 Une projection dans une société sans éthique ........................................................... 31
8 Levier E : Développer une culture de l’écrit, voire capitaliser sur le programme de
« compliance » ......................................................................................................................... 32
8.1 Les obligations légales du RGPD dans le cadre de la culture de l’écrit .................... 32
8.2 Le bénéfice de capitaliser sur une « culture de l’écrit » ............................................ 32
8.3 La pertinence de tendre vers un principe de « compliance » ..................................... 33
9 Levier F : S’intégrer dans les enjeux du développement durable ..................................... 33
9.1 Les obligations légales du RGPD dans le cadre du volume des données .................. 33
9.2 Une évolution des pratiques de collecte et de conservation à intégrer ...................... 34
9.3 Une volonté de réduire l’impact environnemental du numérique ............................. 34
9.4 Une opportunité de synergie entre le RGPD et l’enjeu environnemental ................. 34
10 Levier G : Collaborer à la constitution de référentiels de données ............................... 35
10.1 Les obligations légales du RGPD dans le cadre de la constitution de référentiels .... 35
10.2 La constitution de bases de données de référence pour optimiser l’exactitude des
données ................................................................................................................................. 35
10.3 Des exemples de constitution de base de données de référence ................................ 35
11 Levier H : Définir en amont les rôles et responsabilités des acteurs d’un projet .......... 37
11.1 Les obligations légales du RGPD dans le cadre de la définition des responsabilités
des acteurs d’un projet .......................................................................................................... 37
11.2 La définition des responsabilités de chaque acteur ................................................... 37
11.3 Une occasion pour repenser la relation contractuelle ................................................ 37
12 Conclusion ..................................................................................................................... 40
ANNEXES :
• Abréviations et Définitions …..…………………………………………………… 42
• Référence des notes figurant en bas de pages……....……………………………… 44
5
1 Introduction
1.1 Délégué à la Protection des Données, une fonction cadrée mais atypique
Avant le règlement général sur la protection des données (RGPD)1, la directive 95/46/CE32
avait déjà défini la fonction du « Data Protection Officer » (DPO, ou « Délégué à la Protection
des Données » selon sa dénomination francophone) sans contraindre les organisations à en
nommer un. Le G293 avait sur ce sujet rédigé des lignes directrices4 dès 2016 cadrant cette
fonction, en précisant notamment que cette fonction « pouvait faciliter le respect des règles et,
en outre, devenir un avantage concurrentiel pour les entreprises ».
Le RGPD a depuis formalisé et imposé un cadre de conformité fondé sur la responsabilité des
organisations. Les DPO se retrouvent ainsi depuis le 25 mai 2018 cadrés et positionnés au cœur
de ce nouveau cadre juridique. Mais si ce règlement permet au DPO de rendre compte de ses
actions au plus haut niveau, il ne bénéficie pas de pouvoir hiérarchique. Les résultats d’une
enquête5 constate que « le DPO n’a pas d’équipe dans 75% des cas, et il dispose d’une équipe
de 1 à 3 personnes dans 21,2% des cas ». Il se retrouve en conséquence limité en termes de
moyens pour accomplir sa mission. Jouer cavalier seul ou se cantonner à un rôle de censeur ne
favoriserait pas l’appropriation du changement attendu concernant la protection des données.
S’il veut atteindre son objectif en générant une dynamique au sein de son organisation, le DPO
doit développer son réseau en s’alliant avec des acteurs pour bénéficier de collaborations et
ainsi s’appuyer sur des moyens complémentaires qui favoriseront la mise en conformité au
RGPD des traitements de son organisation.
Ce qui a motivé le choix du sujet de ce mémoire est mon expérience de DPO, qui m’incite à
développer des synergies de collaboration pour contrer son isolement. L’objectif du mémoire
est d’exposer que cela faisable si le DPO parvient à démontrer que la conformité au RGPD peut
1
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE
2
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
3
Le groupe G29 a été institué par l’article 29 de la directive 95/46/CE : il s’agit d’un organe consultatif européen
indépendant sur la protection des données et de la vie privée.
4
Lignes directrices concernant les délégués à la protection des données (WP243) –
https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf
5
Enquête "Mettre en œuvre le règlement général sur la protection des données" réalisée en avril 2019 par la
Délégation Générale à l'Emploi et à la Formation Professionnelle (DGEFP) avec l’appui de l’AFPA et en
partenariat avec l’AFCDP et la CNIL - https://afcdp.net/media/documents/Etude-DGEFP-Descriptif-fonction-
DPO.pdf
6
être source de valeur pour son organisation. Il doit pour cela argumenter pour que les différentes
composantes de la conformité au RGPD ne soient plus l’unique objectif du DPO, mais qu’elles
soient partagées par d’autres acteurs.
1.2 Sortir de l’isolement en identifiant des sources de valeurs du RGPD

L’objectif du présent mémoire est d’identifier les sources de valeurs que le RGPD pourrait
apporter à une organisation. Nous nous proposons donc d’identifier les arguments qui
pourraient inciter le Responsable de Traitement ou les décideurs à considérer que le RGPD peut
lui apporter de la valeur. Le DPO pourrait ainsi obtenir l’adhésion de contributeurs qui
constitueraient son réseau d’alliés, en apportant de la valeur à l’organisation tout en alimentant
la conformité au RGPD.
Le DPO pourrait ainsi appuyer ou insuffler une énergie fédératrice qui alimenterait les intérêts
de l’organisation, tout en contribuant à la conformité au RGPD. Cela permettrait d’atténuer son
positionnement de cavalier solitaire et solutionner son éventuelle absence de budget, en
intégrant le « chef d’orchestre de la conformité » dans une dynamique collective. Le DPO
deviendrait alors idéalement l’homme des transformations organisationnelles et accélérateurs
de changements au sein des organisations.
L’objectif est d’éviter que, sous la seule contrainte réglementaire, le Responsable de Traitement
ne se contente d’actions ponctuelles ou limitées qui ne pourraient concourir qu’à une conformité
minimaliste, sans une nécessaire mobilisation d’acteurs ou une transformation de
l’organisation.
Nous vous proposons donc dans le cadre de ce mémoire d’identifier les sources de valeurs qui
pourront actionner un double effet de levier en apportant à la fois de la valeur à l’organisation,
tout en contribuant de manière complémentaire à la conformité au RGPD.
1.3 Un règlement juridique obligatoire incontournable

En sa qualité de règlement, le RGPD est un acte juridique obligatoire depuis le 25 mai 2018. Il
ne peut donc pas s'appliquer de manière incomplète ou sélective et son respect ne constitue pas
une option. Le propos du mémoire ne remet nullement en question cette obligation ni la
pertinence du règlement : le but est uniquement d’identifier des arguments complémentaires
qui vont, par effet de levier, favoriser la mise en œuvre des mesures de conformité et contribuer
à les rendre durables dans le temps.
Le parti pris de ce mémoire est donc de ne pas se focaliser exclusivement sur les nombreuses
exigences, les obligations réglementaires ou la crainte de sanctions. Il part de l’hypothèse qu’il
existe des moyens complémentaires pour convaincre l’organisation, la Direction Générale ou
le Responsable de Traitement d’y investir les ressources nécessaires.
1.4 Méthodologie pour présenter les leviers créateurs de valeur

En vue de décrire les différents leviers qui apporteront de la valeur à l’organisation tout en
servant la conformité au RGPD, nous vous proposons la démarche suivante.
7
Pour chacun des leviers identifiés, nous préciserons tout d’abord en quoi consistent les
exigences du RGPD dans le contexte envisagé. Nous détaillerons ensuite les spécificités du
sujet considéré, en abordant les composantes qui peuvent concourir à apporter de la valeur,
et donc inciter les organisations à en faire une réelle opportunité.
Puis nous présenterons un benchmark à partir d’exemples ou d’initiatives menées au sein

d’organisations, démontrant des synergies possibles entre le levier envisagé et le RGPD.
Le parti pris dans ce mémoire consiste à croire que l’acceptabilité des actions contribuant à
la conformité au RGPD est le fruit d’une valorisation par le DPO des effets de levier que ces
actions peuvent apporter à l’organisation.
Une analogie qui expose l’approche

Par analogie et pour mieux exposer l’approche utilisée, le jeu de Scrabble est un moyen
pédagogique pour expliciter la démarche. En effet, le principe de ce jeu repose sur la
pertinence du positionnement des lettres sur l’échiquier.
Dans l’exemple présenté ci-dessous, on peut obtenir soit 8 points en plaçant les lettres sur les
cases les moins valorisantes, ou bénéficier de 30 points si elles sont placées astucieusement.
8 points 30 points
Si on suit cette même approche dans le cadre de la conformité au RGPD, on peut constater
qu’avec des actions qui sont limitées ou effectuées de manière isolée par le DPO, on aboutira à
une conformité minimale et peu durable.
Cependant, les actions en lien avec la stratégie de l’organisation intégrant des acteurs pertinents
au cœur de la démarche peuvent générer en matière de mise en conformité au RGPD une
efficacité démultipliée.
Nous ne traiterons pas dans ce mémoire de la cybersécurité ou de l’intelligence artificielle. Si

ces sujets sont évoqués à plusieurs reprises, ils ne sont pas considérés comme des leviers
contribuant à alimenter notre sujet, car ils constitueraient à eux seuls des thèmes de mémoires
dédiés.
Nous organisons ce mémoire en trois parties. La 1ère partie sera consacrée aux limites que peut
rencontrer le DPO dans l’exercice de sa mission à la fois vis-à-vis de son Responsable de
Traitement que des acteurs de l’organisation. Une 2ème partie décrira les enjeux et les
particularités des collectivités territoriales concernant le RGPD. Et enfin une 3ème partie
présentera les différents leviers susceptibles d’apporter de la valeur à l’organisation tout en
contribuant de manière durable à sa conformité au RGPD.
8
PARTIE I : Les limites de l’argumentation du DPO
2 La mission de conseil du DPO et ses limites

Le point a), paragraphe 1 de l’article 39 du RGPD précise que les missions du DPO consistent
notamment à : « informer et conseiller le responsable du traitement ou le sous-traitant ainsi
que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu
du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États
membres en matière de protection des données ».
Un sondage6 confirme que les recommandations du DPO interne sont suivies seulement à
59%. En effet, du fait de son positionnement non hiérarchique, le DPO est potentiellement
confronté à de nombreuses difficultés vis-à-vis de son Responsable de Traitement ou des
collaborateurs de l’organisation. Nous nous proposons d’exposer ci-dessous les limites que
pourra rencontrer le DPO dans le cadre de ses missions. Le fait d’en être conscient doit lui
permettre d’anticiper les résistances, et obtenir de la part de son Responsable de Traitement
plus de participation et de soutien, mais également de développer tout un réseau d’alliés en
interne qui faciliterait la mise en place du RGPD de manière durable, avec une conformité qui
pourra ainsi être maintenue sur le long terme.
2.1 Les missions du DPO et leurs limites vis-à-vis de son Responsable de Traitement
Le point b), paragraphe 1 de l’article 39 du RGPD confie au DPO la tâche de contrôler le respect
du RGPD. Le considérant 97 précise en outre que le DPO « devrait aider le responsable du
traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement ».
Les lignes directrices concernant les délégués à la protection des données7 complètent cet article
et confirment que le DPO peut émettre vis-à-vis de son Responsable de Traitement des
recommandations en cas de non-conformité, voire des alertes en éclairant sur les risques
inhérents.
Mais ces alertes peuvent ne pas être prises en considération, ce qui n’est d’ailleurs pas un signe
d’incompétence ou d’insuffisance du DPO. En effet, le Responsable de Traitement a une vision
globale des enjeux de par sa mission stratégique et transverse pour l’organisation qu’il dirige.
Il est en charge de l’arbitrage de l’intégralité des risques qui lui sont remontés et qui peuvent
impacter tant une dimension opérationnelle, un impact business, social, financier ou logistique.
Un risque de non-conformité pourrait être identifié par le DPO, analysé et relayé de manière
pertinente, sans que le Responsable de Traitement ne le priorise pour une prise en considération.
Le DPO doit donc trouver des pistes pour compléter son argumentation et persuader son
Responsable de Traitement et les décideurs que les recommandations émises peuvent apporter
de la valeur pour son organisation : ce sont ces sources que nous vous proposons d’exposer
dans la suite du mémoire.
6
Sondage réalisé par la Délégation Générale à l'Emploi et à la Formation Professionnelle (DGEFP) de février à
avril 2019 avec l’appui de l’AFPA et en partenariat avec l’AFCDP -
https://afcdp.net/etude-sur-le-metier-de-dpo/
7
Lignes directrices concernant les délégués à la protection des données (WP243) –
9
Maitre Thiebaut Devergranne, Avocat et Docteur en droit privé, indique8 d’ailleurs que « pour
être écouté, le DPO doit coller aux objectifs de l’organisation, utiliser des éléments de langage
« business » pour connecter le RGPD au cœur de métier ».
2.2 Les limites de la sensibilisation du DPO vis-à-vis des équipes

Le point b), paragraphe 1 de l’article 39 du RGPD confirme que la sensibilisation des employés
fait partie intégrante des missions du DPO. Etant donné qu’il ne bénéficie d’aucun pouvoir
hiérarchique sur les équipes, il doit en conséquence maximiser sa capacité d’influence vis-à-vis
d’eux car par expérience, une argumentation focalisée sur l’obligation réglementaire ou la
crainte de sanctions peut ne pas suffire.
C’est dans ce cadre qu’il est pertinent que le DPO essaie de convertir certaines équipes en alliés.
Il doit alors se mettre en capacité d’abonder sa réflexion en présentant d’autres arguments, en
lien avec la stratégie, les valeurs de l’organisation ou simplement les missions d’un service,
pour persuader et maximiser ses chances d’être entendu.
Collaborer ou coopérer sur des projets qui vont au-delà des seules exigences du RGPD va
permettre au DPO d’étendre son réseau d’influence, et donc de rallier d’autres ressources au
sein de l’organisation, qui serviront indirectement certaines composantes de conformité au
RGPD.
La pertinence des collaborations est par ailleurs mise en avant par une citation de Nelson
Mandela qui affirmait que « nous ne savons bien qu’aucun d’entre nous, agissant seul, ne peut
atteindre le succès ».
La partie III de ce mémoire identifiera ces leviers, qui constitueront des sujets de collaboration.
Après avoir décrit les limites de l’argumentation du DPO, nous allons identifier les enjeux qui
peuvent caractériser les collectivités territoriales.
8
Maitre Thiebaut Devergranne, vidéo intitulée « DPO : que faire si votre RT ne vous écoute pas » :
https://www.youtube.com/watch?v=_wKdrDjDqwI
10
PARTIE II : Les enjeux et les particularités des collectivités
territoriales concernant le RGPD
En qualité de DPO d’une collectivité territoriale, nous vous proposons d’identifier les enjeux
qui peuvent être particulièrement importants pour ce type d’organisation.
3 Les enjeux du RGPD pour les Collectivités Territoriales

Les startups ou grandes entreprises ne sont pas seules à maîtriser l’usage de l’information. Les
collectivités territoriales traitent, du fait de leurs vastes compétences, de nombreuses données à
caractère personnel, dont certaines peuvent concerner des publics sensibles. Nous pouvons citer
dans ce cadre le domaine de l’éducation ou du transport scolaire avec les écoliers, collégiens,
ou lycéens, le domaine Social pour les Départements. Le domaine de la formation
professionnelle est également un bon exemple car il gère notamment le NIR 9 et de très
nombreuses données liées au parcours professionnel.
La vocation des Collectivités Territoriales n’est pas le profit mais l’intérêt général via la mise
en œuvre et la gestion de politiques publiques adaptées à leur territoire. Outre leurs obligations
qui sont similaires à celles imposées au secteur privé, les collectivités doivent également tenir
compte de législations spécifiques comme la « Loi pour une république numérique ».
Après une brève description de la Région Occitanie, nous allons identifier en quoi le contexte
des Collectivités territoriales est favorable à la mise en œuvre du RGPD, en citant les enjeux
dans les sous-chapitres suivants.
3.1 Brève description de la Région Occitanie

La région Occitanie couvre 13 départements et abrite 4488 communes dont deux métropoles.
Elle est la deuxième plus vaste de France métropolitaine et sa taille fait d’elle une région plus
vaste que l’Irlande et deux fois plus grande que la Belgique. Elle s’impose par conséquent de
proposer des services publics de proximité via une implantation sur tout le territoire, mais
également à exploiter les solutions pour la rapprocher de ses citoyens, comme nous le verrons
ci-dessous.
Elle est un acteur clé dans la réussite des jeunes en accueillant et en transportant plus de 230
000 lycéens ou 40 000 apprentis répartis dans 375 lycées et 245 000 étudiants dans 35 grands
écoles et universités. 50 000 demandeurs d’emploi ont bénéficié d’une formation
professionnelle financée par la Région dans plus de 550 organismes de formation financés par
la collectivité.
La loi NOTRe10 a confirmé que « le conseil régional a compétence pour promouvoir le

développement économique, social, sanitaire, culturel et scientifique ». C’est donc elle qui
définit l’attractivité de son territoire en fixant les orientations en matière d’aides aux entreprises,
9
NIR : Numéro d’Inscription au Répertoire (appelé usuellement N° de Sécurité Sociale) : il s'agit d'une donnée
hautement identifiante, attribuée par l'INSEE
10
Loi NOTRé du 7 août 2015 portant nouvelle organisation territoriale de la République
https://www.vie-publique.fr/loi/20721-loi-notre-loi-du-7-aout-2015-nouvelle-organisation-territoriale-de-la
11
de soutien à l’internationalisation ou d’aides à l’innovation. C’est ainsi que la région Occitanie
est la deuxième région française au niveau du développement durable pour la production
photovoltaïque et d’hydro-électricité. Elle occupe également la deuxième place au niveau
agricole avec près de 70 000 exploitants, en fournissant près du tiers de la production de viande
et les trois quarts de la production de lait. Et l’Occitanie représente le premier vignoble national
avec un tiers des surfaces françaises et 51 AOP.
Les collectivités territoriales, et notamment les Régions, se caractérisent ainsi par leurs très
nombreuses compétences, ce qui suppose un nombre conséquent de traitements de données à
caractère personnel, impliquant des personnes concernées variées qui vont des dirigeants des
entreprises aux lycées, apprentis, étudiants en passant par les demandeurs d’emplois ou encore
tous les habitants du territoire.
Nous vous proposons d’exposer les principaux enjeux auxquels elles sont confrontées.
3.2 Un enjeu sociétal et éthique : la confiance

Les citoyens sont de plus en plus sensibles à la protection de leurs données personnelles. Cette
sensibilité est mesurée dans de nombreux articles ou sondages. Nous pouvons citer un article
publié par la CNIL intitulé « un an de RGPD : une prise de conscience inédite »11 met en
lumière que 70 % des Français se disent aujourd’hui plus sensibles aux problématiques de
protection de leurs données. En conséquence, un piratage, un vol de données ou une
indisponibilité d’un service pourrait dégrader le niveau de confiance de l’utilisateur vis-à-vis
de la collectivité impliquée, et donc impacter son image de marque.
Cet enjeu peut être exposé via l’exemple suivant, qui compare en janvier 2020 les suggestions
de recherche lors de la saisie dans Google pour deux communautés de communes ou
d’agglomération : l’une ayant subi une cyberattaque en novembre 2019 (Grand Cognac) alors
que l’autre n’en a pas été victime (Grand Pic Saint Loup).
Voici présenté ci-dessous les mots qui sont suggérés par Google lorsque l’on tape le nom de
ces deux collectivités.
11
Article CNIL "un an de RGPD : une prise de conscience inédite" –
https://www.cnil.fr/fr/1-de-rgpd-une-prise-de-conscience-inedite
12
Cinq des huit suggestions font référence à la récente cyberattaque pour la collectivité qui en a
été victime, tandis que pour l’autre, toutes les suggestions font référence à ses compétences, et
donc contribuent à la valoriser dans ses missions.
Une cyberattaque n’est pas propice à instaurer une relation de confiance. Cela démontre
l’importance de la protection des données sur la valorisation ou la dégradation de l’image de
marque d’une collectivité.
La situation pourrait être similaire voire pire si une sanction était prononcée par la formation
restreinte de la CNIL, cette dernière ayant la capacité à la rendre publique.
Dans le contexte des collectivités territoriales, l’instauration d’une relation de confiance avec
les utilisateurs est essentielle, et pas seulement guidée par l’enjeu électoral. Elles sont en effet
engagées dans une transformation numérique profonde pour rendre un meilleur service, et la
notion de protection des utilisateurs, notamment en respectant scrupuleusement leurs droits à la
protection des données tels que réglementés par le RGPD, est absolument incontournable.
C’est la raison pour laquelle il est pertinent qu’elles apportent, au-delà de la conformité
réglementaire, une totale transparence en affichant leurs valeurs et engagements éthiques, en
vue d’alimenter le capital confiance que les utilisateurs sont susceptibles d’attendre de la part
des collectivités.
Laurent Lafaye expose dans le journal La Tribune du 28 janvier 2020 un article12 qui évoque
l’importance pour les élus de définir les conditions de partage de données dans un espace de
confiance. Il précise dans son article intitulé « De l'art d'être un élu local à l'heure de la data » :
« L’espace de confiance sera demain le cadre nécessaire […]dont la concrétisation passe par
la fourniture de données publiques et privées fiables, sourcées et sécurisées […]. Les nouveaux
décideurs publics seront ceux qui créeront les conditions de ce partage et sauront l'organiser
au bénéfice des territoires qu'ils administrent et de la population toute entière. »
12
Laurent Lafaye, cofondateur et co-CEO de Dawex, article dans le journal La Tribune du 28 janvier 2020 -
https://www.latribune.fr/opinions/tribunes/de-l-art-d-etre-un-elu-local-a-l-heure-de-la-data-838146.html
13
3.3 Un enjeu de développement des « usages numériques »
Après une première phase de « dématérialisation » et de « déploiement de services en ligne »,
qui n’est pas forcément aboutie dans toutes les collectivités territoriales, ces dernières se
concentrent désormais sur les atouts liés aux « usages numériques ».
Ces réflexions constituent un levier majeur de la modernisation voire de transformation de
l’action publique. Elles se concentrent notamment sur une vision centrée sur l’usager et ses
besoins, avec une mutualisation de données fréquemment partagées avec d’autres entités ou
partenaires. C’est le cas par exemple pour les parcours de formation professionnelle, pour
lesquels des données sont partagées entre les Régions et Pôle Emploi (exemple présenté au
chapitre 10).
Les collectivités doivent également, depuis la promulgation de la loi pour une République
numérique du 7 octobre 2018, ouvrir par défaut leurs données. Cette loi marque une étape
majeure dans l’avènement de l’Open Data et cette large exploitation de données permet à la fois
d’enrichir et justifier certains choix ou décisions en exploitant des données locales ou
nationales, mais aussi de partager de manière transparente une vision du territoire.
C’est dans ce contexte que la Région Occitanie, en vue de capitaliser sur les services en ligne
et mettre en place une relation de confiance a fait voter lors de son Assemblée Plénière du 19
décembre 2019 une délibération intitulée « Fourniture par la Région de services numériques
de confiance »13.
3.4 Un enjeu managérial et de gestion des RH

Cet enjeu de développement de nouveaux usages numériques met en exergue un nouvel enjeu
managérial. En effet, ces transformations vont nécessiter de nouveaux métiers, de nouvelles
compétences et une nouvelle culture globale, liée aux nouveaux enjeux et au respect de la
confiance de l’utilisateur.
C’est ainsi qu’apparait dans de nombreuses DRH (Direction des Ressources Humaines) des
collectivités, le besoin de mise en œuvre d’une véritable Gestion Prévisionnelle des Emplois et
des Compétences (GPEC). Ce projet a d’ailleurs été identifié dans le cadre du nouveau Schéma
Directeur 2020 – 2022 de la Région Occitanie, et sera planifié dans les années à venir.
Il est considéré comme un impératif pour capitaliser et anticiper sur les transformations et
enjeux à venir.
Mounir Mahjoubi, secrétaire d’Etat au numérique, avait rappelé à l’occasion du Salon Big Data
2019 : « il est du devoir des entreprises de former pour ne pas licencier les employés dont le
métier devient obsolète ».
3.5 Un enjeu démocratique

La démocratie participative est une forme de partage de l'exercice du pouvoir, qui renforce la
participation des citoyens à la prise de décision politique. Elle est également une réponse à la
crise de légitimité du fonctionnement démocratique de nos sociétés. Cette problématique, qui
est globale, a suscité l’émergence de technologies spécifiques, qualifiées de « Civic Tech14 ».
13
Délibération de la Région Occitanie votée lors de l'Assemblée Plénière du 19 déc
https://deliberations.laregion.fr/Docs/AssembleePleniere/2019/12/19/DELIBERATION/D07QL.pdf
14
Civic Tech : ensemble des procédés, outils et technologies qui permettent d’améliorer le fonctionnement
démocratique en renforçant le rôle joué par les citoyens dans les débats et prises de décision.
14
Cela est notamment pertinent pour les collectivités gérant un vaste territoire, et qui veulent
s’engager dans une démarche de renforcement de la proximité avec les citoyens.
Les utilisateurs sont ainsi en capacité d’être consultés, mais peuvent aussi proposer ou participer
à des initiatives. Ainsi, certains nouveaux services peuvent émaner d’une concertation avec les
usagers, et ils sont alors le fruit d’une construction participative et collaborative.
Nous pouvons prendre pour exemple l’initiative de la Région Occitanie qui veut, selon sa
Présidente Carole Delga « tisser un contrat démocratique renouvelé avec les citoyens ». C’est
ainsi que, conformément à la finalité qui consiste à « permettre l’expression et la participation
des citoyens à l’élaboration des politiques publiques régionales à travers un ensemble d’outils
de consultation et de recueil de proposition », les services suivants sont proposés : consultations,
votations à l’initiative des citoyens, budgets participatifs, commissions citoyennes ou encore
débats citoyens contradictoires.
Exemple du déroulé des phases d’une démarche participative :
Les principes et valeurs de ce « contrat démocratique »15 sont publiés en toute transparence.
Ce type d’initiatives soulève des enjeux de protection de la vie privée et il est indispensable de
proposer des solutions techniques et organisationnelles basées sur des modèles vertueux qui
suscitent la confiance afin que les utilisateurs ne limitent pas leur participation : cela sera
développé dans le chapitre 7 intitulé « Sceller un pacte de confiance avec l’utilisateur ».
3.6 Un enjeu économique délicat à appréhender

La perception des sanctions financières est particulière pour les collectivités et plus délicate à
appréhender que pour les entreprises.
Nous pouvons citer le cas de l’Office Public HLM de Rennes Métropole contre qui la formation
restreinte de la CNIL a prononcé une amende administrative de 30 000€, reprochant une
utilisation du fichier des locataires incompatible avec la finalité initiale. Cet exemple démontre
que les administrations françaises sont financièrement sanctionnables, ce qui n’est pas le cas
dans tous les pays de l’UE, ce principe étant d’ailleurs l’un des cinquante-six renvois vers les
droits nationaux.
Mais la valorisation des amendes administratives de 2% et 4% du chiffre d’affaires mondial
telle que décrite à l’article 83 aux paragraphes 4 à 6 est dédiée aux entreprises. Pour une
15
Charte régionale de la citoyenneté active de la Région Citoyenne - https://www.laregioncitoyenne.fr/Charte
Ou charte détaillée : https://www.laregion.fr/IMG/pdf/charte_citoyennete_mars2018bd.pdf
15
collectivité, son montant serait estimé par la CNIL en fonction de la nature, de la gravité, de la
durée de la violation des données ou de la portée du traitement concerné (nombre de personnes
affectées, niveau de dommage subi, …).
En conséquence, cet argument n’est pas sans effet, mais assez flou pour suffire à pour motiver
le Responsable de Traitement à initier les actions nécessaires de mise en conformité.
Outre l’enjeu financier non nul mais délicat à appréhender, nous venons de voir qu’il peut être
opportun pour le DPO d’une collectivité de capitaliser sur les enjeux cités et démontrer que le
RGPD est un atout pour leur mise en œuvre. Cela peut lui fournir des arguments
complémentaires pour l’initialisation ou l’accélération d’actions contribuant à la conformité.
C’est également une occasion pour identifier des alliés, motivés par certains de ces enjeux.
Nous pouvons citer par exemple la pertinence de la mise en œuvre de principes éthiques pour
instaurer une relation de confiance, le développement des « usages numériques », l’enjeu
managérial pour anticiper certaines mutations ou encore l’enjeu démocratique avec les « Civic
Teh ».
Nous allons aborder de manière détaillée ces sujets dans la partie suivante du présent mémoire.
16
PARTIE III : Les leviers créateurs de valeur
Comme nous l’avons précisé en introduction, nous présenterons dans les chapitres suivants les
leviers susceptibles d’apporter de la valeur à l’organisation tout en contribuant de manière
durable à sa conformité au RGPD. Nous monterons que ces leviers sont l’occasion pour le DPO
d’identifier des alliés, qui deviendront autant de ressources supplémentaires pour participer à
des actions alimentant la conformité au RGPD.
4 Levier A : Viser une synergie entre transformation et RGPD
4.1 Les obligations légales du RGPD dans le cadre d’une transformation

Etant basé sur une logique de conformité continue et de responsabilité tout au long de la mise
en œuvre du traitement, le RGPD exige la mise en œuvre des procédures adéquates. Le RGPD
est à la fois exigeant en listant nombre d’obligations, mais également ouvert et souple en laissant
la liberté de mettre en œuvre la conformité selon des modalités adaptées.
L’article 32 intitulé « Sécurité du traitement » précise de « prendre des mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque de
respect de la vie privée ».
L’article 25, intitulé « Protection des données dès la conception et protection des données par
défaut », présente quant à lui le principe du « Privacy by design », qui oblige l’entreprise à
intégrer la protection des données dès la phase de conception pour minimiser les risques.
4.2 Deux modalités de mise en œuvre du RGPD

Pour une grande organisation, notamment pour une collectivité de taille importante comme une
Région, un Département ou une Métropole, la mise en conformité au RGPD peut être menée
selon deux modalités.
La première modalité vise à atteindre la conformité mais de manière minimaliste, en se

contentant d’un registre des traitements exhaustif et en cochant les cases des obligations (ce qui
n’est pour autant pas simple à réaliser si le nombre de traitements est conséquent).
Ce scénario permettra, ni de générer les changements structurants nécessaires à une conformité
durable dans le temps, ni de capitaliser sur d’autres bénéfices pour l’organisation (notamment
en termes d’image de marque, de potentiel d’exploitation éthique des données, de création de
référentiels, de développer d’une culture de la donnée, …).
Attiré par les lois de l'inertie, devant arbitrer de nombreuses priorités ou urgences, avec des
ressources humaines et financières limitées, il peut hélas être « tentant » pour un Responsable
de Traitement d’arbitrer en faveur d’une conformité minimaliste qui n’apporte pas les
transformations nécessaires à une conformité durable.
La seconde approche consiste à conduire une véritable transformation, qui propose un projet
ambitieux, structurant et collectif pour initier une dynamique vertueuse : il s’agit alors d’aller
au-delà d’une conformité réglementaire en « visant la valeur à laquelle l’organisation est
sensible », en se focalisant donc sur des bénéfices complémentaires aux seules obligations
réglementaires.
17
C’est cette approche de transformation que nous nous proposons d’aborder dans le présent
chapitre.
4.3 Une transformation est forcément un projet ambitieux

Une transformation n’est pas un projet ponctuel ni un sprint, mais doit plutôt être assimilée à
« course de fond ».
La transformation d’une organisation désigne l’intégration de nouvelles technologies et un

changement profond de pratiques dans l’ensemble de ses activités : c’est un enjeu majeur pour
répondre aux nouveaux défis de collaboration, de performance, de compétitivité, de notoriété
et d’expérience utilisateurs.
Elle se distingue d'une « classique informatisation » car elle implique un changement culturel
important en raisonnant au niveau des usages, ce qui impacte directement l'organisation.
Il s’agit en effet de repenser les usages et les pratiques en amont avec une notion de « parcours
utilisateurs ». Cette réflexion doit être construite avec toutes les parties prenantes de
l’organisation, en intégrant en amont la définition du cycle de vie de la donnée.
Ainsi, la transformation ne se limite pas à une informatisation ou dématérialisation d’un
processus existant car cela exige une réflexion de fond partagée avec toutes les directions de
l’organisation, en phase avec sa stratégie ou sa « raison d’être » (voir cette notion au chapitre
7.5).
Une réelle transformation sera donc forcément ambitieuse car elle impliquera tous les décideurs
de l’organisation.
4.4 Une synergie à identifier entre une transformation et un projet de conformité

Le DPO doit convaincre son Responsable de Traitement et ses décideurs que le projet de
transformation alimentera la conformité au RGPD et inversement.
Le DPO a l’opportunité de collaborer en apportant une contribution essentielle au projet de
transformation, en exploitant certaines des exigences du RGPD.
Tout d’abord, il doit persuader qu’une transformation ne peut être initiée sans se fonder sur la
protection des données personnelles. Dans cette optique, les « mesures techniques et
organisationnelles appropriées » ou le « Privacy by Design » du RGPD seront des cibles
pertinentes que le DPO invitera à suivre.
Cette collaboration peut être effective quel que soit le niveau d’avancement du projet de
transformation.
Si ce dernier est déjà initié, le RGPD pourra confirmer la pertinence de l’initiative en veillant à
ce que le projet contribue aux exigences de la conformité. Le DPO suivra et encouragera alors
sa mise en œuvre effective.
Dans le cas où le projet de transformation ne serait pas initié, le caractère obligatoire de la

conformité au RGPD pourra être alors un prétexte générateur ou accélérateur à sa mise en
œuvre.
18
La transformation et la conformité au RGPD pourront ainsi s’alimenter mutuellement, en
capitalisant sur une relation « gagnant, gagnant ». La protection des données personnelles ne
peut pas être une option dans un projet de transformation, et le résultat d’une transformation
rendra la conformité plus durable, en l’intégrant dans des process impliquant de nombreuses
ressources. En ce sens, elle sera un atout essentiel pour servir la conformité au RGPD.
Si la Transformation rend l’organisation centrée sur l’usage de la donnée (la terminologie data
driven est parfois utilisée), cela participera à l’acculturation des équipes aux enjeux de la
donnée, voire à intégrer de nouvelles compétences à la fois techniques et comportementales,
comme nous l’aborderons dans le chapitre 7.
Le fait de pouvoir citer dans les motifs qui justifient la transformation une obligation
réglementaire, qui plus est dont le principe repose sur la protection de la vie privée des
utilisateurs, ne peut que contribuer à favoriser sa mise en œuvre. Il est en effet admis
que l’acceptabilité des impacts liés aux changements provient davantage de la façon dont le
changement est perçu que la transformation elle-même. La perception sera donc meilleure si
elle est liée à la protection de la vie privée.
4.5 Deux exemples de collaboration entre le RGPD et la transformation
Destiné aux petites et moyennes entreprises16, la CNIL et BPI France ont publié un guide de
sensibilisation au RGPD sciemment orienté pour permettre aux PME de progresser dans leur
maturité numérique, et donc se transformer.
Isabelle Falque-Pierrotin, la précédente Présidente de la CNIL y affirme que « le RGPD est un

vecteur d’accélération de la maturité digitale de l’entreprise » ou encore que « ce règlement …
n’est pas obligatoirement un projet technique ou juridique, il s’agit avant tout de bon sens et
d’organisation ». Elle confirme dans ses propos que le RGPD offre des opportunités de
nouveaux business et qu’il constitue un projet d’entreprise créateur de valeurs.
La CNIL invite donc clairement les PME à profiter du RGPD pour se transformer, et le
positionne comme une opportunité pour se valoriser, en se démarquant de la concurrence. Sa
préconisation est de muer vers les nouveaux standards des organisations digitales pour « ne pas
rester sur le carreau ».
Un autre exemple est le projet de Stratégie Régionale de la Donnée de la Région Occitanie. Elle
est en cours de réflexion au sein de la Région Occitanie et se base sur la promesse suivante :
« en Occitanie on ne fait pas n’importe quoi avec les (nos)(vos) données ».
Ce type de stratégie ne nécessite pas seulement la mise en œuvre d’un projet nouveau, aussi
complexe soit-il, il exige une remise en question du positionnement de la donnée au sein de la
collectivité et interroge donc l’organisation pour réellement prendre en considération cette
ambition.
Cette stratégie, dont le fil rouge est la confiance de l’usager, se justifie car les volumes de
données sont appelés à poursuivre leur expansion et les enjeux de la gestion des données sont
de plus en plus prégnants dans les services qu’ambitionne de mettre en œuvre la Région
16
Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, publié par la CNIL et BPI
France - https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf
19
Occitanie. Enfin, les acteurs publics locaux sont légitimes à agir car la donnée peut ainsi
contribuer à redonner confiance dans l’action publique.
Cette légitimité est confirmée par le sondage17 réalisé à la demande de l’association Occitanie
Data en septembre 2019, qui révèle que 81% des utilisateurs se déclarent favorables à une
initiative de coopération à l’échelle régionale entre acteurs publics et privés.
L’ambition de cette stratégie va au-delà de l’exploitation des données afin de piloter les
activités, évaluer la performance voire anticiper les changements. Elle consiste à s’inscrire dans
une dynamique de transformation pour accroître la maturité des collaborateurs en gestion de
l’information, en exploitant de manière appropriée des méthodologies ou technologies pour
mieux analyser les données, les transformer en information voire en connaissance (Intelligence
Artificielle, Dataviz, …).
Le fait d’identifier la « confiance » comme l’élément clé de la Stratégie Régionale de la Donnée

et le caractère incontournable de la qualité de la donnée laisse présager une collaboration
potentielle avec le DPO, qui défend ces valeurs.
4.6 Une synergie pertinente entre la transformation et le RGPD

Le RGPD peut apporter un argument complémentaire à une ambition de transformation car il
invite in fine à repenser la façon de gérer les données, en permettant aux utilisateurs d’en
conserver le contrôle pour protéger leur vie privée. Une collaboration active peut ainsi
s’instaurer, le RGPD permettant notamment d’intégrer la protection des données dans les
projets et les processus.
Dans un contexte de transformation, le DPO doit encore plus « sensibiliser et conseiller » pour
inviter à réfléchir en amont sur tout le cycle de vie des données. Comme nous venons de le voir,
le RGPD peut contribuer à donner du sens à cet ambitieux chantier.
Le DPO doit se saisir de cette opportunité de collaboration pour inciter son organisation à
prendre le virage de la transformation numérique dans un équilibre entre valorisation des
données d’un côté, et protection et respect de la vie privée de l’autre.
Nous venons de voir que la transformation d’une organisation suppose de tirer parti des données
pour optimiser les services proposés à destination des utilisateurs. En d’autres termes, la donnée
doit être considérée comme le catalyseur des usages. Mais pour pouvoir l’utiliser, cela nécessite
que les données soient valorisables et donc de qualité. C’est que nous vous proposons d’aborder
dans le chapitre qui suit.
17
Sondage Harris Interactive commandé par Occitanie Data en septembre 2019 sur les attitudes, jugements et
attentes à l’égard de la gestion des données -
https://occitaniedata.fr/le-sondage-harris-interactive-commande-par-occitanie-data-et-son-partenaire-civiteo-
devoile/
20
5 Levier B : Collaborer sur l’exigence de qualité de la donnée
5.1 Les obligations légales du RGPD en termes de qualité de la donnée

L’article 5 du RGPD décrit les « Principes relatifs au traitement des données à caractère
personnel » et rappelle dans son point d) que les Données à Caractère Personnel doivent être
« exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises
pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour
lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ».
Ainsi, une conformité au RGPD exige un niveau approprié de qualité de la donnée, et ce durant
tout son cycle de vie.
Il peut d’ailleurs être opportun de ne pas se focaliser sur les données à caractère personnel dans
le cadre de cette réflexion sur la qualité, et donc d’y intégrer les autres catégories de données.
5.2 La donnée, valeur clé pour les organisations

Le niveau de qualité de la donnée est certes une obligation réglementaire, mais ne doit pas être
considéré comme une contrainte. En effet, la donnée étant à considérer comme un actif clé voire
stratégique de l’organisation, sa qualité en vue de sa valorisation devient un enjeu fondamental.
L’exigence de qualité est essentielle quel que soit la volumétrie du traitement. Par exemple, le
concept du Big Data caractérise les données par la règle des « 4V » : Volume (masse de
données), Variété (diversité) et Vélocité (temps réel) et Valeur (qualité).
Si prometteuse soit-elle, le potentiel ou l’efficacité de l’exploitation de données dépendra

inévitablement de son niveau de qualité, mesurée selon les critères tels que la complétude, la
disponibilité, la mise à jour ou l’exactitude.
Nous vous proposons d’illustrer quelques exemples d’usage de données, pour lesquels le niveau
de qualité ne peut pas être considéré comme une option.
Tout d’abord les nombreuses productions de tableaux de bord, reportings ou bilans qui
permettent de partager une vision synthétique de données provenant de sources multiples. Cela
peut permettre un pilotage d’activités ou une évaluation de performance, en apportant un
éclairage qu’une grande quantité de données n’aurait pas pu fournir sans exploiter par exemple
des solutions de « Dataviz »18.
L’analyse prédictive est également de plus en plus utilisée pour anticiper des événements plutôt
que de les subir. Cela exige notamment des méthodologies d’analyse de données, pour les
transformer en information voire en connaissance.
Enfin de plus en plus de services exploitent grâce aux données collectées des fonctionnalités de
profilage ou de personnalisation, pouvant exploiter le potentiel de l’Intelligence Artificielle.
Ces usages mettent en exergue le caractère indispensable de la qualité de la donnée, et le fait

que cette dernière est considérée comme une valeur critique. Le DPO ne sera donc pas le seul
18
Dataviz : consiste à communiquer des données brutes en les transformant en objets visuels, points, barres,
courbes, cartographies, …
21
concerné par l’exigence de qualité imposée par le RGPD, et peut donc potentiellement trouver
des alliés parmi ceux qui sont impliqués dans le traitement des données.
5.3 Pertinence d’une gouvernance de la donnée

La qualité des données suppose de les organiser pour les gérer, ce qui est d’autant plus
nécessaire si on les manipule en grandes quantités. Nous vous proposons de décrire en quoi la
« gouvernance » intègre l’ensemble des actions nécessaires à garantir l’optimisation de la
qualité des données.
Tout d’abord, la gouvernance exige de formaliser la responsabilisation des acteurs qui traitent
les données. Il s’agit de formaliser le cycle de vie de la donnée et donc d’identifier qui a la
capacité de collecter, stocker, enrichir, mettre à jour, consolider, éditer, archiver ou détruire des
données. Cela permet notamment de garantir un accès des données seulement aux utilisateurs
qui justifient en avoir besoin. On retrouve ici la notion du « besoin d’en connaitre », qui
restreint l'accès à une information, qui plus est lorsqu’elle est considérée comme sensible.
La gouvernance suppose également la formalisation de l’organisation, des processus et outils

qui permettent au sein de l’organisation de définir, de mettre en œuvre et de piloter l’ensemble
des activités en lien avec la gestion des données et leur usage.
Enfin, une bonne gouvernance exige une organisation des données en amont pour les structurer,
afin de les qualifier, les filtrer ou les interpréter pour répondre aux besoins métier. Cela nécessite
par exemple de partager une sémantique pour qu’elles soient compréhensibles par les différents
acteurs qui les traiteront.
Le DPO doit être un allié du projet de gouvernance car les composantes décrites de la
gouvernance sont parfaitement alignées avec certaines exigences du RGPD, notamment dans
son 1er paragraphe de l’article 5. En effet, le point c) décrit une « minimisation des données » à
ce qui est strictement nécessaire au traitement.
Le point d) exige quant à lui que les données soient « exactes et si nécessaire, tenues à jour ».
Et le point f) évoque des « mesures techniques ou organisationnelles appropriées » en vue de
garantir l’intégrité et la confidentialité des données, ce qui suppose par exemple une restriction
de l’accessibilité des données exclusivement aux profils qui ont « besoin d’en connaitre ».
De même, concernant les informations à fournir lorsque les données sont collectées, le point a),
paragraphe 2 de l’article 13 du RGPD exige que soit précisée la « durée de conservation des
données à caractère personnel ».
Enfin, sans que le RGPD le précise en ces termes, la CNIL exige dans le cadre du plan d'action
pour se mettre en conformité19 de tenir une documentation interne complète sur les traitements
de données personnelles. C’est à ce titre que les organisations sont invitées à produire une
cartographie de leurs traitements de données.
Dans le cadre de la gouvernance des données, le RGPD confirme donc l’interdiction d’abuser
de la facilité engendrée par l’économie de l'abondance des données. Il est obligatoire d’en
19
CNIL : Cartographier vos traitements de données personnelles
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
22
garantir un niveau approprié de qualité, seul gage pour qu’elle soit synonyme de « valeur » et
« d’exploitabilité » pour l’organisation.
Et il existe une raison supplémentaire de collaboration entre le DPO et l’entité en charge des
données (Chief Data Officer, DSI ou service dédié à la valorisation des données avec des Data
Scientist, comme cela existe dans certaines organisations visionnaires de type « data driven ») :
les « données de mauvaise qualité » sont chronophages à identifier et donc coûteuses à corriger.
La seule solution cible consiste à s’orienter vers l’automatisation du traitement.
Si la seule exigence de conformité au RGPD rendrait difficile la justification de l’automatisation

des processus de collecte et de préparation des données, la valeur produite par une bonne
gouvernance apte à permettre une exploitation des données peut le justifier pleinement.
Une bonne gouvernance pose donc les fondements nécessaires pour développer des initiatives
d’exploitation des données. Cela est notamment une condition sine qua non pour que le Big
Data alimente des solutions décisionnelles voire de l’Intelligence Artificielle. Plus globalement,
la gouvernance de la donnée ne doit plus être considérée comme un simple concept, elle doit
dorénavant l’être comme une stratégie en matière de gestion de l’information.
5.4 S’inspirer de la politique européenne de la donnée

Le commissaire européen Thierry Breton a positionné la « politique européenne de la donnée »
comme l'un des enjeux clés de la nouvelle Commission, et ce dès sa nomination en novembre
2019 : « Les Européens doivent être propriétaires de leurs données et celles-ci doivent être
traitées en Europe, selon nos règles et nos valeurs ».
Et il a renforcé son propos dans une interview20 : « Il n'y avait pas une véritable politique
industrielle pour notre continent. L'une de mes missions est d'y pourvoir dans les mois qui
viennent. Comme l'a rappelé Ursula von der Leyen, cette politique prendra en compte … le
traitement des données numériques. … Concentrons-nous sur la 2ème vague du B to B, et
faisons-le avec un principe clair : les Européens doivent être propriétaires de leurs données et
celles-ci doivent être traitées en Europe, selon nos règles et nos valeurs. »
La Commission européenne a dans ce cadre publié le 19 février 2020 son livre blanc sur la
régulation de l’Intelligence Artificielle (IA)21, en créant un écosystème d’excellence et de
confiance. Ce document livre des informations intéressantes pour construire dès aujourd’hui
des solutions d’IA responsables et éthiques, en attendant un cadre normatif applicable,
spécifique à l’IA.
L’objectif est de formaliser une vision européenne qui affirme notamment un point de vue
idéologique, qui consiste à promouvoir un modèle de société où le numérique est au service de
l’humain. Cette politique ne sera pas une incitation à produire des données en vue d’une
exploitation purement commerciale ou à des fins de surveillance et de contrôle. Elle a pour
ambition de donner une vision humaniste de l’usage des données, en lien avec nos valeurs
fondamentales. Pour l’Europe, le RGPD nous distingue du reste du monde avec une approche
basée sur la confiance et le respect.
20
Interview de Thierry Breton dans les Echos du 07 janvier 2020
21
Livre blanc « Intelligence artificielle. Une approche européenne axée sur l’excellence et la confiance », 19
févr. 2020 –
https://op.europa.eu/fr/publication-detail/-/publication/ac957f13-53c6-11ea-aece-01aa75ed71a1/language-fr
23
Cela suscitera des débats éthiques pour les utilisations futures de l’IA. Car les algorithmes
n’apprennent pas seuls, ils se nourrissent des données qu’on leur fournit en entrée pour répondre
aux questions ou problématiques posées. L’IA sera donc à l’image de ceux qui la feront, ce qui
fait de l’éthique un sujet incontournable car c’est elle qui définira les orientations et limites des
usages induits. C’est l’éthique qui définira ce que nous voulons faire, en distinguant en amont
le "faisable" et le "souhaitable". Ce point sera abordé dans le chapitre 7.
Localement dans son organisation, le DPO peut évoquer un lien avec cette « stratégie
européenne sur les données » car capitaliser ou faire référence à cette initiative peut être
opportun pour une organisation. La conformité au RGPD devient alors l’un des piliers
incontournables de la déclinaison locale de cette politique.
5.5 Un exemple d’exploitation locale et éthique de la donnée avec Occitanie Data
Composé d’entreprises, collectivités, instituts de recherche ou partenaires publics ou privés,

l’association Occitanie Data22 forme un écosystème régional dynamique et dense qui dispose
de nombreuses ressources, opportunités et besoins.
Cette dynamique régionale fait le constat d’une maturité insuffisante de l’offre et des acteurs
en matière d’exploitation de la donnée et d’Intelligence Artificielle (IA). Un consensus est donc
partagé par les membres d’Occitanie Data sur la nécessité de disposer d’un guichet unique
d’accès aux données et de capacités de traitement, de stockage et d’apprentissage IA.
Sa feuille de route est en cours d’écriture, et prévoira un versant opérationnel pour répondre
aux besoins de l’écosystème ; il s’agit de créer une structure régionale dédiée à l'économie de
la donnée afin d’en valoriser localement l’exploitation.
Ces initiatives sont en cohérence avec le projet de programme européen pour une « Europe
numérique »23. L'UE a en effet établi un programme de financement qui sera lancé en 2021 pour
accompagner la transformation numérique des sociétés européennes. Sur les cinq domaines
confirmés dans son "orientation générale partielle", dont deux sont concernés par le projet
d’Occitanie Data. Il s’agit de l’Intelligence Artificielle (espaces communs de données,
infrastructures de tests et d’expérimentation, passage à l’échelle des plateformes d’accès aux
technologies IA) et de « Cybersécurité et confiance ».
Occitanie Data constitue ainsi une opportunité pour les organisations pour s’intégrer dans un
écosystème dynamique et volontaire, et initier le virage de la transformation numérique par la
donnée, en respectant un équilibre entre exploitation ou valorisation d’un côté et protection de
la vie privée.
Le DPO, qui n’est pas en responsabilisation directe sur Occitanie Data, peut ainsi identifier
parmi les ressources qui mettront en œuvre ces projets des alliés potentiels, en démontrant en
22
Occitanie Data, association pour un développement éthique de l'économie de la donnée
https://occitaniedata.fr
23
Programme pour une "Europe numérique" -
https://www.consilium.europa.eu/fr/press/press-releases/2018/12/04/digital-europe-programme-council-agrees-
its-position/
24
amont que le RGPD apporte des réponses au débat éthique, qui est indispensable à toute
initialisation de projet d’exploitation des données.
Le potentiel de collaboration croisé est ainsi pertinent entre le DPO, qui vise une conformité au
RGPD, et les nombreux acteurs de l’organisation impliqués dans le traitement des données.
En effet, ces derniers ne peuvent être que soucieux de la qualité des données en vue de leur
valorisation, de la mise en œuvre d’une gouvernance des données ou de cadre susceptibles de
les guider dans leur démarche.
La valeur ajoutée de ce type d’initiative pour le DPO est de s’assurer d’une conformité au
RGPD durable dans le temps, en impliquant une organisation formalisée, des process établis et
des ressources adéquates. Mais si cela constitue pour lui une occasion d’identifier des alliés,
encore faut-il pouvoir les fédérer et être en capacité de les intégrer dans une dynamique autour
de valeurs communes.
C’est ce que nous vous proposons de présenter dans le chapitre suivant.
6 Levier C : Partager les apports d’une culture de la donnée
6.1 Les obligations légales du RGPD en termes culture de la donnée

Tout d’abord, le considérant 78 précise que « la protection des droits et libertés des personnes
physiques … exige l’adoption de mesures techniques et organisationnelles appropriées pour
garantir que les exigences du présent règlement sont respectées. Afin d’être en mesure de
démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des
règles internes … qui respectent, en particulier, les principes de protection des données dès la
conception et de protection des données par défaut ». Ce considérant précise largement l’esprit
de l’article 25 du RGPD, communément qualifié de « Privacy by Design ».
Le point b), paragraphe 1 de l’article 39 du RGPD confirme que « la sensibilisation et la

formation du personnel participant aux opérations de traitement » fait partie intégrante des
missions du DPO.
Pour appuyer ces propos, la dernière feuille de route stratégique de la CNIL24 précise que « la
CNIL doit faire définitivement entrer la protection des données dans les mœurs et la culture
quotidienne des professionnels, condition impérative du succès du RGPD et de la sécurité
juridique des actions de la CNIL ».
6.2 Les caractéristiques d’une Culture

Pour définir ce qui caractérise une « culture », nous vous proposons de nous inspirer de deux
définitions.
24
Feuille de route stratégique de la CNIL pour la période 2019-2021 :
https://www.cnil.fr/sites/default/files/atoms/files/cnil-feuille-de-route-strategique-2019-2021.pdf
25
Tout d’abord, Edgar H. Schein définit dans son livre « Organizational Culture and
Leadership »25 la culture d'entreprise comme « un ensemble de croyances partagées que le
groupe a appris au fur et à mesure qu'il a résolu ses problèmes d'adaptation, qui a fonctionné
suffisamment bien pour qu'il soit considéré valide, et par conséquent est enseigné aux nouveaux
membres comme la manière appropriée de percevoir, de penser et de ressentir par rapport à
ces problèmes ».
Ben Horowitz en propose une définition courte et efficace26 : « La culture, ce n’est pas un
ensemble de règles magiques qui font que tout le monde se comporte comme on le voudrait.
C’est un système de comportements que vous espérez que la plupart des gens suivront la plupart
du temps. »
Ainsi, on ne peut pas limiter la culture à un ensemble de valeurs imposées ou assénées lors de
discours ou réunions, elle comporte des principes qui doivent être coconstruits et surtout
partagés collectivement.
6.3 Une synergie entre une Culture de la Donnée et le RGPD

Nous constatons que les transformations ou l’exploitation des données dans les organisations
devient l'affaire de très nombreux acteurs. De multiples exigences doivent en conséquence être
adoptées par l’ensemble de l’écosystème. On peut citer parmi celles-ci les enjeux de la
gouvernance des donnée, le potentiel de l'open data en vue de gagner en transparence si on
parvient à disposer de formats réutilisables ou encore les futures exploitations qui seront
permises par l’IA. La « littératie des données » (du terme anglais data literacy) doit également
s’intégrer dans cette culture, afin de développer les compétences, connaissances et attitudes qui
permettront de tirer des renseignements utiles des données.
Si le RGPD ne fait pas référence nommément à une notion de « culture de la donnée », il

identifie la nécessité d’une sensibilisation et d’un apprentissage concernant la « protection de
la donnée » : l’objectif du DPO sera d’ancrer la protection des données dans des réflexes pour
initier de bonnes pratiques.
Il est donc opportun que le DPO s’implique dans la définition et la mise en œuvre de cette
culture, pour que la protection des données en constitue l’un des domaines clé et devienne ainsi
un réflexe dès la phase de conception d’un traitement. Les bonnes pratiques exigées par le
« Privacy by Design » constituent un socle solide pour la Culture à développer.
6.4 Un exemple de réseau de référents en Occitanie

Pour mettre en conformité un traitement dans une grande organisation, il ne faut pas seulement
connaitre les exigences du RGPD, mais également en maitriser la dimension « métier » (quelles
sont les particularités à prendre en considération, les enjeux, l’écosystème et ses acteurs, …).
Le DPO ne peut donc pas agir seul et c’est la raison pour laquelle un réseau opérationnel de
référents a été nommé au sein des directions pour collaborer à la mise conformité des
traitements. Des présentations leur ont été dédiées afin de leur expliquer leur mission initiale.
25
Edgar H. Schein, Organizational Culture and Leadership (Wiley - 2016)
26
Ben Horowitz, What You Do Is Who You Are : How to Create Your Business Culture (Dunod 2019)
26
Elle consiste globalement à recenser les traitements, compléter les fiches de registre et se
positionner sur chaque nouveau projet en adoptant les bonnes pratiques issues du « Privacy by
Design » afin qu’ils adoptent des réflexes sur le sujet de la protection des données.
Les référents sont ainsi positionnés en qualité de relai intermédiaire entre le DPO et la Direction
en charge du traitement.
A plus long terme, il est envisagé de créer une

communauté plus large afin de les faire monter en
compétence plus largement sur la « culture de la donnée
», en les sensibilisant sur les thèmes de l’Open Data, du
SIG (Système d’Information Géographique), du
décisionnel, de la sécurité, voire du potentiel de l’IA par
la suite.
Un plan de formation reste à formaliser avec une animation dynamique afin de professionnaliser
et valoriser cette communauté, qui deviendrait le « noyau dur » de la donnée. Le but est
également de faire acquérir des compétences comportementales transversales pour que ces
relais sachent motiver et influencer.
Mais exploiter les nombreuses données valorisées conformément à la culture de la protection
des données nécessite une acceptation de partage de la part des personnes concernées. Cela
nécessite un cadre de confiance et nous vous proposons d’aborder cette problématique dans le
chapitre suivant.
7 Levier D : Sceller un pacte de confiance avec l’utilisateur
7.1 Les obligations légales du RGPD dans le cadre de la relation avec l’utilisateur
Le RGPD confirme clairement la protection des données personnelles comme un droit
fondamental, ce principe étant posé dès ses deux premiers considérants, en faisant notamment
référence à la Charte des droits fondamentaux de l’Union européenne. Si les considérants ne
font pas force de loi, ils explicitent le règlement et constituent une source pour son
interprétation.
Le premier considérant du RGPD énonce que « La protection des personnes physiques à

l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8,
paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne et l’article 16,
paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute
personne a droit à la protection des données à caractère personnel la concernant. »
Son deuxième considérant précise quant à lui que « Le présent règlement vise à contribuer à la
réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au
progrès économique et social, à la consolidation et à la convergence des économies au sein du
marché intérieur, ainsi qu’au bien-être des personnes physiques ».
27
L’article 12 du RGPD décrit ainsi les exigences de « transparence des informations » à rendre
accessibles aux personnes concernées, les articles 13 et 14 précisant le contenu : il est ainsi
confirmé la nécessité d’une information « concise, transparente, compréhensible et aisément
accessible ».
7.2 Définition de la confiance dans le cadre de la protection des données

Elle peut être définie comme un mécanisme de réduction de l’incertitude, générant un sentiment
de sécurité : elle peut donc être acquise grâce à un processus de transparence.
Mais la confiance n’est pas binaire, elle procède d’une démarche complexe qui peut évoluer en
fonction du contexte. Elle peut en effet différer si on considère un échange avec une société du
groupe des GAFAM27 ou des BATX28, une entreprise nationale, l’Etat ou une collectivité. Le
niveau de confiance peut également dépendre du rapport au numérique, en fonction de ses
usages ou de la perception de ses effets sociétaux ou en termes de progrès, comme l’expose en
détail le sondage d’Occitanie Data, présenté au chapitre 7.4.
7.3 Importance de la confiance pour partager des données

Pour illustrer la réelle prise de conscience des utilisateurs de l'usage qui peut être fait de leurs
données à caractère personnel, le général Marc Watin-Augouard, fondateur du Forum
international de la cybersécurité (FIC) a indiqué lors du salon de janvier 202029 en s’adressant
aux participants « demain, vous ne pourrez pas développer d'activités numériques sans avancer
des garanties sur l'usage qui en sera fait ».
Pour appuyer ce propos, Michel Sapin, en sa qualité de Ministre des Finances et des Comptes
publics avait affirmé le 30 mars 2016 à Bercy que « la transparence est une conquête jamais
achevée : elle est nécessaire … car l’opacité est la mère de tous les soupçons, de toutes les
défiances, de toutes les démagogies, de toutes les dérives ».
De nombreux sondages viennent appuyer ces propos. Parmi eux, le baromètre CNIL - LINC
201930 confirme que 84% des internautes sont très attentifs dans le paramétrage de leur
navigation, démontrant que les pratiques de protection des données progressent et qu’il est
désormais inscrit dans les usages d’être vigilant notamment quand cela concerne directement
sa vie privée.
De même, une autre enquête31 fait ressortir que « la confidentialité des données est une
préoccupation pour 96% des consommateurs … et que 88 % des personnes interrogées
cesseront de recourir à un service utile en cas de doute quant à la façon dont leurs données
sont traitées ».
27
GAFAM : acronyme des géants du Web américains — Google, Apple, Facebook, Amazon et Microsoft.
28
BATX : acronyme des géants du Web chinois - Baidu, Alibaba, Tencent et Xiaomi.
29
Général Marc Watin-Augouard en janvier 2020 lors du salon FIC - Interview :
https://www.youtube.com/watch?v=2O6irWV3CEc
30
Baromètre CNIL - LINC 2019 : des internautes toujours très attentifs dans leur navigation
https://linc.cnil.fr/fr/barometre-linc-2019-les-pratiques-de-protection-des-donnees-progressent
31
Enquête CES2020 Etude CITE Research Dassault Systèmes de janvier 2020, abordant la nécessité de partage
des données pour bénéficier d’une personnalisation du service :
https://mydigitalweek.com/ces2020-etude-cite-research-dassault-systemes-vers-une-personnalisation-et-une-
monetisation-des-donnees/
28
Nous ne pouvons que constater que les questions de confiance prennent de l’ampleur à mesure
que le potentiel des technologies émergentes se précise et que leur adoption gagne du terrain.
Chaque organisation se doit de résoudre le dilemme découlant d’une tension entre « l’art du
possible » et « l’art de l’acceptable ». Le challenge est que chacun contribue à créer un futur
plus optimiste et rassurant, notamment en faisant preuve de transparence
La définition d’un cadre éthique peut contribuer à favoriser la confiance des utilisateurs en
atténuant leur défiance. Dans ce cadre, les exemples suivants permettre de montrer la pertinence
pour une organisation d’aller au-delà des obligations imposées par le RGPD.
7.4 Cas pratique d’une exploitation régionale éthique de la donnée

Occitanie Data32 est une structure régionale sur le territoire de la Région Occitanie, dédiée à
l'économie de la donnée (voir chapitre 5.5). Bertrand Monthubert, son président et Conseiller
Régional de la Région Occitanie, affirme sa volonté de préserver la confiance des utilisateurs
en amont de la valorisation des données, pour construire une économie de la donnée juste et
viable. Il indique ainsi vouloir « aller plus loin dans le partage de données, avec des usages à
cadrer de manière spécifique en étant responsable et respectueux pour éviter la défiance ».
La problématique identifiée par cette structure est de parvenir à une utilisation optimale des
données des utilisateurs en vue de créer de nouveaux usages. Elle doit donc identifier les leviers
de réassurance afin d’établir ou de rétablir la confiance.
A cette fin, un sondage quantitatif et qualitatif33 a été réalisé à la demande d’Occitanie Data en
septembre 2019. Son objectif est de révéler les réticences ou les facteurs de réassurance des
utilisateurs lorsqu’il s’agit de partager des informations relevant de leur vie privée.
Parmi les facteurs potentiels de réassurance, ce sondage identifie les bénéfices attendus en
retour de l’exploitation des données et le niveau de confiance dans les acteurs avec qui ils
partagent ces données. Ainsi, une faible majorité (52%) est favorable à ce que des acteurs
publics et des acteurs privés échangent des données et les exploitent « afin d’améliorer des
services publics ou des produits et des services privés ». Et 81% se déclarent favorables à une
initiative de coopération à l’échelle régionale entre acteurs publics et privés.
Ce sondage révèle également que le fait d’exposer clairement les finalités justifiant la collecte
et l’exploitation des données est susceptible de lever leurs réticences. En effet, 76% sont
demandeurs d’informations régulières et de pédagogie sur l’utilisation des données et 69%
expriment le souhait de l’adoption d’une charte éthique. Cela signifie clairement que si on
présente la finalité du traitement des données, le niveau de confiance s'améliore.
Occitanie Data est donc en cours de production d’une Charte Ethique, qui a pour objectif de
présenter à la fois une fonction pédagogique en explicitant clairement le projet et ses intentions,
et une fonction d’engagement de tous les partenaires participant au projet. Il est intéressant de
noter que si la version initiale de la charte éthique a été produite par un groupe d’experts, la
version qui sera publiée sera rédigée selon une méthodologie collaborative originale.
32
Occitanie Data, association pour un développement éthique de l'économie de la donnée
33
Sondage Harris Interactive commandé par Occitanie Data en septembre 2019 sur les attitudes, jugements et
attentes à l’égard de la gestion des données -
https://occitaniedata.fr/le-sondage-harris-interactive-commande-par-occitanie-data-et-son-partenaire-civiteo-
devoile/
29
Christophe Abrassart34, professeur de design et chercheur à l'université de Montréal, a en effet
initié une démarche pour la déclaration de Montréal sur l'IA, qualifiée de « Design Fiction ».
Le principe du « Design Fiction » est d’impliquer les utilisateurs dans des scénarios prospectifs.
Il s’agit d’initier et d’alimenter des cas d’usage, de les mettre à l'épreuve en suscitant des débats.
En réaction à ces projections, la suite consiste à exprimer des recommandations pour le présent
afin que les scénarios prospectifs négatifs ne se produisent pas demain.
Plus globalement, il faut « designer » le champ des « possibles » pour garantir un résultat
conforme et pertinent, pour éviter de se focaliser sur le champ des « probables » par le seul
examen des données.
7.5 L’éthique des affaires, un levier fort au service du DPO

René Dosière a publié dans le journal Le Monde une tribune35 intitulée « Faisons de la France
une nation pionnière en matière d’éthique des affaires » : il s’agit de considérer qu’une
organisation (collectivité, entreprise, association, …) n’a pas de « valeur sans valeurs », en
d’autres termes, que l’entreprise inspirée par des valeurs est notre avenir.
C’est dans ce cadre que certaines entreprises se définissent une « raison d’être ». Elle consiste
à déterminer en toute transparence l’ambition poursuivie et représente donc une opportunité
pour expliquer sa vision, et être mieux compris par ses utilisateurs. En élargissant son rôle au-
delà de la sphère économique, une entreprise affiche ainsi que son ambition est plus large, et
non centrée sur l’unique recherche du profit. Cette notion fait émerger le nouveau paradigme
de « l’entreprise citoyenne ».
Cette notion est abordée dans le texte de la loi Pacte, afin de permettre d’inscrire une « raison
d’être dans leurs statuts » : « Les statuts peuvent préciser une raison d'être, constituée des
principes dont la société se dote et pour le respect desquels elle entend affecter des moyens
dans la réalisation de son activité ».
L’affirmation d’une « raison d’être », qui s’assimile à un engagement éthique, devient un

changement de paradigme pour les organisations, et présente l’opportunité de répondre aux
nouvelles exigences du citoyen et du consommateur.
Cela permet de mériter le qualificatif de « personnes morales », et signifie que créer de la valeur
ne suffit plus, il faut également avoir des valeurs et les afficher.
On peut citer l’exemple du Président d’Orange, qui annonce la « raison d’être » de son groupe
en décembre 2019 : « Acteur de confiance qui donne les clés d’un monde numérique
responsable ». « Bâtir la confiance en notre société » est celle de PWC, annoncée en octobre
2019 par Bob Moritz, président du réseau international d'audit-conseil.
34
Christophe Abrassart, Professeur agrégé à l'Université de Montréal, Responsable du Laboratoire écodesign -
https://design.umontreal.ca/professeurs/fiche/in/in16712/sg/Christophe%20Abrassart/
35
René Dosière, président de l’observatoire de l’éthique publique - Tribune dans Le Monde du 17/01/20 -
https://www.lemonde.fr/idees/article/2020/01/13/rene-dosiere-faisons-de-la-france-une-nation-pionniere-en-
matiere-d-ethique-des-affaires_6025642_3232.html
30
Et sans qu’il s’agisse d’une « raison d’être »,
Apple a confirmé l’exigence de la confiance en
misant, lors du Consumer Electronic Show (CES)
de Las Vegas en 2019 sur le slogan :
« Ce qui se passe sur ton iPhone

reste sur ton iPhone. »
Il devient ainsi fondamental qu’une organisation soit en cohérence vis-à-vis de ses valeurs, qui
définissent un « code de conduite ». Le fait de communiquer et donc de mettre en avant ces
valeurs engagera l’organisation dans une démarche éthique et contribuera à donner confiance à
l’utilisateur. Si l’engagement suppose des services respectueux de la vie privée, cela pourrait
atténuer l’inquiétude des utilisateurs, en leur faisant accepter de partager leurs données.
7.6 Une projection dans une société sans éthique

Afin de ne pas focaliser exclusivement sur l’intérêt que peut apporter une éthique pertinente,
imaginons à l’inverse ce que pourrait laisser présager une société sans éthique.
Alain Damasio décrit dans son roman de Science-Fiction « Les Furtifs »36 une société dans
laquelle chaque citoyen est déclaré libre mais tracé en permanence, et où chacune de ses actions
produit de la donnée commercialisable, grâce à une qualification enrichie par l’IA qui favorise
le marché de la donnée. Dans cette projection, « l’aliénation n’a même plus à être imposée, elle
est devenue un self serf vice ».
Le risque n’est hélas pas nul que cette fiction devienne réalité. Car les technologies évoquées
existent ou elles sont en cours de recherche au sein des GAFAM américaines ou des BATX
chinoises. Le rejet de ce type de finalité pour nos organisations doit être motivé par nos valeurs
éthiques, et non par la seule crainte de ne pas être conforme au RGPD !
Nous pouvons donc constater que nous nous dirigeons vers une exigence éthique renforcée,
imposée par les utilisateurs. Ce n’est plus la technologie seule qui contraindra les futurs usages
car c’est uniquement en créant un contexte de confiance qu’ils accepteront plus facilement de
partager leurs données. Dans ce cadre, le DPO a l’opportunité d’argumenter que le RGPD invite
à (re)mettre l'humain au cœur du fonctionnement, des valeurs et des processus gérés par nos
organisations.
Il s’agit de l’essence même du règlement, son premier considérant affirmant que « toute
personne a droit à la protection des données à caractère personnel la concernant ». Le RGPD
n’est donc pas seulement à considérer comme une obligation ou un projet spécifique à piloter.
Il décrit la voie pour que toute organisation définisse de manière transparente vis-à-vis de ses
utilisateurs une cible éthique qui inspire la confiance.
Nous vous proposons désormais de voir la valeur ajoutée que peut apporter une culture de
l’écrit, et en quoi le RGPD permet d’en démontrer la valeur ajoutée.
36
Alain Damasio, Les Furtifs (La Volte) - 2019
31
8 Levier E : Développer une culture de l’écrit, voire capitaliser
sur le programme de « compliance »
8.1 Les obligations légales du RGPD dans le cadre de la culture de l’écrit

Le paragraphe 2 de l’article 5 du RGPD confirme que « le Responsable de Traitement est en
mesure de prouver que les principes relatifs aux traitements de données à caractère personnel
sont respectés ».
C’est dans ce cadre que le RGPD introduit la notion essentielle d’accountability, la CNIL la
définissant comme étant « l’obligation pour les entreprises de mettre en œuvre des mécanismes
et des procédures internes permettant de démontrer le respect des règles relatives à la
protection des données ».
De nombreux articles du RGPD complètent cet article 5 en précisant la documentation à

produire par le Responsable de Traitement pour toutes les actions contribuant à assurer une
protection adéquate des données à caractère personnel.
La nécessité de documenter « des mesures techniques et organisationnelles appropriées » est
précisée à l’article 25 tandis que l’article 28 impose de documenter les « garanties suffisantes »
apportées par le sous-traitant. L’Article 30 impose un « Registre des activités de traitement »
afin de documenter de manière formalisée et structurée tous les traitements opérés, à compléter
par une « description générale des mesures de sécurité techniques et organisationnelles » telle
que visée à l'article 32.
D’autres types de documents sont exigés selon certaines conditions, tels que les analyses
d’impact relatives à la protection des données (AIPD) pour les traitements susceptibles
d'engendrer des risques élevés pour les droits et libertés des personnes conformément à l’article
35 du RGPD.
Et en cas de violation de données à caractère personnel, l’Article 33 du RGPD impose au

responsable du traitement de documenter tout incident et de les notifier à l'autorité de contrôle.
Nous pouvons également citer les descriptions de l'encadrement des transferts de données hors
de l'Espace Economique Européen ou de l’un des pays bénéficiant d’une mesure d’adéquation
(selon l’article 45 du RGPD). On peut citer dans ce cadre les règles d’entreprise contraignantes
(BCR) telles que décrites à l'article 47 du RGPD ou les mesures appropriées décrites à l'article
46 (clauses contractuelles types, codes de conduite ou mécanismes de certification),
La CNIL encourage également de manière complémentaire à conserver les argumentaires pour

le choix de la base légale, la justification des durées de conservation ou les critères ayant par
exemple conduit à ne pas mener une analyse d’impact.
8.2 Le bénéfice de capitaliser sur une « culture de l’écrit »

Au-delà de ces documentations obligatoires, le RGPD doit être vu comme une opportunité pour
l’organisation d’encourager une « culture de l’écrit », pour notamment capitaliser sur ses
connaissances. La documentation du RGPD n’est alors plus à considérer comme « une charge
réglementaire », mais comme l’un des éléments constituant la Gestion de la Connaissance.
Cette gestion a pour but de faire la distinction entre les données, les informations ou les
connaissances, qui constituent les composantes qui mènent vers la prise de décision et l'action.
32
Par expérience, la fiche de registre est d’ailleurs parfois la meilleure synthèse permettant de
présenter les différentes composantes d’un traitement et est une opportunité pour consolider la
performance de l’organisation.
8.3 La pertinence de tendre vers un principe de « compliance »
L'Association française des juristes d'entreprises (AFJE) définit la « Compliance » comme : «

l'ensemble des processus qui permettent d'assurer le respect des normes applicables à
l'entreprise par l'ensemble de ses salariés et dirigeants, mais aussi des valeurs et d'un esprit
éthique insufflé par les dirigeants ».
La « compliance » peut ainsi être considérée comme une action proactive qui vise à organiser
les procédures et les moyens nécessaires au respect de la réglementation par l'organisation. Elle
doit être portée par l'engagement des dirigeants et doit être a minima formalisée par un code de
conduite, une charte interne ou la mise en place de procédures.
Le DPO peut ainsi argumenter que la charge non négligeable qu’exige la documentation du
RGPD permet d’alimenter la compliance, cette dernière étant à considérer comme une source
de performance pour l’organisation, voire un atout de compétitivité. Les ressources à investir
ou la complexité de mise en œuvre se traduit ainsi en avantage.
Nous voyons donc la synergie qui peut être identifiée entre le plan de conformité au RGPD et
le programme de « compliance ». Tout d’abord pour le RGPD, le plus délicat n'est pas d'établir
un programme de conformité, mais de l’intégrer dans le fonctionnement de l’organisation que
sous-tend la « Compliance ». Et le DPO pourra mettre en avant le caractère obligatoire du
RGPD et son réseau de référents, qui sont des acteurs sensibilisés et responsables, qui peuvent
contribuer activement à la mise en œuvre d’un programme de compliance. La personne en
charge de ce programme doit donc devenir l’alliée du DPO.
Dans un autre registre, la transition énergétique est une préoccupation majeure de notre société
et aucune organisation ne pourrait se permettre ne pas s’en soucier. Nous vous proposons de
voir en quoi le DPO peut identifier des alliés sur ce sujet.
9 Levier F : S’intégrer dans les enjeux du développement

durable
9.1 Les obligations légales du RGPD dans le cadre du volume des données
Le point c) du paragraphe 1 de l’article 5 du RGPD confirme les données collectées doivent
être « adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des
finalités pour lesquelles elles sont traitées (minimisation des données) ».
33
Le point e) du même article précise que ces données doivent être « conservées sous une forme
permettant l'identification des personnes concernées pendant une durée n'excédant pas celle
nécessaire au regard des finalités pour lesquelles elles sont traitées ».
L'article 25 confirme ces principes en exigeant qu'ils soient pris en considération dès la phase
de conception du traitement et par défaut, selon les principes du Privacy by Design et "Privacy
by Default".
9.2 Une évolution des pratiques de collecte et de conservation à intégrer

Par expérience, nous ne pouvons que constater que le principe qui dictait la collecte et la
conservation des données étaient initialement basée sur la pratique empirique « on collecte et
on conserve au cas où ».
Le RGPD impose un changement complet dans les pratiques, la collecte devant être justifiée
par la nécessité au regard de la finalité et une durée de conservation devant être déterminée en
fonction de l’objectif ayant conduit à sa collecte.
Si la collecte des données peut être maitrisée, la gestion de la durée de conservation est un
véritable challenge car elle est délicate à la fois réaliser manuellement, mais également à
automatiser.
9.3 Une volonté de réduire l’impact environnemental du numérique
Le Baromètre du numérique ARCEP 201937 démontre que la population a désormais envie de

réduire l’impact environnemental du numérique. Près de la moitié de la population s’estime
insuffisamment informée des impacts environnementaux du numérique, sachant que 80%
exprime le souhait de réduire l’empreinte environnementale de ses équipements et que 69%
souhaite réduire l’impact de ses usages.
Nous sommes donc face à deux transitions qui apparaissent inéluctables.
D’un côté le précédent sondage révèle une prise de conscience des utilisateurs, l’impact
environnemental du numérique jugé préoccupant est amplifié par le fait que la transition
énergétique apparait de plus en plus comme une nécessité au vu des catastrophes climatiques.
Et d’autre part, la transition numérique semble incontournable, et transforme nos modes de vie
tant dans le cadre personnel que professionnel. Le secteur du numérique (serveurs, réseaux,
ordinateurs, smartphones, …) génère des émissions de gaz à effet de serre significatives au
niveau mondial, plus importantes que celles du secteur de l'aviation. Ces dernières sont
notamment proportionnelles au volume de données consommées. Cette transition est de plus
amplifiée par le déploiement de capteurs dans les objets connectés ou avec le potentiel
d’échange de données apporté par la future 5G.
9.4 Une opportunité de synergie entre le RGPD et l’enjeu environnemental
Les initiatives dans les secteurs numérique et énergétique sont rarement élaborées de manière
convergente. Mais le DPO peut inciter à accorder et lier ces politiques pour réussir la
37
Baromètre du numérique ARCEP 2019
https://www.arcep.fr/uploads/tx_gspublication/dossier-presse-barometre-num-2019.pdf
34
transformation numérique en respectant certes la conformité au RGPD, également en prenant
le virage énergétique, ce dernier apparaissant comme une attente voire une exigence de la part
des utilisateurs.
Sans prétendre que le RGPD serait la solution, il peut néanmoins enclencher une dynamique
vertueuse. Le premier sujet focaliserait sur les obligations liées à la minimisation des données
collectées et conservées, cela contribuant à réduire le stockage, les sauvegardes et les calculs
réduisant ainsi l’empreinte énergétique.
Le deuxième sujet de collaboration serait d’intégrer au sein des bonnes pratiques du « Privacy
by Design » une invitation à élaborer de manière convergente la dimension de conformité au
RGPD et l’approche environnementale. Ce positionnement constitue une occasion pour le DPO
de se faire des alliés parmi les promoteurs de la transition énergétique.
Le DPO peut également intégrer une autre bonne pratique dans le cadre du « Privacy by
Design», en vue de consolider les données dans des bases de référence.
10 Levier G : Collaborer à la constitution de référentiels de

données
10.1 Les obligations légales du RGPD dans le cadre de la constitution de référentiels

Le point d) du paragraphe 1 de l’article 5 du RGPD confirme que les données doivent être
« exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises
pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour
lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ».
En conséquence, le responsable du traitement doit prendre les mesures appropriées afin que des
données inexactes ou incomplètes au regard des finalités soient effacées ou rectifiées.
10.2 La constitution de bases de données de référence pour optimiser l’exactitude des

données
Tous les usages que nous venons de passer en revue nécessitent de disposer de données fiables.
Cela est délicat d’autant plus pour celles qui proviennent de sources multiples et
désynchronisées. Les données peuvent en effet provenir de bases de données classiques, mais
aussi de « data wharehouses » avec des données issues de sources hétérogènes mais
transformées, ou encore de « data lakes » comprenant des données de nature et de provenance
complètement différentes, stockées dans leur format original.
Le fait de consolider et donc d’organiser les données dans des bases identifiées et documentées
peut donc potentiellement améliorer leur niveau de qualité et donc optimiser leur future
exploitation. Une solution répondant à ce besoin consiste à centraliser le stockage dans des
bases, considérées comme des référentiels.
10.3 Des exemples de constitution de base de données de référence

Nous vous proposons d’exposer trois exemples de constitution de base de données de référence
qui ont été ou sont en cours de mise en œuvre au sein de la Région Occitanie.
35
Le premier consiste à harmoniser et unifier la gestion des contacts de la Région Occitanie. La
Région Occitanie gérait initialement ses contacts pour ses activités protocolaires, sa
communication institutionnelle et les besoins de ses directions opérationnelles de manière non
harmonisée via divers processus ou outils.
Ces différents traitements de contacts constituaient un risque avéré de non-conformité au RGPD
car l’absence de stockage centralisé ne donnait pas de vision consolidée des personnes
concernées. Ainsi, il était délicat de maitriser leur consentement et de répondre favorablement
aux demandes d’exercice de droit (accès aux données, retrait du consentement et effacement
des données)
C’est dans ce contexte qu’il a été décidé de faire basculer progressivement l’ensemble des
usages des différentes directions dans un outil unique : le référentiel correspondant sert la
conformité au RGPD, mais a également été positionné pour servir la stratégie de la gestion des
contacts
Un 2ème exemple consiste à partager les données des personnes en recherche d’emploi. Le
champ de la formation professionnelle des personnes en recherche d’emploi implique à la fois
l’État, Pôle Emploi et les Régions. Si chacune a développé un système d’information adapté à
son propre besoin, il est incontournable de partager ses données pour disposer d’une vue
consolidée et collectivement renforcer le suivi et la mesure d’impact des actions déployées.
La solution en cours de mise en œuvre est basée sur la capacité à mettre les données à
disposition des différents systèmes de gestion à partir d’un agrégateur de données, qui organise
les échanges.
Un troisième exemple consiste à unifier et industrialiser la gestion des identités des entreprises.
La loi NOTRé38 a confirmé que « le conseil régional a compétence pour promouvoir le
développement économique ». Dans ce cadre, de nombreux acteurs régionaux collaborent pour
gérer les relations avec les entreprises et il a été donc jugé pertinent de mettre en œuvre un
service d’identités numériques pour pouvoir les identifier et les authentifier de manière unique.
Un lien a également été établi avec le programme « Dites-le nous une fois »39 proposé par la
direction interministérielle de la transformation publique (DITP), en vue de simplifier la vie
des entreprises.
Citant l’exigence d’exactitude des données imposées par le RGPD, le DPO peut donc appuyer
ou conforter les initiatives identifiées pour constituer des référentiels de données, ces derniers
contribuants in fine à optimiser le niveau de qualité.
Mais ces initiatives sont susceptibles d’impliquer de nombreux acteurs, il est donc pertinent et
même vertueux que chacun d’eux soit responsabilisé en fonction de son rôle : le DPO peut là
encore accompagner cette démarche en cadrant avec les obligations du RGPD.
38
Loi NOTRé du 7 août 2015 portant nouvelle organisation territoriale de la République
https://www.vie-publique.fr/loi/20721-loi-notre-loi-du-7-aout-2015-nouvelle-organisation-territoriale-de-la
39
Programme « Dites-le nous une fois » de la DITP :
https://www.modernisation.gouv.fr/home/dites-le-nous-une-fois-un-programme-pour-simplifier-la-vie-des-
entreprises
36
11 Levier H : Définir en amont les rôles et responsabilités des
acteurs d’un projet
11.1 Les obligations légales du RGPD dans le cadre de la définition des responsabilités des
acteurs d’un projet
L’article 4 du RGPD précise certaines définitions. C’est ainsi que son Paragraphe 7 définit le
Responsable de Traitement comme « la personne morale (entreprise, commune, etc.) ou
physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la
façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son
représentant légal ».
Le paragraphe 8 définit le Sous-Traitant comme étant « la personne physique ou morale,

l'autorité publique, le service ou un autre organisme qui traite des données à caractère
personnel pour le compte du responsable du traitement ».
Les paragraphes 9 et 10 précisent quant à eux les rôles de « Destinataire » et de « Tiers ».
L’article 26 du RGPD introduit quant à lui le principe de « Responsables conjoints du

traitement » : il est ainsi précisé que : « Lorsque deux Responsables de Traitement ou plus
déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables
conjoints du traitement : ils définissent de manière transparente leurs obligations respectives
aux fins d'assurer le respect des exigences du présent règlement et leurs obligations respectives
quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre
eux ».
Ces définitions sont structurantes et le RGPD permet d’en avoir une lecture commune pour tous
les pays de l’UE, voire de l’EEE : elles définissent en amont le rôle de chaque acteur, reste
ensuite à identifier les responsabilités de chacun.
11.2 La définition des responsabilités de chaque acteur

Le rôle attribué à chacun des acteurs est essentiel et structurant car c’est lui qui attribuera ses
responsabilités en intégrant toutes les conséquences juridiques associées. Que ce soit avec des
éditeurs, des fournisseurs, des partenaires ou autre, il est indispensable au niveau du RGPD de
définir et contractualiser le partage des responsabilités dès la passation d’une commande afin
de contractualiser ce partage.
Parmi les responsabilités à partager, et donc les engagements à imposer, on peut citer
conformément aux préconisation de la CNIL le respect strict des finalités de traitement,
l’obligation de confidentialité, la protection dès la conception, la chaine de sous-traitance à faire
approuver, la notification des violations ou failles de sécurité, le sort des données à définir et
respecter, la garantie de traitement de la sécurité des données à un niveau approprié ou encore
l’obligation d’assistance, d’alerte et de conseil,
11.3 Une occasion pour repenser la relation contractuelle

Cette définition et contractualisation des rôles et du partage de responsabilités entre acteurs
d’un projet permet de développer des relations plus saines en contractualisant les responsabilités
37
et éviter potentiellement de mauvaises compréhensions. Le fait d’allouer des responsabilités
permettra et se prémunir de sanctions ou d’anticiper les éventuelles compensations financières.
Le RGPD est donc l’occasion de développer une démarche vertueuse de partage de

responsabilités avec les acteurs d’un projet. Si la relation entre un Responsable de Traitement
et ses Sous-traitants est couramment cadrée, le principe de responsabilité conjointe est
particulièrement pertinent, notamment lorsque l’on considère un traitement global qui
correspond à un intérêt commun. Il s’agit alors d’identifier puis définir des responsabilités
distinctes et précises pour chaque maillon du traitement.
Le 2ème exemple du chapitre 10.3 a notamment nécessité une convention entre l’entité en charge
du SI de Pôle Emploi et les différentes Régions. Et dans le cadre du 3ème exemple cité au chapitre
10.3, le fait que le DPO exige ce partage de responsabilité a permis d’établir une convention
numérique entre la Région et son agence de développement économique. Ce document qui
n’avait jamais été produit est qualifié de particulièrement vertueux par la Direction des Affaires
Juridiques.
Le fait que le DPO se positionner un amont du projet pour cadrer et exiger ce partage de
responsabilités entre les différents acteurs peut réellement être considéré comme vertueux, et
laisse présager une bonne initialisation de la collaboration pour la suite du projet.
38
Articulation des leviers porteurs de valeur :
Le schéma ci-dessous synthétise l’articulation entre les leviers porteurs de valeur qui ont été
présentés dans les chapitres précédents.
La nécessaire transformation a besoin de consommer des données de qualité pour alimenter ses
services, données qui ne peuvent être obtenues de la part des personnes concernées que dans un
cadre de confiance et si le service est apprécié. Ce cercle vertueux sera d’autant mieux alimenté
si une culture de la donnée permet de garantir un niveau de qualité adapté, en intégrant
notamment une culture de l’écrit, la prise en compte des enjeux de développement durable, la
constitution de référentiels de données et la définition des responsabilités entre les différents
acteurs internes ou externes d’un traitement.
ORGANISATION Utilise si PERSONNE CONCERNEE

Levier
Levier
Exigence de Transformation Cadre de
Nouveaux Usages service apprécié D confiance
Cercle vertueux
à alimenter
DONNEES
Levier
de Qualité B
Levier
Culture de la donnée C Exigences, valeurs,

compétences, attitudes
Levier Levier Levier Levier
E F G H
Enjeu Constitution Définition
Culture de
développement de rôles et resp
l’écrit
durable référentiels des acteurs
Gestion de la Minimisation des Exigence Repenser la relation
connaissance, données, convergence d’exactitude contractuelle,
compliance « by design » des relations plus saines
dynamiques
39
12 Conclusion
Nous venons donc de voir que pour lutter contre l’isolement du DPO et ses ressources limitées,
le RGPD peut être positionné non exclusivement comme une obligation légale, mais comme un
projet collectif, créateur de valeur pour l’organisation.
Pour cela, le DPO doit s’interroger sur les composantes du RGPD pouvant s’aligner sur la
« Stratégie de l’organisation » ou sur d’autres ambitions. Il doit identifier les sujets pouvant
motiver d’autres ressources en vue de susciter des collaborations. Pour cela, il reste positionné
dans son rôle de conseil et de sensibilisation, en attirant l'attention grâce à une argumentation
ciblée pouvant générer des prises de conscience.
Il doit tout d’abord se positionner sur l’enjeu du développement des « usages numériques » en
argumentant qu’une transformation ne peut être initiée sans se fonder sur la protection des
données personnelles. L’esprit du RGPD doit inciter à repenser la façon de gérer les données,
en permettant aux utilisateurs d’en conserver le contrôle pour protéger leur vie privée. Ainsi, le
DPO sera intégré dans les réflexions liées aux projets de transformation, en générant des
collaborations constructives grâce au cadrage apporté par le RGPD.
Ce sont les données qui alimenteront les usages issus de la transformation, et le DPO s’attachera
à l’exigence de qualité, se faisant ainsi des alliés parmi tous ceux qui utilisent cette donnée. Un
bon niveau de qualité est en effet indispensable pour valoriser ou « faire parler » une donnée,
la convertir en information, en la positionnant comme un actif clé voire stratégique de
l’organisation.
Pour pouvoir bénéficier de données, les utilisateurs doivent accepter de les partager et un cadre
de confiance permet d’atténuer leur défiance. Le DPO peut se positionner comme un allié pour
répondre à cet enjeu éthique en coconstruisant ce cadre de confiance. Cette transparence dans
l’usage des données constitue une opportunité pour afficher les valeurs et engagements de
l’organisation, le DPO pouvant en profiter dans le cadre de l’obligation d’information.
Puisque le traitement des données devient l'affaire de très nombreux acteurs, de multiples
exigences doivent être adoptées par tout un écosystème, ce qui est une occasion pour développer
et diffuser une culture de la donnée, pour ancrer dans de bonnes pratiques toute initiative
permettant de s’adapter aux nouveaux enjeux liés aux données et contribuer au respect des
obligations du RGPD. Parmi les réflexes à faire adopter, on peut citer l’encouragement d’une
«culture de l’écrit » pour profiter du bénéfice d’une documentation pertinente en capitaliser sur
les connaissances. De même, enclencher une dynamique vertueuse en intégrant l’approche
environnementale dans les bonnes pratiques du « Privacy by Design » permet une collaboration
potentielle avec les acteurs soucieux de réduire l’impact environnemental du numérique. Enfin,
cette culture peut conforter les initiatives de constitution de référentiels de données et inviter à
repenser la relation contractuelle en partageant les responsabilités entre les différents acteurs
d’un traitement.
Grâce à cette démarche, la conformité au RGPD pourra s’intégrer dans un projet d'entreprise
porteur de valeur, au sens où il apporte de réels bénéfices non exclusivement focalisés sur la
conformité réglementaire. Et la conformité s’en trouvera confortée à la fois car elle bénéficiera
de ressources financières et humaines supplémentaires, mais aussi parce que la culture
développée et les process décrits permettront une conformité durable, avec une efficacité
40
démultipliée grâce à un réseau d’acteurs qui y contribue, plus efficacement qu’avec un DPO
isolé.
Mais pour cela, le DPO doit faire preuve d’une certaine aisance relationnelle et doit savoir
susciter la confiance pour transformer les ressources identifiées en alliés. Bénéficier de
l’implication des acteurs exige en effet des qualités complémentaires qui vont au-delà des
compétences juridiques, techniques et organisationnelles exigées pour ce type de poste. Le DPO
doit faire preuve de compétences comportementales transversales, souvent qualifiées de soft
skills, telles qu’avoir le sens du collectif ou l’esprit d’équipe ou encore savoir gérer le temps,
car nombre des initiatives citées seront chronophages. Savoir animer un réseau en faisant preuve
de qualités pédagogiques et d’écoute active est également une compétence clé, qui exige une
adaptation de méthodologie en fonction de l’auditoire. Il doit avant tout se positionner comme
un « porteur de solutions ou d’idées », et non pas comme un frein à tout souhait d’évolution.
Hors relation hiérarchique, savoir motiver et influencer des acteurs exige des compétences qui
sont plus complexes à acquérir, développer et mesurer que les compétences purement
« techniques ». Mais ces compétences comportementales transversales sont indispensables au
DPO, s’il veut pouvoir s’intégrer dans un véritable projet d’entreprise avec de nombreuses
ressources impliquées, gage d’une conformité solide qui pourra ainsi être maintenue sur le long
terme.
La crise actuelle du Covid-19 permet de mettre en perspective a minima deux des leviers
présentés. Tout d’abord, nous constatons vis-à-vis des personnes concernées une prise de
conscience effective des problématiques liées à la protection de la vie privée. En effet, que ce
soit pour les traitements anonymisés et agrégés de traçage de la population, le dispositif
numérique d’attestation de déplacement ou encore le projet StopCovid ayant pour finalité
d’identifier les chaînes de transmission, les esprits s’enflamment collectivement. Pour tous ces
usages, on ne peut que mesurer la nécessité d’un cadre de confiance respectueux de la vie privée
pour créer les conditions d’une acceptabilité vis-à-vis de ces techniques potentiellement
intrusives.
Ensuite, la nécessité de bénéficier de données de qualité partagées et provenant de sources

multiples. Les chercheurs expriment leur dépendance vis-à-vis des données pour orienter et
faire progresser leurs recherches afin d’apporter les meilleures réponses possibles. Et les
gouvernements ainsi que tous les décideurs ne peuvent que constater que la donnée est
indispensable pour suivre l’évolution de la crise, comprendre son impact et prendre les mesures
adéquates pour un redémarrage des activités.
Le RGPD permet d’apporter une cadre juridique pertinent en imposant une orientation qui
privilégie la transparence dans l’usage en délimitant la finalité, le respect des libertés
individuelles, le consentement libre et éclairé et en limitant les durées de conservation. Ce
règlement permet ainsi d’explorer les opportunités technologiques adaptées à une situation
inédite, tout en apportant des garanties adaptées quant aux limites d’usage et au risque
d’intrusion dans la vie privée. Le Comité Européen de la Protection des Données ainsi que la
Convention 108+ ont confirmés que « l’urgence est une condition juridique qui peut légitimer
des restrictions des libertés à condition que ces restrictions soient proportionnées et limitées à
la période d’urgence ».
41
ANNEXE 1 - Liste des abréviations et rappel de définitions
Voici la liste des abréviations utilisées dans le présent mémoire, avec une brève définition :
• RGPD : le Règlement Général sur la Protection des Données personnelles est le texte
de référence en matière de protection des données à caractère personnel. Il renforce la
protection des données pour les individus au sein de l'Union Européenne et définit les
conditions dans lesquelles des traitements de données à caractère personnel peuvent être
effectués en cadrant l’utilisation des données personnelles pour qu’elle soit responsable,
pertinente et limitée aux stricts besoins.
• DCP : une Donnée à Caractère Personnelle est, selon l’article 4 du RGPD, toute
information permettant identifier, directement ou indirectement une personne physique.
Il peut s’agir :
o d’un identifiant, tel qu'un nom, un numéro d'identification, des données de
localisation, un identifiant en ligne,
o d’un élément spécifique propre à son identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale.
• RT : le Responsable de Traitement est, selon l’article 4 du RGPD, « la personne morale

(entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un
traitement, c’est à dire l’objectif et la façon de le réaliser. Il s’agit de la personne morale
incarnée par son représentant légal ».
➢ Le présent mémoire évoquera très fréquemment le Responsable de Traitement,
car c’est lui que le DPO doit convaincre pour initier ou faire réaliser les actions
nécessaires à la conformité au RGPD.
• DPO : il s’agit de l’acronyme du Délégué à la Protection des Données personnelles

(DPO pour « Data Protection Officer » en anglais). Son rôle est d’être le « chef
d’orchestre » de la conformité en exerçant une mission de conseil et de contrôle. Son
rôle est clairement défini dans les articles 37 à 39 du RGPD.
• IA ou Intelligence Artificielle : il s’agit de « l'ensemble des théories et des techniques

mises en œuvre en vue de réaliser des machines capables de simuler l'intelligence ».
Elle regroupe un vaste ensemble de concepts et de technologies. Son côté « évolutif »
est clairement qualifié dans la définition de Marvin Lee Minsky comme étant « la
construction de programmes informatiques qui s’adonnent à des tâches qui sont, pour
l’instant, accomplies de façon plus satisfaisante par des êtres humains ».
• AFCPD : c’est l’Association Française des Correspondants à la protection des Données

à caractère Personnel, qui regroupe les Délégués à la protection des données (DPO) et
tout professionnel impliqués dans la conformité au RGPD.
• UE : Union Européenne
42
Précisions concernant la terminologie :
• Usage du terme « utilisateur » : le terme « Utilisateur » sera utilisé de manière

générique et pourra être interprété différemment selon le type d’organisation :
o Pour les collectivités : il s’agira de citoyens, électeurs, usagers de services
publics tels que écoliers/collégiens/lycéens/apprentis, bénéficiaires de la
formation professionnelle, usager des transports, parents d’élèves, entreprises,
associations, …
o Pour le secteur privé : il s’agira de clients, de prospects ou d’utilisateurs d’un
service.
• Usage du terme « organisation » : les propos de ce mémoire ont vocation à être

génériques, sauf mention contraire : il est clair qu’en fonction du type d’organisation
(entreprise, hôpital, association, collectivité territoriale, …) et donc de son secteur
d’activités, les préconisations pourront différer.
43
ANNEXE 2 : Référence des notes figurant en bas de pages
1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

relatif à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données, et abrogeant la directive
95/46/CE
2. Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à
la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données.
3. Le groupe G29 a été institué par l’article 29 de la directive 95/46/CE : il s’agit d’un
organe consultatif européen indépendant sur la protection des données et de la vie
privée.
4. Lignes directrices concernant les délégués à la protection des données (WP243) –
5. Enquête "Mettre en œuvre le règlement général sur la protection des données" réalisée
en avril 2019 par la Délégation Générale à l'Emploi et à la Formation Professionnelle
(DGEFP) avec l’appui de l’AFPA et en partenariat avec l’AFCDP et la CNIL -
https://afcdp.net/media/documents/Etude-DGEFP-Descriptif-fonction-DPO.pdf
6. Sondage réalisé par la Délégation Générale à l'Emploi et à la Formation
Professionnelle (DGEFP) de février à avril 2019 avec l’appui de l’AFPA et en
partenariat avec l’AFCDP -
https://afcdp.net/etude-sur-le-metier-de-dpo/
7. Lignes directrices concernant les délégués à la protection des données (WP243) –
8. Maitre Thiebaut Devergranne, vidéo intitulée « DPO : que faire si votre RT ne vous
écoute pas » : https://www.youtube.com/watch?v=_wKdrDjDqwI
9. NIR : Numéro d’Inscription au Répertoire (appelé usuellement N° de Sécurité Sociale)
: il s'agit d'une donnée hautement identifiante, attribuée par l'INSEE
10. Loi NOTRé du 7 août 2015 portant nouvelle organisation territoriale de la République
https://www.vie-publique.fr/loi/20721-loi-notre-loi-du-7-aout-2015-nouvelle-
organisation-territoriale-de-la
11. Article CNIL "un an de RGPD : une prise de conscience inédite" –
https://www.cnil.fr/fr/1-de-rgpd-une-prise-de-conscience-inedite
12. Laurent Lafaye, cofondateur et co-CEO de Dawex, article dans le journal La Tribune
du 28 janvier 2020 - https://www.latribune.fr/opinions/tribunes/de-l-art-d-etre-un-elu-
local-a-l-heure-de-la-data-838146.html
13. Délibération de la Région Occitanie votée lors de l'Assemblée Plénière du 19 déc
https://deliberations.laregion.fr/Docs/AssembleePleniere/2019/12/19/DELIBERATIO
N/D07QL.pdf
14. Civic Tech : Ensemble des procédés, outils et technologies qui permettent d’améliorer
le fonctionnement démocratique en renforçant le rôle joué par les citoyens dans les
débats et prises de décision.
15. Charte régionale de la citoyenneté active de la Région Citoyenne -
https://www.laregioncitoyenne.fr/Charte
ou charte détaillée :
https://www.laregion.fr/IMG/pdf/charte_citoyennete_mars2018bd.pdf
16. Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises,
publié par la CNIL et BPI France –
44
https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf
17. Sondage Harris Interactive commandé par Occitanie Data en septembre 2019 sur les
attitudes, jugements et attentes à l’égard de la gestion des données -
https://occitaniedata.fr/le-sondage-harris-interactive-commande-par-occitanie-data-et-
son-partenaire-civiteo-devoile/
18. Dataviz : consiste à communiquer des données brutes en les transformant en objets
visuels, points, barres, courbes, cartographies, …
19. CNIL : Cartographier vos traitements de données personnelles
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
20. Interview de Thierry Breton dans les Echos du 07 janvier 2020
21. Livre blanc « Intelligence artificielle. Une approche européenne axée sur l’excellence
et la confiance », 19 févr. 2020 –
https://op.europa.eu/fr/publication-detail/-/publication/ac957f13-53c6-11ea-aece-
01aa75ed71a1/language-fr
22. Occitanie Data, association pour un développement éthique de l'économie de la
donnée
23. Programme pour une "Europe numérique" -
https://www.consilium.europa.eu/fr/press/press-releases/2018/12/04/digital-europe-
programme-council-agrees-its-position/
24. Feuille de route stratégique de la CNIL pour la période 2019-2021 :
https://www.cnil.fr/sites/default/files/atoms/files/cnil-feuille-de-route-strategique-
2019-2021.pdf
25. Edgar H. Schein, Organizational Culture and Leadership (Wiley - 2016)
26. Ben Horowitz, What You Do Is Who You Are : How to Create Your Business Culture
(Dunod 2019)
27. GAFAM : acronyme des géants du Web américains — Google, Apple, Facebook,
Amazon et Microsoft.
28. BATX : acronyme des géants du Web chinois - Baidu, Alibaba, Tencent et Xiaomi.
29. Général Marc Watin-Augouard en janvier 2020 lors du salon FIC - Interview :
https://www.youtube.com/watch?v=2O6irWV3CEc
30. Baromètre CNIL - LINC 2019 : des internautes toujours très attentifs dans leur
navigation
https://linc.cnil.fr/fr/barometre-linc-2019-les-pratiques-de-protection-des-donnees-
progressent
31. Enquête CES2020 Etude CITE Research Dassault Systèmes de janvier 2020, abordant
la nécessité de partage des données pour bénéficier d’une personnalisation du service :
https://mydigitalweek.com/ces2020-etude-cite-research-dassault-systemes-vers-une-
personnalisation-et-une-monetisation-des-donnees/
32. Occitanie Data, association pour un développement éthique de l'économie de la
donnée
33. Sondage Harris Interactive commandé par Occitanie Data en septembre 2019 sur les
attitudes, jugements et attentes à l’égard de la gestion des données -
https://occitaniedata.fr/le-sondage-harris-interactive-commande-par-occitanie-data-et-
son-partenaire-civiteo-devoile/
45
34. Christophe Abrassart, Professeur agrégé à l'Université de Montréal, Responsable du
Laboratoire écodesign -
https://design.umontreal.ca/professeurs/fiche/in/in16712/sg/Christophe%20Abrassart/
35. René Dosière, président de l’observatoire de l’éthique publique - Tribune dans Le
Monde du 17/01/20 -
https://www.lemonde.fr/idees/article/2020/01/13/rene-dosiere-faisons-de-la-france-
une-nation-pionniere-en-matiere-d-ethique-des-affaires_6025642_3232.html
36. Alain Damasio, Les Furtifs (La Volte) - 2019
37. Baromètre du numérique ARCEP 2019
https://www.arcep.fr/uploads/tx_gspublication/dossier-presse-barometre-num-
2019.pdf
38. Loi NOTRé du 7 août 2015 portant nouvelle organisation territoriale de la République
https://www.vie-publique.fr/loi/20721-loi-notre-loi-du-7-aout-2015-nouvelle-
organisation-territoriale-de-la
39. Programme « Dites-le nous une fois » de la DITP :
https://www.modernisation.gouv.fr/home/dites-le-nous-une-fois-un-programme-pour-
simplifier-la-vie-des-entreprises
46

Mémoire DU DPO JFMangin

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mémoire DU DPO JFMangin

Transféré par

Droits d'auteur :

Formats disponibles

Université Paris-Dauphine

DU Délégué à la protection des données personnelles

« RGPD : comment passer d’une obligation légale

Ce mémoire expose différentes composantes de la conformité au RGPD qui ne constituent pas

• Abréviations et Définitions …..…………………………………………………… 42

• Référence des notes figurant en bas de pages……....……………………………… 44

1.2 Sortir de l’isolement en identifiant des sources de valeurs du RGPD

1.3 Un règlement juridique obligatoire incontournable

1.4 Méthodologie pour présenter les leviers créateurs de valeur

Puis nous présenterons un benchmark à partir d’exemples ou d’initiatives menées au sein

Une analogie qui expose l’approche

Nous ne traiterons pas dans ce mémoire de la cybersécurité ou de l’intelligence artificielle. Si

2 La mission de conseil du DPO et ses limites

2.2 Les limites de la sensibilisation du DPO vis-à-vis des équipes

3 Les enjeux du RGPD pour les Collectivités Territoriales

3.1 Brève description de la Région Occitanie

La loi NOTRe10 a confirmé que « le conseil régional a compétence pour promouvoir le

3.2 Un enjeu sociétal et éthique : la confiance

3.4 Un enjeu managérial et de gestion des RH

3.5 Un enjeu démocratique

Exemple du déroulé des phases d’une démarche participative :

3.6 Un enjeu économique délicat à appréhender

4 Levier A : Viser une synergie entre transformation et RGPD

4.1 Les obligations légales du RGPD dans le cadre d’une transformation

4.2 Deux modalités de mise en œuvre du RGPD

La première modalité vise à atteindre la conformité mais de manière minimaliste, en se

4.3 Une transformation est forcément un projet ambitieux

La transformation d’une organisation désigne l’intégration de nouvelles technologies et un

4.4 Une synergie à identifier entre une transformation et un projet de conformité

Dans le cas où le projet de transformation ne serait pas initié, le caractère obligatoire de la

4.5 Deux exemples de collaboration entre le RGPD et la transformation

Isabelle Falque-Pierrotin, la précédente Présidente de la CNIL y affirme que « le RGPD est un

Le fait d’identifier la « confiance » comme l’élément clé de la Stratégie Régionale de la Donnée

4.6 Une synergie pertinente entre la transformation et le RGPD

5.1 Les obligations légales du RGPD en termes de qualité de la donnée

5.2 La donnée, valeur clé pour les organisations

Si prometteuse soit-elle, le potentiel ou l’efficacité de l’exploitation de données dépendra

Ces usages mettent en exergue le caractère indispensable de la qualité de la donnée, et le fait

5.3 Pertinence d’une gouvernance de la donnée

La gouvernance suppose également la formalisation de l’organisation, des processus et outils

Si la seule exigence de conformité au RGPD rendrait difficile la justification de l’automatisation

5.4 S’inspirer de la politique européenne de la donnée

5.5 Un exemple d’exploitation locale et éthique de la donnée avec Occitanie Data

Composé d’entreprises, collectivités, instituts de recherche ou partenaires publics ou privés,

C’est ce que nous vous proposons de présenter dans le chapitre suivant.

6 Levier C : Partager les apports d’une culture de la donnée

6.1 Les obligations légales du RGPD en termes culture de la donnée

Le point b), paragraphe 1 de l’article 39 du RGPD confirme que « la sensibilisation et la

6.2 Les caractéristiques d’une Culture

6.3 Une synergie entre une Culture de la Donnée et le RGPD

Si le RGPD ne fait pas référence nommément à une notion de « culture de la donnée », il

6.4 Un exemple de réseau de référents en Occitanie

A plus long terme, il est envisagé de créer une

7 Levier D : Sceller un pacte de confiance avec l’utilisateur

Le premier considérant du RGPD énonce que « La protection des personnes physiques à

7.2 Définition de la confiance dans le cadre de la protection des données

7.3 Importance de la confiance pour partager des données

7.4 Cas pratique d’une exploitation régionale éthique de la donnée

7.5 L’éthique des affaires, un levier fort au service du DPO

L’affirmation d’une « raison d’être », qui s’assimile à un engagement éthique, devient un

« Ce qui se passe sur ton iPhone

7.6 Une projection dans une société sans éthique

8.1 Les obligations légales du RGPD dans le cadre de la culture de l’écrit

De nombreux articles du RGPD complètent cet article 5 en précisant la documentation à