Numérique

SupDPO veut sortir les délégués à la protection des données de l’isolement

Par Isabelle Cormaty | Le | Equipements et systèmes d'informations

Depuis la mise en place du Règlement général sur la protection des données dans l’Union européenne en mai 2018, tous les établissements du supérieur se doivent de nommer un délégué en charge de cette problématique. Un métier encore jeune et parfois solitaire, fédéré par SupDPO. Cette association veut tisser du lien entre ses membres pour sortir cette fonction de l’ombre et favoriser le partage de bonnes pratiques.

L’association SupDPO a succédé au réseau SupCil après la mise en place du RGPD dans l’UE. - © D.R.
L’association SupDPO a succédé au réseau SupCil après la mise en place du RGPD dans l’UE. - © D.R.

Informer et conseiller les institutions sur l’utilisation des données personnelles mais aussi organiser les procédures internes visant à gérer les traitements de données. Des missions essentielles, alors que le numérique prend davantage de place dans les établissements du supérieur.

Le 13 février dernier, deux établissements ont d’ailleurs été mis en demeure par la Commission nationale de l’informatique et des libertés (Cnil) de respecter le Règlement général sur la protection des données. Leur sont reprochés « des manquements relatifs à la durée de conservation, à l’information des étudiants, à l’absence d’encadrement du recours à des sous-traitants et à la sécurité » de fichiers utilisés pour la gestion administrative et pédagogique.

Des éléments au coeur de la mission des délégués à la protection des données (DPO), réunis au sein du réseau SupDPOGuillaume Pourquié et Robert Malek, respectivement président et membre du conseil d’administration de l’association reviennent pour Campus Matin sur les enjeux de cette mission, encore jeune, mais en pleine évolution dans les établissements du supérieur.

Le RGPD est entré en application le 25 mai 2018 dans l’Union européenne. Depuis quand existe votre association ? 

Guillaume Pourquié : L’histoire de notre association remonte à la fin de l’année 2007. Poussés par les universités, les correspondants informatiques et libertés (Cil) ont monté un réseau, dénommé SupCil. Cela s’inscrivait dans un partenariat entre la Conférence des présidents d’université et la Cnil pour promouvoir la culture informatique et liberté dans les établissements. 

Nous constatons tous les jours les apports de cette réglementation

En 2016, nous avons eu deux ans pour nous préparer au RGPD. Le rôle des Cil s’est alors transformé en DPO. La mise en place du RGPD a eu un impact important dans l’ESR, mais nous constatons tous les jours les apports de cette réglementation. C’est en 2021 que notre association a vu le jour. 

Robert Malek  : SupDPO est une tête de réseau de la Cnil. Notre association rassemble tous nos collègues DPO et leurs adjoints au sein de l’enseignement supérieur et de la recherche en France. Cette synergie contribue à l’avènement d’un nouveau métier. Depuis 2018, nous sommes passés à un régime de preuve : la mission du DPO consiste à mettre en place un dispositif pour prouver la conformité avec le RGPD.

Quel est le profil des délégués à la protection des données dans l’ESR ?

Membre du conseil d’administration de SupDPO, Robert Malek est aussi DPO du groupe IMT.  - © D.R.
Membre du conseil d’administration de SupDPO, Robert Malek est aussi DPO du groupe IMT. - © D.R.

Robert Malek  : Bien que bon nombre d’entre nous étaient Cil auparavant, le passage du correspondant informatique et libertés au délégué à la protection des données était loin d'être naturel, dans la mesure où la fonction des DPO est beaucoup plus étoffée. Lors de l’entrée en vigueur du RGPD, les établissements recherchaient « le mouton à cinq pattes » : une personne diplomate avec des compétences informatiques, juridiques et des connaissances sur les enjeux métiers de l’ESR. 

Nous avons progressivement remarqué trois grandes tendances avec des DPO issus, soit du milieu juridique, soit de l’informatique, soit d’un profil hybride (communication, marketing, pédagogie, archiviste). Il existe désormais des formations pour devenir DPO

Dans le cadre de leur mission, les DPO doivent être indépendants de leur hiérarchie. Comment se positionnent-ils donc dans les établissements et vis-à-vis des personnels ?

Guillaume Pourquié : Cela dépend de l’historique des établissements et de leur structure. Le positionnement des DPO est le reflet de la manière dont les établissements et le responsable du traitement conçoivent le RGPD. Dans des établissements avec beaucoup de composantes, le DPO aura plutôt un poste de pilotage. 

Guillaume Pourquié est président du réseau SupDPO depuis 2022. - © D.R.
Guillaume Pourquié est président du réseau SupDPO depuis 2022. - © D.R.

Le RGPD induit que le DPO agit à la façon d’un manager. Pour embarquer nos collègues sur les enjeux de conformité au RGPD, il y a un juste équilibre à trouver entre l’avis et le conseil. Nous ne devons pas recevoir d’instruction pour nos missions, ce qui nous oblige à être humbles et diplomates, pour que les conseils ne soient pas pris comme des ordres. Le talent des DPO est de mettre autour de la table le directeur des systèmes d’information (DSI), le responsable du traitement, le responsable de la sécurité des systèmes d’information (RSSI), les fonctionnaires de sécurité de défense pour les établissements publics, des archivistes, les composantes… 

Certains DPO doivent également être en capacité d’accompagner des centres hospitaliers universitaires dans les universités qui en disposent.

Robert Malek  : Nous sommes parfois vus comme des « empêcheurs » dans les établissements, à nous d’instaurer une relation de confiance avec les services pour travailler en bonne intelligence ! Tous nos collègues sont happés par le quotidien et la volonté de rendre service aux étudiants. Le RGPD n’est pas une contrainte, mais l’opportunité de se demander : maîtrise-t-on l’usage des données ? 

Au sein des établissements, la collaboration entre le DPO, le DSI et le RSSI est primordiale. Le positionnement des DPO tend aussi à se rapprocher du responsable de traitement.

Que propose votre association pour aider les délégués à la protection des données dans leurs activités ? 

Robert Malek  : Notre association a deux principaux temps forts dans l’année, une assemblée générale et deux journées d’ateliers. En ressortent des documents soumis à la Cnil pour avis ou pour validation. 

Nous avons aussi mis en place un système de parrainage des nouveaux DPO qui peuvent se sentir perdus en découvrant l’ESR et la charge de travail. Nous sommes là pour les accompagner et les mettre en confiance.

Il s’agit d’une fonction encore jeune dans nos structures

Guillaume Pourquié : Les DPO sont pleinement motivés, mais nous n’ignorons pas pour autant les risques psychosociaux et le stress induits par cette mission. Il s’agit d’une fonction encore jeune dans nos structures, les DPO peuvent donc se sentir isolés. Le réseau peut être un endroit pour relâcher la pression, partager ses difficultés, trouver des pistes pour se constituer un réseau et des relais dans les établissements…

Nous avons à cœur de donner aux DPO un maximum de réponses et d’outils. Depuis la fin de l’année 2022, nous assurons une fois par mois une permanence en visio. Cela permet de se rencontrer et de discuter sur différents sujets d’actualité, tout en garantissant à chacun la confidentialité des échanges.

Avec quelles associations ou institutions de l'écosystème travaillez-vous sur les enjeux liés au RGPD ?

Robert Malek  : Nous travaillons de manière très étroite avec France Universités et la Conférence des grandes écoles (CGE). Durant notre assemblée générale et nos journées d’ateliers, nous invitons aussi des experts d’instances reconnues comme le ministère, la Cnil ou l’Agence nationale de la sécurité des systèmes d’information (Anssi). Avec l’Association des archivistes français, nous avons également un groupe de travail intitulé Aurore sur la durée de conservation. 

Quels sont les sujets de préoccupation de vos membres ?

Guillaume Pourquié : Avec l’usage accru des outils numériques depuis la crise sanitaire, les DPO sont sollicités sur l’utilisation des données d’apprentissage par exemple, les projets avec les edtechs, les enjeux de cybersécurité, la formation tout au long de la vie…

Nous surveillons aussi les futurs textes européens sur la protection des données qui vont faire évoluer le rôle des DPO. Il y a également des connexions entre le RGPD et des sujets comme l'éthique dans la recherche ou la responsabilité sociale et environnementale qui interrogent l’usage des données personnelles.

Une enquête annuelle réalisée par l’association

SupDPO a publié le 20 février dernier les conclusions de son enquête annuelle réalisée auprès de 79 de ses membres. Elle pointe notamment « un large consensus sur la nécessité de continuer à renforcer les moyens dédiés à la conformité pour aider les DPO dans leurs missions, notamment en garantissant leur indépendance, en augmentant ou en définissant le temps de travail qui leur est alloué, et en structurant l’organisation et le service qu’ils rendent aux différentes communautés de travail,notamment à la recherche et aux services pédagogiques et administratifs ».