« Responsabiliser les usagers dans la gestion de leurs données personnelles »
Gestion de la paie, conduite d’une enquête en santé, inscription à une application, rédaction d’une thèse ou d’un mémoire, achat d’un logiciel par l’établissement… Toutes ces actions impliquent le traitement de données à caractère personnel – en croissance exponentielle. C’est là qu’entre en jeu Ugo Garoscio Volto, Délégué à la protection des données (DPO) de notre établissement, qui nous explique les enjeux du poste qu’il occupe depuis septembre 2024.
Données à caractère personnel
Mission première d’un DPO : mettre tous les traitements de données de son établissement en conformité avec la législation. Sauf que je ne suis pas une IA, il y a des traitements de données partout, tout le temps et leur analyse prend du temps
, explique Ugo Garoscio Volto. Le numérique est omniprésent, les demandes sont croissantes, diverses et complexes. Le DPO ne répond pas à une demande de manière binaire, mais doit vérifier que ce qui est fait corresponde à une réalité numérique et juridique et cette interconnexion n'est pas évidente immédiatement.
Estimation pour l'université : 750 traitements, référencés dans un registre (on entend par « traitement de données » la manière dont les données d’une personne sont utilisées, d’une manière ou d’une autre). Cela va du formulaire d’inscription à la gestion de la paie des agents, en passant par toute enquête ou recherche menée par des étudiants ou les chercheurs. En réalité, ce chiffre est largement sous-estimé !
Les « Données à caractère personnel » ne concernent pas que les données nominatives. Plus largement, il s’agit de toutes les informations collectées permettant d’identifier une personne : âge, lieu de résidence, genre, profession, formation suivie, numéro de téléphone, adresse électronique… Toutes sont protégées par la règlementation.
Sensibilisation
La priorité pour Ugo Garoscio Volto est donc de se tenir prêt en amont, pour sensibiliser les usagers : Par exemple, pour la mise en place d’un questionnaire relatif à la santé, il faudra absolument faire en sorte de pseudonymiser, a minima, les données, particulièrement sensibles dans ce cas. Je me tiens à la disposition des personnels et des étudiants, pour répondre à leurs questions. L’enjeu principal est de faire en sorte de responsabiliser les usagers, dans le traitement des données personnelles, à commencer par les leurs, et celles des autres usagers.
Il poste régulièrement des informations sur l’espace sur Ernest « Informatique et libertés » et a pour projet de mettre en place des modules de formation avec le Centre de culture numérique (CCN).
Un cadre solide
Nous avons la chance d’être une université de taille conséquente, qui consacre des ressources à la mise en œuvre de sa politique de gestion des données personnelles.
L’Unistra s’est d’abord dotée d’un Correspondant informatique et libertés (CIL), mission qui a évolué vers celle de DPO depuis l’entrée en vigueur du Règlement général de protection des données (RGPD), en 2018 : Les personnes qui m’ont précédé sur le poste ont fait du bon travail, globalement le DPO et ses missions sont connus
.
Le RGPD, texte de référence
C’est sa Bible : le RGPD définit les principes, les droits, les obligations et les sanctions liés au traitement des données au niveau de l’Union européenne (UE). Je le consulte au moins une fois par jour
, explique le juriste spécialisé en numérique (lire encadré). Il s’applique uniquement aux données à caractère personnel.
Assez étonnamment, en France, le cadre de référence national est encore la Loi informatique et libertés de... 1978 (largement modifiée en 2004 et 2018) ! Une législation pionnière à l’époque
. Sans oublier « la jurisprudence ».
Un travail collectif
Travaillant en direct au cœur des métiers, des directions, des services
, le DPO est aussi en contact permanent avec le responsable du département Sécurité du système d’information et protection des données personnelles (RSSI), Guy Brand
, avec qui il partage son bureau. Il travaille aussi en lien étroit avec la Direction du pilotage et de l’amélioration continue (DPac) autour du pilotage de l’établissement par la donnée. Parmi ses projets immédiats : impliquer de plus en plus la conscientisation cyber et juridique au niveau des métiers. « Les interactions dans le cadre du réseau SupDPO et de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) », sont aussi précieuses à ses activités.
« Je me place au maximum en termes de protection de la communauté universitaire »
Outils maison libres de droit
Ugo Garoscio Volto tient à rappeler certaines évidences, qui ne le sont pas pour tout le monde : Je milite pour l’utilisation des outils maison, développés conformément aux objectifs de service public. Contrairement aux usages des géants du numérique, les Gafam, ils n’ont pas pour objectif de revendre nos données et d’assurer une maîtrise des données. Je me place au maximum en termes de protection de la communauté universitaire
.
Il rajoute : La législation autour de la gestion des données personnelles est souvent vue comme une contrainte, or la loi offre un cadre protecteur pour l’usager !
Et appelle tout un chacun à réfléchir au circuit de la donnée, sa sécurisation et son traitement adapté : une fois ce réflexe intégré, ce n’est vraiment pas si compliqué !
Un parcours entre Strasbourg et Marseille
Ugo Garoscio Volto est titulaire de deux masters, parcours Cyberjustice obtenu à la Faculté de droit de Strasbourg (2022) et Management et innovation des systèmes d’information à la Faculté d’économie et gestion d’Aix-Marseille Université (AMU, 2023). Il a réalisé cette dernière formation en alternance, en tant qu’adjoint au délégué à la protection des données d’AMU ; et a également réalisé un stage de six mois en tant que DPO à l’Assistance publique-Hôpitaux de Marseille (APHM), avant de rejoindre l’Université de Strasbourg.
Catégories
Catégories associées à l'article :Mots-clés
Mots-clés associés à l'article :