Rencontre avec... Isabelle Lyon, Déléguée à la protection des données au SIEEEN

 

Qu’est-ce qu’une donnée personnelle ?

On appelle donnée personnelle toute information qui se rapporte à une personne physique identifiée ou identifiable. Toute personne doit pouvoir conserver la maîtrise des données qui se rapportent à elle. Dès lors une personne physique peut être identifiée directement, par exemple, par son nom et son prénom ; et, indirectement, à partir d’un numéro de téléphone, un numéro de sécurité sociale, une adresse postale ou électronique, une photo… L’identification d’une personne peut se faire à partir d’une seule donnée ou d’un croisement de plusieurs données. On peut disposer ainsi d’une connaissance plus ou moins précise grâce aux informations personnelles : mode de vie, mode de consommation, préférences culturelles, loisirs et sports. Certaines données sensibles telles que les orientations sexuelles, la religion, l’origine raciale, les opinions politiques, doivent être sécurisées pour ne pas être divulguée afin de ne pas nuire à la personne… A contrario, les données relatives à une organisation ne sont pas des données personnelles (dénomination, téléphone du standard, mail de contact générique, adresse postale…).

Quelles sont les principales missions d’un délégué à la protection des données (DPO) ?

Le délégué à la protection des données (DPO) a un rôle de conseil et d’information. Il accompagne son entreprise ou sa collectivité dans sa mise en conformité au RGPD (Règlement général sur la protection des données UE 2016-679 du 27 avril 2016), à la loi Informatique et Libertés n° 78-17 du 6 juin 1978 et la loi 2018-493 du 20 juin 2018. Ses principales missions sont d’informer, de conseiller, et d’accompagner sa structure. Il la sensibilise aux enjeux de la protection des données personnelles des employés, agents, clients et fournisseurs. Il informe le responsable des traitements sur l’évolution du cadre juridique relatif à la protection des données personnelles. Il vérifie la conformité de chaque traitement. Il le conseille sur les traitements non-conformes et facilite la mise en conformité de ceux-ci. Il l’avise également sur la nécessité d’effectuer une analyse d’impact sur les données sensibles identifiées. Il effectue les audits internes sur la protection des données personnelles. Le DPO facilite la coopération avec l’autorité de contrôle, la CNIL ; il est, d’ailleurs, son point de contact au sein de sa structure.

Quels sont les enjeux de la protection des données personnelles pour une collectivité ?

Le Règlement général européen sur la protection des données est entré en application depuis le 25 mai 2018. Celui-ci renforce la loi Informatique et Libertés de 1978. Un décret européen confère, désormais, à la CNIL un pouvoir de sanction. Toutes les organisations publiques et privées doivent se mettre en conformité avec le RGPD. Au cas contraire, la CNIL peut prononcer à leur égard un rappel à l’ordre ou une injonction de mise en conformité voire à terme prononcer une sanction financière. Pour une collectivité, l’enjeu est évidemment de préserver la confiance des administrés en apportant la preuve de la maîtrise des données personnelles et de transparence. Elle doit pouvoir prouver sa conformité au RGPD, respecter les droits des personnes (accès au registre de traitements de ses données personnelles, demande de modification, de suppression de données…). Ce qui implique une cartographie précise des données personnelles (base légale de collecte, traitement, sécurisation).