Interview de Bruno RASLE
ANAXIA CONSEIL : Depuis quand formez-vous les professionnels de la Privacy ?
Bruno RASLE : J’ai pris part à la conception de la formation la plus ancienne et du niveau le plus élevé (accessible avec un niveau Bac+5) – c’est-à-dire le Mastère Spécialisé de l’ISEP – lors de la parution du décret qui a donné naissance au Correspondant Informatique et Libertés, le précurseur du Délégué à la Protection des Données. Je forme donc mes confrères depuis 2007, date de la toute première promotion.
Puis j’ai rapidement créé une formation courte destinée à «autonomiser» les CIL puis les DPO sur les sujets informatiques. Au total et depuis quinze ans, j’ai formé plusieurs centaines de professionnels qui sont depuis reconnus comme des experts, dont certains ont d’ailleurs rejoint la CNIL.
Et chaque année, je m’implique dans le comité scientifique de l’ISEP afin d’enrichir le cursus long en permanence.
Pourquoi cette implication dans la formation des praticiens de la conformité au RGPD ?
C’est extrêmement stimulant de partager et de confronter son expérience et sa conception du métier de DPO avec des confrères. De plus, c’est un plaisir toujours renouvelé.
J’ai également eu à plusieurs reprises l’honneur d’être sollicité en tant que tuteur de thèse professionnelle.
Si vous aviez un souvenir à partager dans votre rôle de formateur, quel serait-il ?
Je pense à cette soirée de 2011, lors de laquelle Philippe Boucher nous avait fait l’honneur de révéler un scoop, 37 ans après la parution de son article dans le Monde « Safari ou la chasse aux Français ». J’ai soigneusement conservé l’original de son discours dans lequel il indiquait que des informaticiens du Ministère de l’Intérieur étaient à l’origine des « fuites » à l’origine de son papier… papier qui a déclenché le débat de société qui donnera naissance à la loi Informatique et Libertés et à la CNIL en 1978.
Lors de ma prise de contact, il s’était dit surpris de ma démarche mais avait visiblement pris un grand plaisir à revenir sur cet épisode marquant.
Vous êtes également intervenu à plusieurs reprises lors des Universités des DPO de l’AFCDP
Historiquement, je suis l’un des tous premiers membres de l’association dont j’ai été Délégué Général durant douze ans. Cet engagement bénévole m’a donné l’occasion d’animer le réseau social privé, de rédiger la newsletter mensuelle, de créer – entre autres - le Job board du DPO, la charte de déontologie du DPO et l’Université à laquelle vous faites référence. J’ai eu effectivement l’occasion d’y intervenir sur des sujets tels que l’encadrement des cookies (et ceci dès 2011, ce qui m’a donné l’occasion de pointer la non-conformité de Google Analytics), la conformité des traitements utilisant la blockchain, l’audit de la gestion des demandes de droits d’accès ou encore la création et l’animation d’un réseau de RIL (Relais Informatique et Libertés).
Vous proposez désormais un ensemble de formations courtes tirées de votre expérience.
Pouvez-vous évoquez les thèmes que vous abordez ?
J’aborde les deux grandes nouveautés du RGPD que sont les analyses d’impact et les notifications des violations de données. Je reviens également sur les contrôles de la CNIL et je consacre une journée à la grande question de « l’efficacité » du DPO et à sa prise de poste.
Y-a-t-il encore beaucoup à dire au sujet des analyses d’impact ?
Même si ce sujet s’impose à nous depuis quatre ans, il reste encore assez « spongieux » …
Je suis toujours étonné, lors de mes échanges avec mes pairs, de voir la diversité des méthodes, des approches retenues et surtout des résultats !
Combien de praticiens peuvent assurer que les analyses d’impact réalisées sont les meilleures possibles ?
Et certains DPO, pour différentes raisons, ont même « peur » de l’analyse d’impact et s’en tiennent soigneusement à distance. Ils se mettent ainsi en difficulté car ils laissent souvent des traitements sans AIPD (alors même qu’il en faudrait une), ou bien ils laissent d’autres parties prenantes en réaliser mais de façon non satisfaisantes (des AIPD « alibis », bâclées ou trop optimistes, …).
Dans mon intervention, je mets l’accent sur les aspects « pratico-pratiques » et émaille mon propos d’exemples vécus. Je me suis donné comme objectif de produire des AIPD passionnantes, qui commencent par « Il était une fois » et que le dirigeant a envie de dévorer jusqu’au « Et ils eurent de nombreux enfants » final.
Quelle fierté partagée avec tous les collègues qui ont pris part à l’exercice de voir revenir du bureau du Directeur Général un parapheur dans lequel votre analyse est annotée jusqu’à la dernière page et de découvrir en marge du texte des « Il n’est pas question de laisser faire cela ! Veiller à l’application prioritaire de la mesure ». Il faut toujours garder en tête que c’est l’humain qui est au centre de l’exercice.
Quelle est pour vous la plus grande difficulté sur ce sujet ?
Le DPO doit tout faire pour échapper au paradoxe de Cassandre, alors que le chemin de crête est étroit. En effet, si on donne crédit aux événements redoutés identifiés et à leur évaluation, les mesures de traitement des risques sont mises en place : de ce fait les malheurs ne se produisent pas et certains minorent l’intérêt de l’AIPD (« Avions-nous besoin d’être autant parano ? »). Cela peut aller jusqu’à une perte de crédibilité du DPO, ce qui ne facilite pas la réalisation des analyses d’impact suivantes.
Et si on ne croit pas aux conclusions de l’AIPD, on ne corrige rien et les risques se concrétisent.
Le DPO y « gagne-t-il » pour autant ? Pas sûr... Et si, enfin, le DPO s'autocensure ou se tient trop éloigné du sujet, on lui reproche de ne pas avoir fait son travail !
Abordons les violations de données. Quelle est votre expérience réelle dans ce domaine ?
En 2010, j’ai proposé au Conseil d’administration de l’AFCDP de créer un groupe de travail sur le sujet, qui nous a notamment donné l’occasion d’entendre des confrères américains qui disposent d’une longue expérience dans ce domaine, la Data Breach Notification ayant été créée en 2003 en Californie.
C’est également en 2010 que j’ai publié mon article « La sécurité des données personnelles enfin prise au sérieux ? » et organisé la première conférence en France sur le sujet, hébergée au Palais du Luxembourg.
Depuis, j’ai dépassé la centaine d’incidents analysés… heureusement pas pour le même responsable de traitement. Si la procédure que j’ai créée avant l’entrée en application du RGPD a résisté au choc de la réalité, j’avoue que je ne m’attendais pas à une si grande variété des cas de figure rencontrés.
Je note que certains DPO se tiennent soigneusement à distance de la gestion des violations de données, considérant qu’il s’agit là uniquement d’un sujet qui concerne la sécurité informatique et le RSSI.
J’ai peur qu’ils se mettent ainsi en difficulté – ainsi que leur responsable de traitement - car rien n’assure qu’ainsi les violations de données qui doivent être notifiées à la CNIL - et éventuellement, communiquées aux personnes concernées - le soient.
Un DPO n’a pas le droit d’être « moyen » ou « médiocre » sur ce sujet. On ne lui pardonnera pas.
Et de multiples questions se posent :
Comment détecter tous les incidents susceptibles d’être qualifiés de « violation » ?
Qui réalise cette qualification ?
À partir de quand démarrent les « 72 heures » attendues par la CNIL pour réaliser la notification auprès d’elle ?
Au final, qui prend la décision de notifier ?
Comment décider s’il faut en plus communiquer la violation aux personnes concernées ?
Et que leur dire ?
Faut-il leur donner des précisions sur l’incident lui-même ?
Faut-il s’excuser ?
Qui signe le courrier ?
Autant de points que j’aborde avec des exemples réels. Je propose à mes confrères DPO de positiver et de prendre ce sujet à bras le corps pour en faire un levier de progrès.
Vous proposez également d’aborder le thème des contrôles de la CNIL
J’ai proposé la création d’un groupe de travail AFCDP en 2008 sur le sujet et piloté la rédaction du livrable « Comment se préparer (sereinement) à un éventuel contrôle sur place de la CNIL ? ».
Il m’arrive encore d’être appelé par des membres qui viennent d’être avertis que leur entreprise est sur le point de faire l’objet d’un contrôle, à la recherche de ce document !
En parallèle et depuis 2007, j’anime au sein du Mastère spécialisé DPO l’ensemble pédagogique «Plaintes – Contrôles – Sanctions » avec des intervenants de la CNIL. Ces derniers apportent la vision de l’autorité de contrôle tandis que j’apporte la vision d’un praticien qui a participé à la gestion de plusieurs contrôles sous des formes variées.
Si statistiquement le risque de faire l’objet d’un contrôle est faible, un responsable de traitement ne comprendrait pas que son DPO ne l’a pas préparé à cette éventualité dont l’issue peut être fort désagréable…
Mais je suggère une vision plus positive : en tant que DPO, le fait de mettre mon organisme en position de résister à un éventuel contrôle de la CNIL ne peut que me permettre d’être plus visible et écouté davantage.
Enfin, une journée est consacrée à « l’efficacité » du DPO. Pouvez-vous nous en dire plus ?
J’ai eu la chance de participer à la conception de l’enquête annuelle menée par l’AFPA auprès des DPO.
En 2020, seuls 29,6 % des DPO internes n'ayant pas suivi de formation spécifique estimaient être prêts à leur prise de poste. Et s’il est une prise de poste qui accepte difficilement le médiocre, c’est bien celle du DPO interne. Certaines pratiques et méthodes permettent de maximiser les actions et initiatives du Délégué à la Protection des Données, de leur donner plus de poids. Je les partage donc en m’appuyant sur des exemples concrets.
De même, j’ai toujours été frappé du faible nombre de praticiens qui ont préparé leur prise de poste, qui ont formalisé un plan stratégique ou qui ont tenu à rencontrer le dirigeant dès le début.
Or on n’a qu’une occasion de faire une bonne impression et les « cent premiers jours » d’un DPO sont cruciaux.
C’est souvent pendant cette phase critique que se jouent sa crédibilité, son indépendance et une partie de son efficacité à venir. Et n’oublions pas que cette phase délicate se reproduit à chaque changement de responsable de traitement, le nouveau dirigeant pouvant avoir une posture tout à fait différente de son prédécesseur au regard du sujet « Conformité ».
Enfin, entre autres aspects du sujet, j’aborde la question du budget du DPO et des leviers qui sont à sa disposition pour lui permettre de mener à bien ses missions de façon efficiente.
Les formations ANAXIA CONSEIL dispensées par Bruno RASLE
Réaliser une analyse d’impact (AIPD) • De la théorie à la pratique
Violations de données • Pour ne pas subir
Être un DPO efficace dès les premiers jours • Réussir sa prise de poste
Contrôle de la CNIL • S’y préparer, le gérer, y survivre
L’informatique appliquée au RGPD ; cette journée est également proposée dans le cadre de notre parcours de préparation à la certification.
