Le , par Harmonie Peynot - RGPD
Ce jeudi 9 Février 2023, à la Maison de la Chimie à Paris, se tenait la 17ème université des DPO (délégués à la protection des données) organisée par l’AFCDP (association française des correspondants à la protection des données). Il s’agit de la plus grande rencontre de DPO en France. Un événement incontournable auquel Temesis, adhérent AFCDP, a eu le plaisir d’assister, et en voici notre résumé.
S’il ne fallait retenir qu’une phrase de cette édition :
« Ne pas avoir une bonne hygiène de la gestion de la donnée, ne pas écouter son DPO, c’est jouer à la roulette russe ! »
Mathias Moulin, secrétaire général adjoint de la CNIL (commission nationale de l’informatique et des libertés).
Quelques chiffres pour commencer
Cette édition de l’université des DPO a regroupé plus de 800 acteurs de la protection des données. Des DPO bien sûr, mais pas que ! C’est également l’occasion de croiser des RSSI (responsables de la sécurité des systèmes d’information) par exemple.
25 journalistes accrédités pour une couverture médiatique de l’événement (2 fois plus qu’en 2022 !).
1 journée ponctuée par 6 interventions de qualité.
Une édition marquée par la cybersécurité
Sécurité des systèmes d’information : survivre dans un monde tourmenté
Après une ouverture de l’université par le président de l’AFCDP Paul-Olivier Gibert, Emmanuel Naëgelen, directeur général adjoint de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a rappelé la multiplication et la banalisation des attaques cyber ces dernières années. L’ANSSI souligne son engagement dans l’appui aux organismes (tant en prévention qu’en réaction à une attaque) ainsi que l’existence de nombreux acteurs et services (cybermalveillance.gouv.fr, référents cybersécurité,…).
Une solution technique « filtre anti arnaque » est en cours de préparation pour protéger les citoyens et citoyennes des faux sites, sources de vol de données et d’arnaques.
L’ANSSI prévoit une évolution de son organisation et un changement d’échelle avec l’entrée en vigueur de nouvelles réglementations (NIS2 notamment), impliquant également la mise en application effective d’un pouvoir de sanction adapté.
Cyber, cybercrime, cyberguerre, cyberchaos
Alain Bauer, professeur de criminologie, insiste sur le fait que la crise cyber ne se limite pas à l’informatique et à la technique. Il est nécessaire de prendre en compte une vision globale, structurelle et logique.
Voici quelques citations résumant l’intervention :
« Prévoir n’empêche pas que cela arrive, mais cela permet d’y survivre ».
En parlant de chatGPT et de son aspiration des données :
« Comment réguler quelque chose qui nous a déjà échappé ? »
« Pourquoi en France nous ne croyons pas à ce que nous savons ? Il n’y a pas de surprises » (risque d’attaques cyber).
Le DPO doit alors trouver un moyen d’entrer dans le champ d’acceptation de la personne en face de lui pour limiter ses freins et son déni (parce que bien sûr cela n’arrive qu’aux autres !).
De la sensibilisation à l’acculturation cyber : changeons de dimension
Diane Rambaldini, présidente cofondatrice d’Issa France security tuesday, s’est concentrée, sous le prisme de Charlie et la chocolaterie (c’est connu, les DPO mangent des cookies à longueur de journée donc varions un peu avec du chocolat !), sur la question épineuse de la sensibilisation des utilisateurs et de sa réelle efficacité.
Quand 62% des salariés français annoncent en 2021 ne jamais avoir reçu de sensibilisation à la cyber sécurité, l’intervenante met en avant la nécessité de changer de dimension. De se soucier de l’utilisateur et de ses contraintes, de l’inviter autour de la table. L’objectif : passer de la sensibilisation à l’acculturation.
Clôture de la matinée
Pour finir en beauté la matinée, Mathias Moulin, secrétaire général adjoint de la CNIL a rappelé le rôle important des DPO. La logique du « pas vu, pas pris » n’est pas payante, que ce soit à court, moyen ou long terme.
L’année 2023 sera marquée par une action coordonnée au niveau européen sur le métier de DPO à laquelle la CNIL participera. Cela entraînera notamment des contrôles par la CNIL sur le métier de DPO au cours de l’année… (vous avez bien désigné un DPO qui n’est pas en conflit d’intérêt, qui a les compétences et les moyens adaptés pour mener ses missions ??).
Le mot de la fin de matinée :
« Vous avez un métier d’avenir. La CNIL est une autorité d’avenir, je le souhaite ».
Informatique et données : à la recherche de la souveraineté
Une fois des forces reprises, Philippe Latombe, député et membre de la CNIL est revenu sur la grande question du besoin de souveraineté pour nos données. Des solutions existent et il est nécessaire de
« copier les américains dans ce qu’ils font de bien ».
Les offres hybrides de cloud tel Bleu ne sont pas, à son sens, de bonnes idées. En matière de données, les différents ministères travaillent en silo. Un ministère transversal de la numérisation serait intéressant.
Guide de survie du DPO : comment (re)trouver du temps pour l’essentiel ?
Enfin, Lucy Savary a eu la difficile tâche de clôturer cette journée avec une intervention pétillante et ponctuée de partage d’anecdotes et d’expérience pour aider les DPO à s’armer dans leur « recherche du temps perdu ». Comment se repositionner (avec diplomatie bien sûr) dans nos diverses missions et veiller à pouvoir mener à bien le cœur de notre engagement : la protection des données personnelles.
Le DPO est un chef d’orchestre et non un homme orchestre.
Le mot de la fin
Merci à l’AFCDP et son équipe, ainsi qu’aux intervenants et intervenantes pour cette belle journée de rencontres et d’échanges. À l’année prochaine !