Le , par Harmonie Peynot - RGPD
Temps de lecture estimé : 6 minutes.
Le 9 décembre, j’ai eu l’opportunité de participer à la journée organisée par la Commission Nationale de l’Informatique et des Libertés (CNIL) et Nantes Métropole à Nantes.
Je n’avais jusqu’ici jamais eu l’opportunité de participer à l’une de ces journées pour des raisons géographiques ou d’agenda. Lorsque j’ai lu l’annonce de l’ouverture des inscriptions avec une date coïncidant parfaitement avec ma présence à Paris la veille, j’ai sauté sur l’occasion. (Merci Aurélien et Temesis de m’avoir permis d’y aller !) Il ne faut d’ailleurs pas tarder à se décider dans ces cas là car les évènements CNIL se remplissent toujours très vite.
En quoi cela consiste ? La CNIL organise plusieurs fois par an des journées en région afin d’échanger avec les professionnels de la protection des données et de proposer des conférences, tables rondes et retours d’expérience sur des sujets d’actualité.
Les contrôles CNIL
En binôme, une représentante du service des contrôles de la CNIL et le délégué à la protection des données (DPO) de La Redoute ont présenté un retour d’expérience et des conseils pour vivre sereinement un contrôle CNIL.
Entrée en matière historique et sympathique des échanges avec une photo datant de 1979 montrant des agents de la CNIL (créée en 1978) visitant les locaux de La Redoute.
Comme souvent dans une démarche de protection des données, il faut anticiper et documenter ! Comment ? En mettant en place une procédure, connue de toutes les personnes concernées, formalisant l’ensemble des actions à mener en cas de contrôle inopiné par la CNIL.
Parmi les conseils :
- Établir une liste des contacts à solliciter pour participer aux échanges avec les agents de la CNIL. Prévoyez toujours des suppléants en cas d’absence car la redondance dans un système, c’est capital.
- Vérifier l’identité des agents de la CNIL et leur habilitation à procéder au contrôle. Ce serait dommage de provoquer une violation de données en donnant accès à des personnes se faisant passer pour des agents de la CNIL…
- Prévoir la mise à disposition d’une salle disposant des équipements nécessaires pour permettre aux agents de la CNIL de s’installer et de procéder sereinement aux échanges et constatations.
- Désigner une personne en charge de prendre note des différents éléments évoqués au cours du contrôle.
La mise en place de cette procédure est l’occasion de sensibiliser les salariés à ce qu’est un contrôle CNIL et à ce qui sera attendu d’eux. Cela permet aussi de démystifier l’aura effrayante que peut avoir un contrôle CNIL dans l’inconscient collectif et ainsi d’outiller les personnes pour qu’elles puissent garder leur calme et fournir les informations demandées le jour J.
Votre DPO ne peut pas être présent lors de l’audit ? (Oui, de temps en temps, un DPO part en vacances ou tombe malade). Pas de panique, vous aurez prévu un suppléant dans la procédure et votre DPO pourra, si nécessaire, transmettre des informations complémentaires à son retour aux agents de la CNIL. Si celui-ci est joignable mais ne peut pas se rendre sur site, un échange en visioconférence est possible.
La CNIL en a profité pour rappeler qu’il existe une muraille de chine entre le service de l’accompagnement et le service des contrôles. Solliciter un conseil auprès du service des DPO n’entraînera donc pas de contrôle. Il ne faut donc pas hésiter à prendre contact avec eux.
Conseil de fin : prévoyez du café ! Un contrôle CNIL, on sait commence, pas quand ça finit. Les agents de la CNIL peuvent se présenter à tout moment entre 6h et 21h. La journée ne se terminera que lorsque le procès verbal sera rédigé par les agents et signé par les deux parties. Cela peut donc se finir assez tard.
Annonce complémentaire : Après la récente mise à jour du téléservice de désignation des DPO, la CNIL prévoit la mise à disposition, dès début 2026, d’un kit d’embarquement à destination des DPO nouvellement désignés afin de les accompagner et de les guider dans cette prise de nouvelles fonctions. Un modèle de rapport annuel va également être proposé aux DPO.
Intelligence artificielle et cybersécurité
L’après-midi a été grandement dédiée à LA thématique du moment, qui donne quelques cauchemars aux DPO (en tout cas c’est mon cas) : l’intelligence artificielle (IA).
Après une table ronde sur les challenges de la mise en place de l’IA dans une organisation, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est intervenue pour présenter l’impact de l’IA dans les cyberattaques.
Le point sur lequel tout le monde se rejoint : le DPO a un rôle à jouer dans un déploiement responsable de l’IA dans les entités. Pour cela, il doit monter en compétences et appréhender l’impact de ces évolutions techniques et réglementaires, en lien avec le RGPD. Tout un programme donc…
Il a d’ailleurs été suggéré à la CNIL de proposer une formation en ligne sur l’IA pour aider à la montée en compétence des DPO sur le sujet, comme elle le propose pour le Règlement Général sur la Protection des Données (RGPD) avec l’Atelier RGPD.
La partie des présentations un peu plus angoissante : on estime que près de 12% de la population mondiale utilise un outil d’IA hebdomadairement. Envisager d’interdire entièrement l’utilisation de l’IA dans un organisme semble illusoire et alimentera du shadow IA (utilisation non officielle et non maîtrisée de l’intelligence artificielle) avec tous les risques que cela peut impliquer.
L’IA est désormais utilisée pour contrer des attaques (identifier des comportements anormaux, analyser des données, etc). Mais les attaquants ne sont pas en reste. Ils utilisent également les capacités de l’IA pour mener leurs attaques et les rendre de plus en plus rapides et implacables. L’ANSSI relève que des attaques sont désormais menées à 90% en toute autonomie par des IA.
On en revient au légendaire : un grand pouvoir implique de grandes responsabilités.
En conclusion
Un grand merci à Nantes Métropole et à la CNIL pour l’organisation de cette agréable journée ainsi qu’aux collègues DPO avec qui j’ai eu l’occasion d’échanger.
Rencontrer des personnes confrontées à des challenges similaires au quotidien et pouvoir remonter nos interrogations et besoins directement auprès de la CNIL, c’est toujours une opportunité en or.