Le , par Aurore Bouffel, Harmonie Peynot - RGPD
Présentation croisée
Avant d’entrer dans le vif du sujet, une rapide présentation de notre duo s’impose afin de donner du contexte à notre propos.
Harmonie Peynot : Bonjour, je m’appelle Harmonie Peynot et je travaille dans la protection des données personnelles depuis maintenant 9 ans. Ce n’était pas mon domaine à l’origine. Je viens initialement du management de l’environnement et de la qualité. Et au détour d’un poste un peu plus orienté gestion de projet informatique, je suis tombée dans la marmite de la protection des données. Comme je suis un peu touche à tout, j’ai passé quelque temps à me former à l’accessibilité numérique et puis j’ai rallié Temesis en 2021. Et je suis ravie d’avoir vu Aurore nous rejoindre l’année dernière. À toi Aurore !
Aurore Bouffel : Diplômée d’un master en droit privé, j’ai découvert la protection des données en fin de cursus. Fraîchement sortie de la faculté de droit, j’ai saisi l’opportunité d’évoluer dans ce domaine en tant que déléguée à la protection des données (DPO). Au cours de mes missions, j’ai découvert d’autres pans du numérique responsable que j’ai pu approfondir, à savoir la sobriété et l’accessibilité numérique. Je me concentre aujourd’hui sur le dernier en tant qu’experte qualité web et accessibilité numérique chez Temesis depuis un peu plus de 6 mois, mais le RGPD (Règlement Général sur la Protection des Données) n’est jamais bien loin ! Avant de nous retrouver dans les bureaux (virtuels) de Temesis, Harmonie et moi avons collaboré pendant plusieurs années au sein d’un service de délégués à la protection des données mutualisé, au service de collectivités territoriales et organismes connexes. Lors de nos rédactions à 4 mains, un sujet revenait systématiquement : la simplification du propos.
Introduction
La protection des données personnelles et l’accessibilité numérique ont des objectifs communs. L’un d’entre eux : rendre les contenus compréhensibles.
Le Règlement Général sur la Protection des Données en fait une obligation à son article 12 : procéder à toute communication “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”.
Si le Référentiel Général d’Amélioration de l’Accessibilité (RGAA) n’intègre pas de critère sur le langage simple, il en contient plusieurs sur la pertinence. Autrement dit, comment véhiculer une information (la destination d’un lien ou la signification d’une image par exemple) de la manière la plus claire et concise possible.
Mais qui n’a jamais croisé une politique de protection des données ou un bandeau de cookies débordant de mots bizarres ?
Sans aller jusqu’aux redoutés design trompeurs dont Harmonie a eu l’occasion de parler lors de la dernière édition de Paris Web, il arrive que certains responsables de traitement et Délégués à la Protection des Données aient la main lourde.
Le risque ? Le manque de transparence qui fait régulièrement l’objet de sanctions, mais aussi, de façon plus insidieuse, de décourager les bonnes volontés.
Quel est ton rapport à la clarté des contenus en matière de protection des données ?
Aurore : Si mes études de droit me permettent de déchiffrer les textes et décisions juridiques les plus complexes, elles ne m’ont en revanche pas appris à m’exprimer de façon claire et simple. Ainsi, durant mes jeunes années de DPO, je me suis régulièrement enflammée dans la rédaction de mails et autres livrables.
Ma volonté n’était pas d’étaler ma science ou de faire concurrence à un arrêt de cour d’appel, mais simplement de m’assurer que mon interlocuteur avait TOUS les éléments en sa possession, au risque de le laisser plus paumé qu’avant.
Avec le recul, les relectures avisées de Harmonie et la découverte du langage simple, j’ai appris que tout l’objectif était d’être compris, quitte à simplifier mon propos. Et que simplifier n’était pas synonyme d’appauvrir, mais un coup de pouce nécessaire pour maintenir l’engagement dans une démarche d’ores et déjà difficile à mener pour des interlocuteurs dont cela n’est pas le domaine d’expertise.
PS : Vous avez déjà reçu un mail sur 3 pages et sans saut de lignes de ma part ? Je vous prie de m’en excuser !
Harmonie : Moi c’est le contraire ! J’ai régulièrement en tête cette phrase du film Philadelphia “j’aimerais que vous m’expliquiez comme si j’avais 4 ans”.
Je trouve que la force du DPO (ou de tout expert d’ailleurs) est dans sa capacité à traduire l’information à destination du public qu’il vise. On ne parle ou n’écrit pas de la même manière à une informaticienne, un juriste, une enfant, un salarié, une directrice générale,… Leurs objectifs ne sont pas les mêmes. Leur langage non plus.
Lorsque l’on s’adresse au plus grand nombre, exprimons-nous le plus clairement possible, pour le plus grand nombre justement. Tout simplement. C’est d’ailleurs comme ça que l’on se retrouve à comparer le RGPD à Jiminy Cricket et les designs trompeurs à Kaa dans une conférence filmée… Mais j’assume complètement !
Quels risques avez-vous pu identifier ?
Harmonie : J’ai envie de parler d’un risque que l’on évoque généralement peut-être moins que les autres : le risque sur les démarches de protection des données déployées au sein des organismes.
Imaginons : vous avez un DPO, interne ou externe à votre organisme, et vous lui posez une question. Il vous répond un pavé avec un jargon hyper technique. Et concrètement, même avec toute la bonne volonté du monde, vous ne comprenez rien à ce qu’il vous a répondu. Une fois, deux fois…si cela devient récurrent, vous faites face à un frein d’ampleur.
D’abord parce que vous ne saurez toujours pas comment gérer votre situation. Ensuite parce que la prochaine fois que vous aurez une question, allez-vous de nouveau faire la démarche de demander au DPO ?
Et puis n’oublions pas le facteur psychologique. C’est assez démoralisant de se dire “je ne comprends rien à ce qu’on me dit”. Là, vous obtenez un terrain parfait pour qu’une démarche d’amélioration continue se recroqueville sur elle-même et n’avance plus. Et malheureusement ces risques sont bien réels. J’y suis confrontée régulièrement en accompagnant des organismes qui souhaitent ré-impulser leur démarche après une mauvaise expérience. Entre nous, j’appelle ça le syndrome post-traumatique du RGPD.
D’où l’importance pour l’organisme de choisir soigneusement son DPO. Et pour les DPO de veiller à rester le plus compréhensible possible, bien que cela ne soit pas toujours facile.
Aurore : Pour rebondir sur ce que dit Harmonie, du point de vue de l’expert, le risque est de ne pas être lu ou compris.
Quoi de plus frustrant que de faire des recherches approfondies, de prendre du temps pour rédiger une réponse qui restera sans suite. Ou d’avoir le sentiment de se répéter sans jamais observer de déclic chez votre interlocuteur.
Personne n’en sort gagnant, mieux vaut donc y aller progressivement et s’adapter à la maturité du référent de l’organisme accompagné. Et si l’envie de vous exprimer sur un sujet plus en détails est trop forte, pourquoi ne pas envisager d’en faire un article ou un sujet de conférence ?
Harmonie : Et bien sûr, n’oublions pas de mentionner la personne concernée et le cas “classique” de la transmission d’information. Un formulaire de collecte, une politique de confidentialité ou encore un bandeau de cookies par exemple peuvent entraîner une non conformité au RGPD s’ils ne sont pas suffisamment compréhensibles pour ceux à qui ils sont destinés.
Auriez-vous quelques conseils pour débuter ?
Aurore : Bravo à vous de vous remettre en question, ce n’est pas évident mais c’est important ! Pour ma part, voilà quelques points auxquels je suis vigilante aujourd’hui :
- Une phrase, une idée.
- Des contenus aérés.
- S’en tenir à la question posée, sans entrer dans une dissertation technique non sollicitée.
- Fournir une réponse simple et synthétique, accompagnée de ressources pour approfondir si le sujet est complexe.
- Ne pas hésiter à reformuler, voire à proposer un échange à l’oral en complément de l’écrit.
- Rassurer la personne et la mettre en confiance sur ses capacités à prendre la problématique en charge.
Harmonie : Je suis d’accord avec tout ce qu’a listé Aurore.
J’ajouterais que le test est le meilleur des exercices. Prenez un texte, essayez de le rendre plus clair et ensuite faites le lire à quelqu’un qui ne maîtrise pas le sujet. Demandez-lui ensuite ce qu’elle en a compris ou pas. Petite astuce, il faut choisir une personne franche qui saura vous dire honnêtement son ressenti. Et changer régulièrement de testeur… (C’est là où je remercie mon entourage d’être mes cobayes depuis de longues années !).
Faites une veille sur le sujet. Il existe des ressources dédiées à consulter sans modération. Avoir quelques exemples de politique de confidentialité vous paraissant plus claires qu’à l’accoutumée dans vos raccourcis est également un bon réflexe.
Et pour finir, je rappellerais que simplifier son propos ne veut pas dire que l’on n’est pas expert dans son domaine. Au contraire. C’est plus compliqué de transmettre la même information de manière claire qu’en jargon technique.
Comme un exemple vaut mille mots, Aurore, montre nous ce que ça peut donner !
Aurore : Imaginons une demande : “Nous souhaitons installer des caméras de surveillance dans nos locaux, quelles démarches à réaliser pour être conforme au RGPD ?”
Version DPO enflammé :
Le régime applicable en la matière dépend du lieu ou des lieux dans lesquels vous souhaitez installer ces caméras. En effet, en droit français, on distingue la vidéosurveillance d’une part, et la vidéoprotection d’autre part. En découle des régimes juridiques distincts. La vidéosurveillance concerne les lieux privés (espaces de stockage et zones dédiées exclusivement au personnel…) et relève du régime du droit au respect de la vie privée et donc de la réglementation applicable en matière de protection des données personnelles, ainsi que du code du travail. La vidéoprotection concerne tout lieu susceptible d’accueillir du public extérieur à votre organisme, même de façon ponctuelle. Elle relève d’un régime spécifique prévu par le code de la sécurité intérieure et nécessite une autorisation préfectorale pour être mise en œuvre. Par ailleurs, toute personne a droit au respect de sa vie privée, conformément à l’article 9 du code civil et 8 de la Convention européenne des droits de l’Homme, y compris dans le cadre professionnel. A ce titre, l’article L1121-1 du code du travail rappelle que : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.” […].
Avez-vous lu jusqu’ici ? Bravo à vous pour votre courage !
La plupart des lecteurs auront sans doute abandonné avant, et il est difficile de leur en vouloir.
Version (plus) compréhensible :
La première question à trancher est la suivante : les caméras filmeront-elles des lieux publics ou privés ?
À savoir qu’un lieu est public dès lors qu’une personne extérieure à l’entreprise est susceptible d’y entrer.
Si oui, une autorisation préfectorale est nécessaire et le cadre à respecter est posé par le code de la sécurité intérieure.
Si non, le régime “classique” de la protection des données s’applique :
- Information des personnes et gestion de leurs droits,
- Limitation des données collectées et de leur durée de conservation,
- Sécurisation du système.
Dans tous les cas, les droits de vos salariés devront également être pris en compte […].
Harmonie : Et dites-vous bien que là, Aurore a été assez douce dans sa rédaction “enflammée”. J’ai déjà lu bien pire.
Mais le côté positif, c’est que lorsque l’on commence à veiller à échanger de manière plus claire, cela devient vite une (bonne) habitude ! Il suffit de commencer. Alors à vous de jouer !