SDBR News : Qu’est-ce que Digital Ethics dont vous êtes le fondateur ?

Paul-Olivier Gibert : Créée il y a 8 ans, la société Digital Ethics a pour objectif de permettre à nos clients d’être à l’aise avec l’utilisation des données, en ayant une approche qui combine des dimensions juridiques et des dimensions techniques sur le traitement de la donnée. Cela se traduit par la définition de charte mais aussi par un travail sur la donnée elle-même, à travers ce qu’on nomme l’anonymisation mais qui est plutôt un travail de dé-identification de la donnée et de minimalisation des données. Nous travaillons principalement dans le domaine de la Santé où les enjeux de protection des données sont importants.

SDBR News : Par ailleurs, vous êtes Président de l’AFCDP*….

Paul-Olivier Gibert : Oui je préside l’AFCDP, l'association française des DPO et plus largement des professionnels français de la protection de la vie privée et des données personnelles. Ce double engagement, Digital Ethics et AFCDP, repose sur la conviction que les enjeux du bon équilibre entre l'usage et la protection des données personnelles sont aujourd'hui centraux pour l'exercice des droits et libertés des individus.

SDBR News : Quel est le rôle du DPO dans les organisations ?

Paul-Olivier Gibert : Le DPO (Data Protection Officer), ou délégué à la protection des données en français, est la fonction qui au sein des organisations (entreprises, hôpitaux, collectivités territoriales, associations, etc.) a pour mission de faciliter le respect des obligations issues du RGPD**, pour que l’entreprise soit protégée du risque d’être sanctionnée et surtout que le droit et la liberté des personnes de l’organisation soient garantis par une utilisation raisonnable de leurs données à caractère personnel.

SDBR News : Je vous ai raconté mon expérience pour annuler mon vol Paris-Nice il y a quelques jours : j’ai seulement composé le numéro d’Air-France puis j’ai suivi les instructions du disque pour obtenir une opératrice, sans jamais prononcer un mot, et elle m’a dit « bonjour monsieur Establier » en décrochant, me disant que toutes mes réservations étaient déjà sur son écran… ça fait peur…

Paul-Olivier Gibert : Je ne connais pas les systèmes qui fonctionnent chez Air-France et je ne sais pas dans quelle mesure Air-France a fait le lien entre votre numéro de téléphone et votre identité parce que vous êtes client. Mais il est vrai qu’il y a de plus en plus d’informations sur les individus et qu’elles sont de plus en plus faciles à interconnecter et à regrouper. Cela peut avoir des avantages, comme celui d’être accueilli en étant connu de votre interlocuteur qui personnalise le lien et ajoute de la convivialité à la relation client. C’est une façon de se différencier de « l’accueil » que vous auriez peut-être comme « usager » d’une administration, par exemple. Mais le système peut avoir des inconvénients, comme celui d’être un élément de surveillance et de visibilité constitutif du risque de basculer dans une société de surveillance généralisée et de contraintes, ce qui peut faire penser à des sociétés totalitaires. C’est pour cela qu’il est important qu’existent des réglementations et des pratiques qui limitent ce qui peut être fait avec des données à caractère personnel, pour que des pratiques contraires n’empiètent pas sur nos droits et libertés.

SDBR News : Donc nous en revenons au RGPD. Mais tient-il la route?   

Paul-Olivier Gibert : Le RGPD globalement tient la route. Ce que nous voyons, c’est qu’il y a un avant et un après le RGPD et que c’est une réglementation qui fait des émules. En matière de protection des données personnelles, le RGPD sert de référence et d’autres États l’ont adopté. Sur les principes du RGPD, ils sont sains même s’ils ne sont pas si récents qu’on croit : il y a des pratiques qui ont été mises en place à la fin des années 70’, avec en France la Loi informatique et libertés et un certain nombre d’autres textes pris soit au niveau international soit dans certains pays européens. Ces principes sont restés, le RGPD ayant modernisé la mise en œuvre des ces pratiques. Il y a d’autres aspects au RGPD. D’abord il est très mal rédigé, avec de l’anglais de Bruxelles retranscrit en langue nationale, avec une rédaction de texte juridique et administratif, mais loin de la rédaction du code civil ou du code pénal de Napoléon…Autre problème, il y a eu une relecture américaine qui a déplacé le centre de gravité du sujet : beaucoup d’outils informatiques vendus dans le monde sont des outils d’entreprises américaines, ce qui pose des problèmes d’application du RGPD.

SDBR News : Que voulez-vous dire ?

Paul-Olivier Gibert : Le RGPD représente quelque part la philosophie des Lumières, de Descartes ou Rousseau, appliquée aux données et c’est une valeur qui doit être maintenue : l’individu a un rôle important dans la production et dans l’utilisation des données et il doit être protégé contre l’utilisation abusive de ses « data ». La notion de vie privée n’est pas la même aux États-Unis et en Europe. En outre, l’accès à l’information brute a quasiment disparu et avec lui la disparition de l’esprit critique, avec la mise en concurrence des différentes sources d’information pour se faire une opinion. C’est la raison pour laquelle nous sommes confrontés aux problématiques grandissantes autour des « fake news », par exemple. La gratuité des sites, comme Wikipedia et autres réseaux sociaux, peut amener des avantages dans la vie courante mais peut aussi être un piège avec une prise pour argent comptant de ce qu’on y lit, avec des dérives de toutes sortes, avec même des risques liés à du harcèlement entre autres.

SDBR News : Quel message avez-vous passé sur le salon « Ready For IT »?

Paul-Olivier Gibert : C’était un bel événement qui traite bien de la problématique que peuvent rencontrer un certain nombre d’acteurs, à savoir gérer la numérisation de leurs activités tout en gérant les risques qu’elle induit. La numérisation peut les aider à mieux gérer les clients et à avoir de meilleurs relations avec eux, mais il y a des risques lorsqu’on se place en entreprise étendue : quelle est sa part de responsabilité sur les traitements de données à caractère personnel ? Est-ce que qu’on définit vraiment quelles données on doit transférer à un sous-traitant et quelle est leur importance? Suis-je vraiment sous-traitant ou est-ce que j’endosse la responsabilité de l’origine du traitement de données ? Voila le type de questions qu’on doit se poser pour bien gérer les risques liés à la numérisation.     

*AFDCP : https://afcdp.net

**RGPD : « Règlement Général sur la Protection des Données »