Stéphane Omnes: DPO d’une année folle

DPO en 2020, c’est une bonne ou mauvaise situation ?

« Je pense que c’est plutôt une bonne situation par rapport au fait que ce métier est nouveau et qu’il est en plein essor. C’est une nouvelle fonction qui est devenue obligatoire pour un certain nombre d’entreprises, depuis la RGPD. »

Quels sont les succès dont vous êtes le plus fier ?

« Il y en a 2 qui sont très liés l’une à l’autre. Exercer ma mission de DPO chez POST, qui est le plus grand employeur du pays et qui est aussi la société qui gère le plus grand nombre de données personnelles, puisque quasiment toute la population du pays est concernée, voire même davantage avec les frontaliers comme moi-même. Avec ses multiples services (services postaux, télécoms, ICT et services financiers), POST joue un rôle universel dans l’économie du Luxembourg et participe au quotidien au développement de ce tissu économique. Ce qui me plaît également dans ma fonction, ce sont les valeurs fondamentales de notre société synthétisées sous l’acronyme MOSEL : Modernité, Ouverture, Simplicité, Engagement et Luxembourg. Ces valeurs créent un environnement propice au développement d’une culture de la protection des données avec le respect de la vie privée comme point cardinal. Le fait d’avoir reçu l’an dernier le 1er prix du DPO of the Year, c’est pour moi une reconnaissance du travail effectué et une fierté personnelle. »

Quels furent les défis liés à la crise du COVID-19 ?

« Ils étaient de 2 natures distinctes : premièrement, assurer la continuité de ma mission (activités tournées vers l’interne). Deuxièmement, assurer le suivi des exercices de droit venant de personnes concernées (clients et collaborateurs). Il fallait continuer à assurer des réponses dans les délais légaux. Bizarrement, on a observé une recrudescence sensible du nombre de demandes avec le confinement. Heureusement, mon travail se réalise assez facilement à distance. D’autre part, il y avait différentes initiatives dans le cadre de la lutte contre la pandémie impliquant notamment l’utilisation du tracing. Dans ce contexte, la RGPD nous a offert un outil précieux en nous aidant à fixer les limites éthiques du traçage. Car certains avaient tendance à considérer que dans cette situation exceptionnelle, toutes les barrières pouvaient être levées. Or nous considérons comme la CNIL (qui est intervenue dans le dossier du développement de la fameuse application STOP-Covid en France) qu’il faut poser des limites et qu’il est possible de lutter contre la pandémie tout en respectant le droit à la vie privée des citoyens. Dans ce contexte particulier, on a parfois tendance à confondre vitesse et précipitation, alors qu’avec un peu de réflexion en amont, on peut arriver à concilier les impératifs de l’urgence sanitaire et ceux du respect de la vie privée. »

Comment POST a-t-elle fait face à la crise du COVID ?

POST développe depuis des décennies ses services pour répondre à l’accroissement continu de la demande en matière d’usages numériques. Les objets connectés sont devenus une réalité quotidienne qui a besoin de moyens de communication. Grâce à cet investissement constant dans l’avenir, le réseau telecom de POST était prêt à faire face à une hausse soudaine de la demande en débit et en volume de données, telle que nous l’avons vécue avec le passage massif en télétravail. POST est également investi de missions au service de l’économie et de la population. Nous avons un devoir d’assurer une continuité des activités. Nous avons également dû faire face à une forte hausse du commerce électronique et du nombre de colis à traiter par nos services postaux. Vu la situation sanitaire, c’était un véritable défi que nous avons relevé.

Un bon DPO, c’est ?

La fonction demande des compétences et surtout des qualités humaines. Les principales sont :

• L’autonomie
• La pédagogie : afin de faire passer des messages complexes à des publics très différents
• Une certaine aisance relationnelle car il faut pouvoir parler à tout le monde

Au niveau des compétences, il faut des connaissances juridiques et informatiques en même temps. Un background en cybersécurité est également indispensable afin de pouvoir mettre en œuvre les moyens techniques pour protéger les données personnelles.

La valeur ajoutée d’un bon DPO, c’est de pouvoir apporter des solutions pragmatiques. C’est-à-dire ne pas se contenter de donner des avis sur ce qui est bien ou mal en matière de traitement des données personnelles, mais également apporter des solutions techniques et pratiques qui garantissent l’équilibre entre la protection de la vie privée et les besoins de l’entreprise d’exploiter les données pour réaliser ses objectifs business. Si vous arrivez à faire ça, vous passez du statut « d’empêcheur de tourner en rond » au statut de ‘business enabler’. Et cela change beaucoup de choses.

Il faut également reconnaître que c’est un métier très jeune, dont la demande est déjà forte, et de nouveaux cursus sont en train de se développer, notamment en formation continue. La certification des compétences de DPO est disponible depuis 2019 en France. La filière du métier va continuer à s’étoffer et la profession va continuer à se fédérer à travers de nouveaux cercles professionnels.

Quelle est la performance du Luxembourg dans le domaine de la gestion des données dans une comparaison internationale?

Le Luxembourg se situe parmi les bons élèves au niveau protection des données, notamment grâce à la culture de la confidentialité qui s’est construite autour de la place financière. Cette culture a facilité l’adoption de nouvelles mesures de protection des données personnelles. Le Grand-Duché a développé une véritable dynamique de digitalisation avec des entreprises de pointe comme SES.

La CNPD a un rôle important à jouer. Elle a lancé une initiative de référentiel (CARPA) qui vise à certifier les pratiques des entreprises en matière de protection des données. Le modèle n’est pas encore opérationnel, mais il est prometteur car il s’agit du 1er modèle de certification dans ce domaine précis. Il faut cependant que la CNPD soit vigilante par rapport à sa crédibilité car tout comme l’Irlande et à la différence des autres états européens, elle n’a encore prononcé aucune sanction… Mais l’actualité nous rattrape avec les plaintes qui ont été déposées contre Imprimeries Saint Paul, l’Université du Luxembourg et la Spuerkees suite à l’invalidation du Privacy Shield (à savoir le mécanisme qui encadrait le transfert des données entre l’Union européenne et les États-Unis).

Justement cette invalidation, quelles conséquences peut-elle avoir pour les entreprises luxembourgeoises ?

Personnellement, j’ai toujours pensé que ce Privacy Shield n’offrait pas les garanties nécessaires. Dans son arrêt « Schrem 2 », la Cour de Justice Européenne est du même avis. La conséquence est sans appel : tout transfert de données vers les USA sous le régime du Privacy Shield devient illégale du jour au lendemain, sans délai de grâce ni mesures provisoire. Il y a donc urgence à trouver des solutions de remplacement. Le message fort des autorités européenne est le suivant : en matière de protection de la vie privée le droit américain est parfaitement incompatible avec notre législation. Je crois donc qu’il faut considérer cela comme une opportunité par les acteurs du numérique européen. S’ils s’unissent pour créer de vraies alternatives aux solutions américaines qui posent problème.

Le 18 août, 101 plaintes ont été déposées dans 30 pays de l’espace européen par l’association NOYB. Les 101 sociétés visées l’ont été en fonction de leur utilisation de produits spécifiques comme Google Analytics ou le « Single Sign On » de Facebook. Les conditions d’utilisation de ces outils n’ayant pas été modifiées depuis l’invalidation du Privacy Shield, les transfert de données vers les USA qu’ils génèrent sont devenus illégaux. Les plaintes ont été déposées contre les responsables de traitement qui utilisent ces outils en même temps qu’une plainte était déposée contre Google et Facebook aux États-Unis.

De mon côté, je suis en train de terminer l’évaluation de l’impact pour POST afin de prendre les mesures adéquates… Quoi qu’il en soit, ce dépôt 101 plaintes, la cible est claire : Google Analytics et Facebook Connect. Cela risque d’avoir un effet boule de neige.

Quel conseil peut-on donner aux entreprises luxembourgeoises suite à l’invalidation du Privacy Shield ?

« Clairement, tous les contrats qui font référence au Privacy Shield doivent être revus ». Pour les autres services qui impliqueraient des transfert de données vers les États-Unis, il faudra voir au cas par cas, en prenant notamment en considération la classification du fournisseur et le fait qu’il tombe ou pas sous le coup de la réglementation FISA. »

Comment dès lors protéger la confidentialité des données en toute circonstance ?

Dans le domaine de la confidentialité des données à caractère personnel, le chiffrement est la technologie essentielle qu’il faut maîtriser pour assurer un niveau de protection suffisant. Quand on parle de chiffrement, il faut être précis et faire en sorte qu’il soit réalisé de bout en bout. On ne peut pas se contenter de mettre du https sur le transfert de données, il faut que la donnée soit chiffrée même quand elle est ‘au repos’, sur les espaces de stockage, en base de données. C’est essentiel et c’est le gap qu’il nous reste à franchir. C’est la base de données qui est au final le réceptacle de toutes les données personnelles. Si cette base est mal protégée et qu’elle fuite, les données seront lisibles.

Par ailleurs, il y a des progrès intéressants qui sont en train d’aboutir en matière de cryptographie. Notamment la cryptographie homomorphe, qui permet de réaliser des opérations sur des données chiffrées et de produire des données cohérentes lorsque vous déchiffrez le résultat. Cela permettra de réaliser des opérations sur des données chiffrées sans devoir les déchiffrer au préalable. Les « data scientists » pourront donc jouer avec des données en toute sécurité car ils ne verront pas les données en clair mais ils auront la garantie d’obtenir des résultats qui seront cohérents. C’est une avancée très prometteuse car beaucoup plus sûre que l’anonymisation des données.

Bref, le métier de DPO a encore de beaux jours devant lui, et de grands défis à relever.