L’AFCDP poursuit son engagement pour accompagner les DPO dans leur quotidien
juin 2023 par AFCDP
L’Assemblée Générale de l’AFCDP, qui s’est tenue le 13 juin dernier en présence de plus de 350 représentants de ses membres, a été riche en échanges concrets, et a été l’occasion pour l’association de présenter deux projets de soutien aux DPO : une cellule d’accompagnement psychologique et un jeu pédagogique pour sensibiliser à la protection des données les équipes dans les organisations.
« L’AFCDP se veut être à la fois porte-parole des préoccupations des DPO tant dans le débat public qu’auprès des organisations privées, et également une ressource d’information, de soutien, et d’échanges, fidèle à son ADN. », commente Paul-Olivier Gibert, Président de l’AFCDP.
Une Conférence d’ouverture de l’Assemblée Générale très riche
L’encadrement éthico-juridique des solutions digitales (notamment des IAG)
Jérôme BERANGER, CEO de GOODALGO Chercheur (PhD) associé à l’INSERM 1295 — CERPOP — Équipe BIOETHICS – Université Paul Sabatier Toulouse III, Expert Éthique & IA à l’Institut europIA : « Avec l’émergence des innovations technologiques — illustrée notamment par le développement extrêmement rapide des systèmes d’Intelligence Artificielle Générative (IAG) de type ChatGPT — il devient primordial de s’interroger sur la manière dont nous pouvons appréhender et utiliser cet outil technologique, au travers d’un cadre juridique évolutif, afin de conserver du sens, de la sécurité, de la transparence, et donc de la confiance envers cette numérisation de notre société. »
Lors de son intervention sur l’encadrement éthique et juridique des solutions digitales et particulièrement des systèmes d’Intelligence Artificielle Générative (IAG), Jérôme Béranger a souligné l’importance d’encadrer ces solutions.
Selon lui, l’IA, avec ChatGPT en exemple, révolutionne tous les secteurs, des industries aux médias. Il a mentionné la maturité de ChatGPT, qui a attiré plus de 100 millions d’utilisateurs en quelques mois, générant des impacts sociétaux importants, mais suscitant aussi des inquiétudes chez 68 % des Français selon une étude IFOP.
Ces systèmes ont plusieurs facettes positives et négatives. Ils présentent de nombreuses opportunités dans plusieurs secteurs, médical, informatique, etc. Mais également des risques notamment pour l’emploi.
Ces avancées technologiques soulèvent de multiples interrogations notamment sur la formation des utilisateurs, le consentement des personnes, le sourcing des données, la confidentialité. Jérôme Béranger a insisté sur le rôle de l’éthique, arguant qu’interdire est voué à l’échec. Il faut, selon lui, encadrer, accompagner pour faire face aux enjeux. De nombreux domaines vont devoir s’adapter, secteur éducatif, droit d’auteur. Il y a des incertitudes autour de l’avenir de certains métiers, notamment juridiques.
Pour assurer un encadrement adéquat, Jérôme Béranger propose le concept d’« éthique by evolution » : il estime que l’éthique by design est insuffisante du fait que les systèmes d’IA sont auto-apprenants et évoluent.
Il souligne l’importance d’audits systémiques et pluridisciplinaires permettant de comprendre les finalités de l’IA. Ainsi que de la création de labels permettant d’évaluer les projets digitaux. Il envisage aussi le développement d’un nouveau métier : le « Digital Ethic Officer ».
Enfin, il conclut en soulignant la nécessité d’adapter les IA pour qu’elles servent les entreprises et les citoyens, tout en préservant les valeurs humaines et le sens critique. Le défi n’est pas seulement technologique ou juridique, mais aussi éthique et éducatif.
L’activité de l’ANSSI au bénéfice des collectivités
Au cours de son intervention, le Général François Dégez, chef de la Division Coordination Territoriale à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), a mis en exergue la vulnérabilité des collectivités face au risque cyber.
Alors que l’ANSSI traite environ 1000 incidents de sécurité par an et que Cybermalveillance en gère 250 000, il a insisté sur le fait que le véritable défi n’est pas uniquement technique, mais humain. L’accessibilité grandissante aux outils permettant de mener des cyberattaques, y compris grâce à des données personnelles disponibles sur le « darkweb », représente une menace significative.
François Dégez a mentionné que les entreprises paient régulièrement des rançons aux cybercriminels, car elles ne peuvent se permettre de perdre leurs données, preuve de la nécessité d’une meilleure préparation et protection. Pour aider les collectivités à améliorer leur compétence en matière de cybersécurité, l’État a alloué 100 millions d’euros dans le cadre du plan de relance. Cependant, le Général Dégez constate que ces fonds ne permettent d’aider les collectivités que si elles ont déjà certains moyens en interne ; or pour beaucoup d’entre elles, elles n’ont même pas de services informatiques.
Ce constat rend les DPO (Data Protection Officer) encore plus importants, car les collectivités sont désormais tenues d’en désigner un. Ces derniers doivent sensibiliser les élus et agents sur les cybermenaces et sont considérés comme des partenaires potentiels pour l’ANSSI.
L’ANSSI travaille également sur des outils comme « MonServiceSécurisé » , qui facilite l’analyse des risques, et « MonAideCyber » , destiné à évaluer la maturité cyber des petites structures. Ce dispositif s’appuiera sur un réseau d’aidants pour soutenir les structures moins dotées dans leur démarche de cybersécurité.
Souveraineté numérique des collectivités : et si c’était le moment de débrancher ?
À la suite d’un article de la Gazette des communes, la journaliste Emilie Denètre et Philippe Salaün, secrétaire général de l’AFCDP, ont échangé sur le thème : « Souveraineté numérique des collectivités : et si c’était le moment de débrancher ? », après le constat que l’abandon de la suite Microsoft par certaines collectivités est au cœur des réflexions de nombreux DPD/DPO confrontés aux problématiques de souveraineté.
Emilie Denètre, est revenue lors de son intervention sur ce qui l’a amené à étudier les questions de souveraineté numérique. Elle s’est d’abord intéressée aux implications de l’utilisation de Microsoft par les collectivités territoriales (CT), notamment l’impact budgétaire de l’augmentation des tarifs de la suite Office. Elle a relevé la difficulté pour ces entités de se passer de Microsoft, surtout avec le passage de la licence perpétuelle au modèle de location (Saas). Ce modèle de l’économie d’usage rend les utilisateurs captifs, et elle relève que le fait que tous les outils numériques soient interconnectés complique l’abandon de Microsoft.
Elle a également évoqué le problème du stockage des données : où sont-elles exactement ? La promesse de Microsoft est que les données sont hébergées en France, mais les lois de surveillance américaines suscitent des doutes sur l’accès potentiel de ces informations par les services de renseignement américains.
Emilie Denètre a noté des différences entre petites et grandes collectivités. Les petites font face à un problème d’acculturation alors même que leurs systèmes sont plus simples. Les grandes, quant à elles, ont plus de moyens, mais manquent souvent de compétences internes pour intégrer les solutions open source pouvant remplacer Office.
Elle suggère que le regroupement des collectivités pourrait offrir une position de force lors des achats IT et leur permettrait d’imposer certaines conditions permettant d’assurer la protection des données et de conserver une souveraineté en matière numérique. Elle relève également la différence d’approche de l’État qui interdit l’utilisation de Microsoft Office à ses administrations, mais se déresponsabilise vis-à-vis des collectivités, considérant que ces questions relèvent de leur libre administration.
Le risque pour les entreprises est aussi évoqué. Si l’on considère qu’il y a une menace pour les services de l’État, cela devrait aussi être le cas pour les entreprises.
En conclusion, Emilie Denètre suggère la création d’un label pour les éditeurs de suites bureautiques en France, semblable à ce qui a été fait pour l’espace de santé.
Retour sur quelques réalisations inédites de l’association présentées sur l’évènement
Confédération européenne des associations de DPO (CEDPO) cofondée par l’AFCDP
L’après-midi était consacrée à l’assemblée générale proprement dite, avec la présentation du rapport financier et du rapport d’activité. A cette occasion, les administratrices Pascale Gelly et Florence Gaullier, en charge des affaires internationales, ont présenté un bilan de l’activité de la confédération européenne des associations de DPO (CEDPO) cofondée par l’AFCDP.
Nouvelle version de la Charte AFCDP de la profession de Délégué à la protection des données
Les participants ont également pu découvrir la nouvelle version de la Charte AFCDP de la profession de Délégué à la protection des données, présentée par Valentin Thévenot, DPO du Groupement Hospitalier de Territoire Nord Ouest Vexin Val-d’Oise (GHT NOVO), au nom du groupe de travail de l’AFCDP qui a réalisé cette mise à niveau. Mise en place en avril 2018 pour aller plus loin que les articles 38 et 39 du RGPD sur les rôles et missions du DPO (en incitant par exemple à la réalisation de bilans annuels, comme c’était le cas pour les CIL, les ancêtres des DPO), la Charte est un document signé par les DPO et le représentant de leur entité de rattachement, pour un exercice serein des fonctions de DPO. Elle est ouverte à tous les DPO, membres ou non-membres de l’AFCDP.
Un « serious game » pour faciliter la sensibilisation des enjeux de protection des données personnelles au sein des organisations
Les personnes présentes ont eu la surprise de se voir offrir un exemplaire de la nouvelle réalisation de l’AFCDP pour aider les DPO dans leurs actions de sensibilisation au sein de leurs organismes. Fabrice Mattatia, DPO du ministère de l’Intérieur, et Nicolas Samarcq, trésorier de l’AFCDP, ont présenté un jeu de cartes intitulé « Challenge RGPD », qui permet à un Délégué à la protection des données d’organiser, sous forme de « serious game », une sensibilisation des décideurs ou des chefs de projet aux concepts de la protection des données, et à l’impact que peuvent avoir, dans ce cadre, les décisions relatives à l’investissement dans la conformité des projets informatiques.
Un service d’écoute psychologique 7j/7-24h/24 dédié aux DPD/DPO
Enfin, parallèlement à l’étude réalisée par Bruno Rasle (ancien Délégué général de l’AFCDP, expert RGPD et formateur de DPO), sur les DPO en difficulté , Philippe Salaün, secrétaire général de l’AFCDP, a présenté la nouvelle offre de service proposée aux membres. Ce service d’assistance psychologique permettra à un DPO en difficulté de prendre contact, 7 jours sur 7 et 24 heures sur 24, avec un spécialiste de l’accompagnement des personnes en situation difficile. Proposé de manière pseudonyme (seul le prestataire connaitra l’identité du DPO appelant), ce service permet jusqu’à trois appels par personne, les cas de difficultés les plus lourdes devant conduire au recours à d’autres solutions. Comme cela a été rappelé à cette occasion, la première difficulté du DPO est de ne pas avoir d’interlocuteur à qui parler en cas de besoin aigu. C’est tout l’objet de ce nouveau service que de pallier cette absence.
1 https://www.monservicesecurise.ssi.gouv.fr/
2 https://beta.gouv.fr/startups/MonAideCyber.html
https://afcdp.net/charte-de-deontologie-du-dpo/ (La version actualisée de la charte sera prochainement mise en ligne)
4 https://afcdp.net/accompagnement-des-dpo-en-difficulte/