François Girault, délégué à la protection des données

• Présentez-vous ! Quel est votre rôle au sein de l’université de Rouen Normandie ?

Je m’appelle François Girault et je suis le délégué à la protection aux données de l’université de Rouen Normandie depuis le 1er mars 2022. Auparavant, j’exerçais la même mission à l’université de de Caen, et avant cela j’étais correspondant informatique et libertés depuis décembre 2009. Je suis tombé dans les données à caractère personnel depuis un petit bout de temps.

Être délégué à la protection des données, qu’est-ce que cela veut dire exactement ?

Le rôle du délégué à la protection des données est à la fois simple et complexe. C’est faire en sorte que l’ensemble des traitements qui sont réalisés au sein de l’Université soient conformes avec la réglementation sur la protection des données. Il y a plein de tâches différentes à réaliser. Il y a bien évidemment à tenir à jour le registre des traitements de l’Université. Il y a aussi à organiser la conformité de l’établissement, car le délégué à la protection des données est le chef d’orchestre de la conformité avec la réglementation et non pas l’homme-orchestre. Ce n’est pas moi qui dois tout faire. Je suis là pour conseiller, guider les étudiants, les enseignants-chercheurs et les personnels à faire en sorte que les traitements qu’ils réalisent dans le cadre de leurs projets, de leur travail, de leurs études soient conformes avec la réglementation. Cela passe bien évidemment par la déclaration des traitements, l’analyse, mais cela passe aussi par la mise en place de procédures et d’organisations qui permettent d’assurer la conformité. Cela passe aussi énormément par la formation, la sensibilisation et la communication auprès de l’ensemble des acteurs de l’établissement, auprès de tous ceux qui vont collecter des données à caractère personnel.

J’organise des sensibilisations, notamment auprès des étudiants. Je suis invité par des composantes pour faire une présentation du RGPD auprès des enseignants, par des laboratoires de recherche pour faire des sensibilisations auprès des doctorants ou des chercheurs. Je fais aussi des présentations régulières auprès des directeurs des services centraux, des directeurs de composantes, pour leur rappeler que le RGPD existe et leur présenter aussi les dernières productions, les dernières procédures qui ont été mises en place. Il y a soixante-dix référents à la protection des données sur l’ensemble de l’établissement. Je les forme, de sorte à ne pas les lâcher tout seul dans la nature sans le savoir dont ils ont besoin.

Plus je vais faire d’interventions, plus les gens vont me connaître et connaître la réglementation. Ce qui est assez rigolo, c’est que j’ai souvent affaire à des gens qui me disent « le RGPD, je ne veux pas en entendre parler ! ». Ils se mettent en boule dans un coin de la pièce et ne bougent plus. Pourtant, une fois qu’on a fait une première déclaration sur un traitement sur un projet de recherche ou autre, ils se rendent compte qu’en fait ce n’est pas si compliqué que cela. Ils se rendent compte qu’ils n’ont pas à changer leur méthode de travail. Ce qu’ils font de base, c’est bien et il manque juste deux, trois petites choses pour être en conformité. La grande majorité du travail pour se mettre en conformité, c’est le DPO qui le fait. Je fais partie des DPO qui veulent faire un travail commun, donner des pistes d’améliorations. Je suis là aussi pour apporter mon soutien et être force de proposition pour faire en sorte que le traitement soit conforme.

• Et justement, le RGPD, qu’est-ce que c’est ?

C’est le Règlement Général sur la Protection des Données. C’est un texte qui est entré en vigueur le 25 mai 2018. Ce n’est pas une nouveauté, c’est juste une remise au goût du jour de la loi 78-17 du 6 janvier 1978. Tous les grands principes qu’il y a dans le RGPD étaient déjà présents dans la législation française depuis cette date. Alors, il y a eu bien sûr quelques ajouts avec le RGPD, notamment, le droit à des recours collectifs, les droits des personnes qui sont un peu plus explicites, l’obligation de devoir être en mesure de prouver à chaque instant qu’on a respecté le RGPD. Mais sinon, tout le reste, l’information préalable, dire ce que l’on fait et faire ce que l’on a dit avec les données, ce sont des choses qui existent depuis 1978. Ce n’est pas une grosse révolution, c’est juste une évolution.

• Pourquoi est-ce aussi essentiel et primordial de s’intéresser à la protection des données et de s’y conformer ?

Il y a trois aspects. Pourquoi s’y conformer en tant qu’établissement ? Avec les nouvelles technologies et l’apparition des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), l’Union européenne a augmenté les sanctions. Si jamais on n’est pas conforme, soit on a une amende de 4% du chiffre d’affaires mondial de l’Université, soit une amende de 20 millions d’euros, sachant que c’est systématiquement la valeur la plus élevée qui sera prise en compte. Donc, l’amende maximale pour l’URN, c’est 20 millions d’euros. Si jamais on n’est pas conforme, l’URN risque donc de se prendre une amende de 20 millions d’euros. Sans oublier que le RGPD relève du pénal et donc ça peut être assorti, en cas de manquement grave, de cinq ans de prison ferme et 300 000 euros d’amende supplémentaires.

Je vois un deuxième point, c’est que nos données à caractère personnel, elles sont justement personnelles. Il faut que nous puissions avoir la maîtrise de l’usage qui est fait de nos données. À l’heure où nous échangeons tous sur les réseaux sociaux, savoir ce que le destinataire va faire de nos données, savoir quelles sont les données qu’il collecte, c’est primordial pour conserver une vie privée. Et cela, malheureusement, beaucoup n’en ont pas conscience. Quoi que nous fassions au niveau du numérique, nous avons énormément de données qui sortent et il faut que nous en soyons informés. Et c’est là où le RGPD est important. En théorie, si tout le monde joue le jeu, lorsque nous utilisons un service numérique, nous sommes informés des données qui sont collectées, pour quel usage et pour combien de temps. Nous avons la possibilité de nous y opposer ou de ne pas utiliser le service.

Le dernier point, qui n’est pas le plus négligeable, c’est que l’URN est un organisme de formation. J’estime qu’il est de notre devoir et de notre responsabilité d’alerter les étudiants sur leur vie privée, sur leurs données à caractère personnel. Aujourd’hui, la plupart des étudiants ne voient pas le mal de les partager sur les réseaux sociaux. Mais nous ne savons pas quel usage sera fait de ces données-là dans le futur. Nous avons changé de paradigme. Avant, tout était privé sauf ce que nous rendions public. Maintenant, c’est un petit peu l’inverse. Tout est public sauf ce que nous décidons de garder privé. Il va y avoir un juste milieu à trouver entre « tout est privé » et « tout est public ». Et nous sommes justement à cette étape-là de positionnement du curseur entre vie privée et vie publique.

• Vous travaillez avec toute l’Université : services, composantes, laboratoires, étudiants ? Comment réussir à être pédagogue et à faire changer les choses ?

Il ne faut surtout pas suivre une démarche classique, universitaire, avec des cours magistraux. Je me base principalement sur des cas concrets, des faits réels. Et je mise énormément sur la méthode des petits pas. C’est-à-dire que pour rendre quelque chose conforme, nous n’allons pas tout refondre en une seule étape, sinon les gens ne vont pas adhérer. Ce que j’essaie de faire, c’est de rentrer dans un processus d’amélioration continue : « Là, on est à 90% non conforme. On va essayer de devenir à 80% non conforme. Et puis après, 70% ». Et petit à petit, nous nous mettons en conformité sans changer vraiment l’ensemble des process. Par ailleurs, pour éviter que cette sensibilisation soit pénible à subir, j’essaie d’être assez naturel et de ne pas me prendre au sérieux. C’est dans ce sens que je fais en sorte de rendre mes sensibilisations dynamiques et amusantes. J’essaie d’émailler chacune de mes sensibilisations d’anecdotes personnelles. J’ai remarqué que le message passe tellement mieux à partir du moment où on relate du vécu, des expériences personnelles, des cas concrets plutôt que de rester uniquement dans la théorie. La théorie, c’est très bien, mais ce n’est pas pratique.

• Vous avez lancé récemment un Serious game. Pouvez-vous nous en dire plus ?

L’ensemble des personnels travaillent avec des données à caractère personnel et des fois, ils se retrouvent dans des situations concrètes sans savoir comment réagir. Le synopsis du jeu, c’est qu’on suit deux nouveaux personnels au sein de l’université, Maxime et Lydia. Maxime est secrétaire de composante. Lydia est une nouvelle maîtresse de conférences. Ils viennent de prendre leur poste et on va les suivre pendant une année universitaire dans le cadre de leur travail avec les différents soucis qu’ils peuvent rencontrer. Pour Maxime, ça va être par exemple des parents qui appellent pour avoir des informations sur la scolarité de leur enfant. Qu’est-ce qu’il doit faire ? Est-ce qu’il doit transmettre les informations ? Est-ce qu’il doit refuser ? Est-ce qu’il doit informer l’étudiant ? Lydia, de son côté, va vouloir créer un réseau des anciens étudiants de sa promotion. Quand est-ce qu’il faut qu’elle le propose aux étudiants ? Comment s’assurer que les personnes soient d’accord ? Il y a une petite dizaine de cas qu’on rencontre tous les ans au sein de l’établissement. Le joueur doit choisir le bon comportement. S’il a le bon comportement, il a un point. S’il n’a pas le bon comportement, il a moins un point.

En complément du jeu, il va aussi y avoir, avec la refonte du site internet de l’Université, tout un ensemble de pages dédiées au RGPD qui seront mises à jour avec notamment les procédures sur la conformité au sein de l’établissement. Ainsi qu’une rubrique « ça n’arrive pas qu’aux autres », qui recensera les non-conformités dans d’autres établissements ou dans d’autres entreprises et la réaction de la CNIL ou des autres autorités de contrôle européennes. C’est toujours intéressant de savoir ce qu’il se passe autour de nous et de montrer que le risque est toujours là.