Un projet porté par ADN Ouest pour la région Pays de la Loire
Actus numériques
#Métiers

(Article) Le Data Protection Officer, nouveau métier du numérique

(06/09/17)

Dans le but de gérer l’importance et la masse des données qu’elle doit gérer, la direction numérique de Nantes Métropole Habitat, l’office public de l’habitat de la métropole nantaise, s’est dotée récemment d’une ressource dédiée à la protection des données.

Nantes Métropole Habitat loge aujourd’hui 47 000 nantais, soit 20% des habitants de la ville. Dans le cadre de son activité, encore plus qu’en sa qualité d’employeur, l’office collecte et traite une très grande quantité de données à caractère personnel de locataires, collaborateurs, fournisseurs ou partenaires.

Cette gestion s’accompagne pour Nantes Métropole Habitat de deux enjeux majeurs, portés désormais par Malika El Abed, nouvelle Data Protection Officer ou déléguée à la protection des données :

  • expliquer la finalité des informations personnelles collectées et justifier de leur bonne utilisation,
  • sensibiliser ses 600 collaborateurs à la protection des fichiers clients et l’utilisation de ces données en respectant des règles d’éthique.
Malika El Abed

Malika El Abed

Data Protection Officer

Le rôle du Data Protection Officer

Ce métier n’est pas réellement nouveau car c’est en réalité une évolution de la fonction de CIL (Correspondant Informatique et Libertés) créée en 2005 en France. Le Data Protection Officer est pour Nantes Métropole Habitat le chef d’orchestre de la mise en conformité à la législation en vigueur et, à ce titre, le garant de la protection des données personnelles traitées au sein de l’organisme.

Malika El Abed doit ainsi avoir une vision et une approche de conformité (soft law) et non purement juridique (hard law) permettant de prévenir les nombreux risques vis-à-vis de l’application du droit en vigueur. Cela nécessite des connaissances à la fois techniques et juridiques :

« À l’époque actuelle, une bonne gestion des données personnelles est un gage de confiance vis-à-vis de nos clients, collaborateurs et fournisseurs. Par conséquent, au-delà de la sécurité juridique de l’entreprise, le DPO a une vraie valeur ajoutée quant à l’image de l’entreprise. »

Data Protection Officer

Les missions du Data Protection Officer

Même si elle est rattachée au plus haut niveau de la direction, Malika ne reçoit aucune instruction dans l’exercice de ses missions (statut d’indépendance fonctionnelle). En tant que Data Protection Officer, ses principales missions sont de :

  • conseiller en interne le Directeur Général, les directions Métiers et les sous-traitants et émettre des avis et recommandations sur la bonne utilisation des données,
  • réaliser des études d’impact sur le respect de la vie privée,
  • sensibiliser et former les collaborateurs,
  • gérer les demandes et les réclamations relatives aux données personnelles,
  • établir et maintenir une documentation au titre de « l’Accountability » pour le Responsable de Traitement (registre des traitements, politiques, processus qualité),
  • auditer toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités et de vérifier l’application de procédures ou consignes relatives à la protection des données,
  • être le référent auprès de la CNIL.

« Mon rôle est d’éviter tout défaut de conformité, sans pour autant être un élément bloquant pour les projets internes ! Bien au contraire, je suis plutôt une aide à la réalisation des projets car la législation est complexe et les risques administratifs et judiciaires encourus ne sont pas anodins ! »

Data Protection Officer

Cas pratique : les objets connectés

Les bâtiments sont de plus en plus connectés, notamment pour améliorer la surveillance des équipements et faire diminuer la facture énergétique des locataires. Nantes Métropole Habitat collecte ainsi un nombre exponentiel de data provenant de ces bâtiments, ce qui nécessite de prendre des mesures de protection de la vie privée des locataires. En effet, ces données sont identifiées comme étant à caractère personnel car elles peuvent permettre d’identifier les comportements de vie des locataires (présence/absence, usages…). Pour que le traitement de ces données soit licite, le locataire doit y consentir. En cas de refus, une solution technique doit alors être recherchée pour que ses données ne soient ni collectées ni transmises.

Par exemple, l’utilisation du thermostat connecté Qivivo 2 permet d’envisager de proposer de nouveaux services tels que :

  • Détection des fuites dans un logement : on pourrait alerter très rapidement le locataire pour éviter une surconsommation et des risques d’impayés,
  • Individualisation du coût du chauffage collectif en fonction de la consommation réelle. Aujourd’hui les charges sont mutualisées entre tous les locataires.

Pour s’assurer de la bonne conformité de ces nouveaux services, Malika El Abed doit mettre en place des mesures organisationnelles et techniques permettant de s’assurer de :

  • collecter uniquement les données nécessaires à l’objectif recherché du projet (horaires de déclenchement du thermostat, relevés de température de chaque logement…). Il n’est pas possible de détourner les données collectées pour un autre projet sans l’accord du locataire,
  • conserver les données durant un temps limité : les données ont toutes une durée de vie en fonction du projet (3 ans pour l’expérimentation),
  • assurer la sécurité et la confidentialité des données : celles-ci doivent être protégées contre tout accès illégitime, détournement, vol, perte, etc.,
  • ne collecter que des données objectives, proportionnées et de qualité,
  • protéger les données : seuls les services de Nantes Métropole Habitat concernés, QIVIVO et l’entreprise de maintenance pourront avoir accès aux informations collectées et traitées. Elles ne seront pas transmises à un tiers,
  • héberger les données sur le territoire de l’Union Européenne et s’assurer qu’elles ne soient pas transférées hors UE, sauvegarde comprise.

“ Ce que j’aime dans ma fonction, c’est de pouvoir rencontrer tous les corps de métiers et apprendre aussi des autres. Au quotidien, je croise les aspects juridiques, sociétaux, informatiques, techniques… Je touche à tout ! J’ai donc une vision transversale de l’entreprise. ”

 

Photo credit :

CommScope via VisualHunt / CC BY-NC-ND