Dans les coulisses de la protection des données de l’enseignement supérieur

La mise à jour de la convention garantissant la bonne application des principes de protection des données au sein des établissements du supérieur, signée le 31 janvier 2019 entre la CPU (Conférence des présidents d’université) et la Cnil (Commission nationale de l’informatique et des libertés), consacre l’action du réseau SupDPO.

Réunissant 110 délégués à la protection des données, ou DPO (Data protection officer), des universités françaises, cette organisation est devenue la "tête de réseau" du secteur pour la Cnil.

"Nous avons proposé une modification de la convention signée entre la Cnil et la CPU, fourni une analyse sur les enjeux des DPO dans l’enseignement supérieur, mis à jour les articles obsolètes pour aboutir à la nouvelle convention", précise Victor Larger, DPO de Fun Mooc et co-coordinateur du réseau aux côtés de Florence Celen, son homologue à l'université Toulouse 3-Paul-Sabatier.

En 2007, la première convention entre la CPU et l’autorité de contrôle a donné lieu à la création des CIL (correspondants informatique et libertés) dans les établissements de l’enseignement supérieur.

Si le développement des CIL a permis leur mise en réseau et la construction d’une réflexion sur les spécificités de l’enseignement supérieur, la prise en compte des enjeux liés à la protection des données personnelles dans les établissements était "regardée comme une chose abstraite, contraignante et non mesurable", comme le soulignait Victor Larger en 2017.

La prise en compte des enjeux liés à la protection des données personnelles était regardée comme une chose abstraite, contraignante et non mesurable.
(V. Larger)

Autre preuve du manque d'intérêt pour le sujet : le comité de pilotage réunissant la CNIL et la CPU ne s’est pas réuni au cours des cinq dernières années, à en croire le DPO de Fun Mooc.

La protection des données s’effectuait dans des contextes très hétérogènes selon les établissements, au grand damne des CIL qui, dans une enquête réalisée par le réseau en 2017 auprès de ses 140 membres, estimaient, pour 84 % d’entre eux, ne pas avoir assez de temps pour mener leur mission à bien.

Avec l’entrée en application du RGPD (Règlement général sur la protection des données) le 25 mai 2018, les délégués à la protection des données ont fait leur apparition, y compris dans l’enseignement supérieur où il a fallu nommer des personnes compétentes pour mettre en conformité le traitement des données.

Si 61 % des CIL sont devenus DPO, des juristes, informaticiens, archivistes ou bibliothécaires ont vu leur poste évoluer pour prendre en charge cette mission. À l’instar de Chloé Lailic, désignée DPO à l’INSA de Rennes : "Je suis devenue DPO car j’y voyais l’opportunité de développer des sujets que je considère comme fondamentaux pour mon établissement", confie la bibliothécaire.

À l’université de La Rochelle, c’est le vice-président numérique et système d’information, Jean-Christophe Burie, qui a endossé le rôle de DPO. Il faut composer avec la réalité d’un établissement où les postes sont gelés depuis trois ans.

Cela dit, un recrutement est prévu en soutien à la rentrée 2019 : "Nous pensons recruter un ingénieur d’études à temps plein à la rentrée prochaine pour mener à bien la mission de la protection des données", précise Jean-Marc Ogier, vice-président du comité numérique de la CPU et président de l'université rochelaise.

Face à l’ampleur des enjeux et à l’importance de la mission, les DPO adaptent leur quotidien : "Officiellement, je suis supposé consacrer 20 % de mon temps à ma mission de délégué à la protection des données et le reste à mes fonctions de responsable du service des archives. En réalité, la protection des données est une mission qui m’occupe 90 % du temps. Je dois coordonner ce qui dépend des traitements administratifs, de la vie étudiante et de la recherche", détaille Timothée Bonnet, DPO à l’université Paris 13.

Nawale Lamrini, juriste et déléguée de l’université Paris Nanterre, qui consacre désormais tout son temps à la mise en conformité des données ne peut que renchérir. "Outre la veille juridique, qui correspond à 20 % de mon agenda, l’une de mes principales missions est d'accompagner plus de quarante laboratoires dont la moitié traite des données sensibles, dans leur mise en conformité. Sans une mise à niveau quotidienne sur les lois nationales et internationales, une collaboration constante avec les équipes et un lien avec d’autres délégués, je risque de passer à côté de l’essentiel", prévient-elle.

Pour Paula Caterino, DPO à l’université de technologie de Troyes, l’image souvent évoquée de "chef d’orchestre" de la mise en conformité symbolise parfaitement son quotidien : "J’encadre la mise en conformité d’un établissement de 2.500 étudiants et quelque 500 membres du personnel. Nous travaillons de manière rapprochée avec la direction générale des services, le responsable de la sécurité des systèmes informatiques, la direction des services informatiques, les affaires juridiques et l’archiviste pour que la feuille de route de la protection des données prenne sens et évolue."

La question des sanctions n’est jamais bien loin, mais elle ne revêt pas le même sens pour tout le monde. "Je ne manque pas une occasion de rappeler à ma gouvernance le risque auquel s’exposent les établissements en cas de manquements graves à la protection des données. Les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros", avise Timothée Bonnet.

Au-delà de la question de la sanction financière, protéger les données de nos usagers, c’est d’abord une question de réputation et d’intégrité.
(N. Lamrini)

Certaines directions semblent en effet ne pas toujours avoir conscience du défi que représente la mise en conformité des données. "Au-delà de la question de la sanction financière, protéger les données de nos usagers, c’est d’abord une question de réputation et d’intégrité sur le long terme, rappelle Nawale Lamrini. Il en va de la confiance en l’établissement, dans toutes ses dimensions, notamment la recherche."

"Hormis quelques cas particuliers, nous savons mettre en conformité les traitements de données liés aux missions administratives des universités, déclare Victor Larger. Le défi principal est lié à la recherche. Il est à la fois complexe, en évolution permanente et comporte un véritable risque que nous devons maîtriser."

Raison pour laquelle le SupDPO a inscrit dans ses priorités la protection des données de la recherche. En particulier celles concernant la recherche en santé ou les sciences humaines et sociales. "Des études sur la santé des adolescents, la consommation de stupéfiants ou les orientations sexuelles sont des choses relativement communes dans certaines disciplines. Pour autant, le RGPD oblige à définir un encadrement strict des données", précise le DPO de Fun Mooc.

Pour Nawale Lamrini, c’est le protocole de recherche qui, par défaut, entraîne des complications : "Certaines méthodes de recherche occasionnent des découvertes fortuites, pas prévues à l’origine par les registres. Dans d’autres cas, les chercheurs vont partager en colloques ou séminaires certaines données alors que nos registres ne le prévoient pas."

Pour y remédier, les DPO forment et accompagnent les chercheurs en identifiant les personnes ressources, à commencer par les directeurs de laboratoire, ainsi que les chargés d’appuis.

D'autant plus que l’ANR systématise des registres de traitements conformes pour l’obtention de fonds. D’où des collaborations renforcées. Un des principes fondateurs, le "privacy by design", guide la conception des projets de recherche. Ceci évite un premier dépôt de projet ANR, qui risque d'être refusé pour un défaut de conformité au règlement européen.

"Nous essayons de montrer que nous sommes des ressources pour nos collègues. Nous devons insister sur cette dimension, appuie Paula Caterino. Je crois à la sensibilisation, à la prise de conscience collective du risque et à l’importance de la formation."