Une journée avec… le data privacy officer de Grenoble École de management

Nom et prénom des enseignants, numéro de Sécurité sociale des étudiants, adresse mail du personnel administratif, coordonnées des maîtres de stages en entreprises… Les établissements de l’enseignement supérieur gèrent des milliers de données personnelles. Impossible pour elles d’ignorer le nouveau règlement européen RGPD, qui entre en vigueur ce vendredi 25 mai 2018.

Guillaume Pourquié est le nouveau chef d’orchestre des données, au sein de l’école de management grenobloise. S’il accompagne GEM depuis l’automne vers ce qu’il compare avec humour au "passage à l’euro", cet habitué des bases de données, dans la maison depuis 2010, est officiellement DPO seulement depuis le mois d’avril 2018. Rattaché au service juridique, il travaille en lien étroit avec l’ensemble des services de GEM. Sa mission : mettre en conformité la gestion des données de l’école avec le nouveau règlement.

Premier d’une longue liste de rendez-vous qui ponctueront la journée de Guillaume Pourquié : un point avec Jeanne Renard, responsable juridique de l’école de management. "Nous nous appelons parfois deux à trois fois par jour", glisse Guillaume Pourquié.

Ce matin, les deux collègues s’attaquent à la mise en conformité au RGPD de la charte informatique de l’établissement. Plusieurs formules de la version précédente soulèvent des débats : ce texte s’adresse-t-il seulement au personnel, ou également aux étudiants ? Parle-t-on de données au sens générique ou "à caractère personnel" ?

La rigueur juridique de Jeanne Renard complète les fines connaissance sde Guillaume Pourquié sur le RGPD. "Je ne suis ni juriste ni informaticien, les deux profils principaux des DPO", précise ce dernier. Formé à la gestion de bases de données, Guillaume Pourquié s’est occupé pendant plus de dix ans de celles des donateurs de Handicap International, avant d’entrer à GEM il y a huit ans en tant responsable du CRM (Customer relationship management) de l’école et correspondant informatique et libertés (CIL). C’est donc tout naturellement qu’il a accepté d’endosser le nouveau costume de délégué à la protection des données.

Avant de rejoindre son bureau, qu’il partage avec ses deux collègues qui gèrent le CRM, Guillaume Pourquié passe rapidement au pôle des systèmes d’information. L’occasion de planifier une réunion d’une quinzaine de minutes avec les membres du service pour leur présenter le nouveau RGPD.

Je veux montrer que le RGPD apporte des opportunités et non des contraintes.

Le DPO se doit en effet d’informer tous les personnels des enjeux du nouveau règlement. Guillaume Pourquié est passé maître dans l’art d’optimiser son temps : "Le matin, dans le train, j’ai pris l’habitude de faire une revue de presse", rapporte-t-il. Il a d’ailleurs repéré un article annonçant l’adoption d’une nouvelle loi informatique et libertés.

Autre onglet qu’il ouvre chaque jour : le registre des traitements, cartographie des données personnelles recueillies par GEM. Pour chaque service, ce fichier Excel indique quelles données sont détenues, pourquoi, pour combien de temps… Par exemple, le service de la vie scolaire dispose des noms, prénoms, date de naissance, adresse, ou encore numéro de Sécurité sociale des étudiants.

Connexion au site de la CNIL pour vérifier. Pour compléter sa veille, Guillaume Pourquié consulte aussi régulièrement deux forums dédiés aux délégués à la protection aux données : celui de l’Association Française des Correspondants aux Données Personnelles (AFCDP) et celui de SupCIL, dédié aux CIL de l’enseignement supérieur.

"Le principe de proportionnalité du RGPD, qui oblige à ne conserver que les données strictement nécessaires, me conduit à m’interroger sur les raisons pour lesquelles je les détiens, et par conséquent sur la durée de conservation de celles-ci. Par exemple, combien de temps garder les bulletins de notes des élèves ?" illustre-t-il. "Le registre indique également à qui sont transmises les données : à la LMDE, au Crous… Si, un jour, la LMDE n’est plus un organisme de Sécurité sociale étudiante, je devrais m’assurer qu’elle détruise les dites données", détaille le DPO.

Plutôt que de déjeuner seul devant son ordinateur, Guillaume Pourquié en profite ce midi pour échanger avec la directrice de la pédagogie de l’école, et le titulaire de la chaire talents de la transformation digitale. Leur principale interrogation aujourd’hui : comment intégrer le RGPD aux cours et aux programmes de recherche ? L’idée n’est pas de créer un module spécifique au nouveau règlement, mais plutôt de "l’infuser" dans chacun des cours. Le RGPD est en effet transversal : il s’applique tant aux services des ressources humaines, qu’aux achats, au big data…

Après une pause-café, Guillaume Pourquié traverse les couloirs pour rencontrer le responsable de la transformation digitale. Régis Faubet est déjà très au fait du RGPD. Mais comme il l’explique au DPO, les données auxquelles il a accès sont purement quantitatives : "Nous récupérons des informations personnelles seulement lorsque nous avons atteint notre cible, et réussi à amener un utilisateur à s’abonner à notre newsletter, ou à télécharger de la documentation sur notre site", décrit-il. Attentif, Guillaume Pourquié prend des notes sur son téléphone.

"Je reconnais avoir pris connaissance des conditions d’utilisation." Cette phrase, que l’on coche parfois en ligne, sans prendre réellement le temps de lire lesdites conditions, est amenée à s’étoffer avec le RGPD. Guillaume Pourquié a préparé un texte qui apparaîtra lors de la création d’un compte utilisateur sur le site de GEM. "Est-ce possible de le mettre en pop-up ?", demande Jérôme Clet, qui trouve le texte un peu long.

Le RGPD soulève de nombreuses questions pour ce chef des projets informatiques : "Lorsqu’un compte sera supprimé, une fois la durée de conservation des données atteinte, l’utilisateur en sera-t-il informé ? Comment exporter les données ?" Guillaume Pourquié n’a pas toujours les réponses. Il note donc sur des post-it les points qu’il doit vérifier avant leur prochaine rencontre.

Pour son dernier rendez-vous de la journée, Guillaume Pourquié se connecte sur Skype. À l’autre bout de la ligne, le président du BDE est sur un bateau, quelque part en Grèce, dans le cadre d’un voyage organisé par GEM. Si le DPO a choisi de le contacter, c’est parce que les associations étudiantes détiennent elles aussi des données personnelles. "Nous en récupérons notamment pour le week-end d’intégration ou d’autres évènements", confirme Corentin Henrio. Guillaume Pourquié devra donc veiller à ce que ces données soient obtenues dans les règles. "Je suis là pour conseiller, guider, alerter, résume-t-il, mais je ne suis pas un contre-pouvoir. Je veux montrer que le RGPD apporte des opportunités et non des contraintes."

Avant de rentrer chez lui, le délégué prend une heure pour préparer sa réunion du lendemain avec l’ancienne CIL de la Chambre de commerce et d’industrie de Grenoble. Ensemble, ils élaboreront une feuille de route pour mieux former les équipes de GEM au RGPD, ou encore pour mettre en place des outils d’évaluation de la conformité au règlement. "Tous les outils qui doivent être activés le 25 mai sont prêts, mais plus l’échéance approche, plus la pression monte", confie Guillaume Pourquié. Pour décompresser, il a prévu, comme chaque semaine, une séance de fitzen. Mais la pression ne descendra pas si facilement. À partir du 25 mai, ses missions du DPO ne font que commencer.