La protection des données à caractère personnel, un enjeu à la croisée des compétences
juin 2009 par Emmanuelle Lamandé
Le CIL n’est pas la seule fonction en charge de la protection des données à caractère personnel. Comment les autres professionnels (RSSI, DSI, Risk Manager, Directeur de la Conformité, …) abordent-ils cet aspect ? De quelle manière collaborent-ils avec le CIL ? Quelques éléments de réponse à l’occasion des 5è Assises des Correspondants Informatique & Libertés, organisées par l’AFCDP.
Le Risk Manager doit gérer de nombreuses contraintes réglementaires, souligne Philippe Salaün, CIL de CNP Assurances. Sur ce sujet, les points communs avec le CIL sont nombreux. De plus, ces deux métiers sont nouveaux, émergent et cherchent à s’organiser. Cependant, le Risk Manager va balayer tous les risques (financiers, technologiques, juridiques,…), alors que le champ du CIL se limite aux données à caractère personnel. De plus, ils n’ont pas le même niveau d’acceptation du risque. Le Risk Manager cherche à réduire le risque, avec pour objectif qu’il soit le plus proche de 0, tandis que le CIL ne va pas accepter le risque.
Au sein du Groupe la Poste, le RSSI et le CIL travaillent en commun. Pour Patrick Langrand, RSSI Groupe la Poste, sur les missions de contrôle, c’est une nécessité. Le CIL fait d’ailleurs partie du comité de sécurité. Le RSSI fait appel au CIL notamment pour savoir si une action de contrôle est conforme à la loi Informatique et Libertés.
Pour Jean-Pierre Gagnepain, DSI Air Liquide et membre du CIGREF, il faut protéger les données sensibles, c’est-à-dire celles qui sont susceptibles de causer des dommages matériels, opérationnels et financiers à une entreprise. L’objectif est de déterminer les conséquences acceptables pour l’entreprise. Les données à caractère personnel représentent un sous-ensemble. C’est une problématique parmi d’autres et les forces déployées seront proportionnelles aux enjeux de l’entreprise.
Les informations collectées sont souvent utilisées à des fins non prévues à la base
Olivier Raynaud occupe la fonction de Directeur de la Conformité de la Banque Lazard. Il n’y a pas de CIL dans son entreprise. Le Directeur de la conformité se trouve au centre de la conformité des lois et parfois de leur dichotomie. Dans le cadre de sa profession, toute la relation avec le client s’articule autour du dossier personnel du client, qui s’avère indispensable. « Si je ne récolte pas ces informations, la commission bancaire me dira que je manque à mes contrôles ».
René Cassin, en 1972, dans un texte publié par l’Unesco, faisait le lien entre l’informatique et l’éthique, souligne Hervé Lainé, Président du cercle d’éthique des affaires. Il soulevait déjà à l’époque la dangerosité de l’accumulation des renseignements. Les informations collectées sont souvent utilisées à des fins non prévues à la base. Le facteur d’imprévisibilité est important. Souvent, les informations ne sont pas créées pour nuire mais peuvent le devenir ultérieurement.
Doit-on pour autant arrêter les progrès de la science et la technique ou doit-on prendre des risques ? Il ne faut pas arrêter la science mais faire attention aux usages et à la sensibilisation. « Science sans conscience n’est que ruine de l’âme ». Une démarche intellectuelle et éthique s’impose, mais l’éthique devra toujours faire face à certains dilemmes qui n’ont pas été prévus par la loi.
Articles connexes: