Soutenances M3

Référent Informatique et Libertés

Beaucoup de collectivités non conformes, "beaucoup n'ont même pas sollicité le service", "on a fait une campagne d'appel auprès des RIL (CDG Gard, Jura)"
leurs justifications : manque de temps, de budget
parmi les collectivités qui ont répondu, "la raison phare était le manque de temps"
-> le statut du RIL pourrait explique le manque de saisissement et d'intêret : est-il un frein à la mise en conformité RGPD ?

mutualisation des services : "c'est vraiment une mise en commun des ressources", "mais elle apporte des inconvénients"
mutualisation des DPD : "il faut vraiment adhérer à la convention"

pas de définition officielle du RIL, "c'est plus un statut qui est encouragé"

secrétaire de mairie ("un métier inventé avec la révolution industrielle") : sur ceux interrogés (région Nouvelle-Aquitaine, 2107 réponses), "la plupart ont plus de 45 ans", "90% expriment être en surcharge de travail"

causes du handicap à la mise en conformité :

charge de travail et responsabilités multiples des RIL
possibilité de conflit d'intérêt
absence de formation spécialisée en protection des données
manque de prérogatives pour faire appliquer les règles

mutualisation dans les autres pays de l'UE : "elle est pratiquée aussi, mais les profils sont plutôt exercés par des chefs de service informatique ou des services juridiques"
le statut du SDM est une spécificité française, "ça s'explique aussi par le nombre élevé de communes"

rapport sénatorial sur la revalorisation du métier de SDM

Question du prof : "si les SDM manquent de temps, pourquoi ce qu'ils sacrifient, c'est la protection des données et pas autre chose ?"

RGPD et appels d'offre transport sanitaire

entreprise qui conseille d'autres entreprises membres d'un réseau d'entreprises de transport sanitaire : elle fournit une prestation RGPD, "car c'est un secteur très à risque et très à même de se faire contrôler"

est-ce que le critère de la protection des données est déterminant dans les appels d'offre ? est-il dilué parmi les nombreux autres critères ?

parmi les entretiens, la responsable de la prestation RGPD, "la personne qui rédige entièrement les appels d'offre pour les partenaires" et le RSSI "un peu transverse"

"le caractère obligatoire va être de plus en plus ancré dans le domaine de la santé"

critères principaux :
- conformité avec les sous-traitants
- sécurité informatique
- conformité admin (registres de traitement)

"peut-être que la qualité du service prend plus de place que les autres clauses, dans ce domaine la qualité de service est très mesurée"

question du prof : "au-delà du domaine du seul transport sanitaire, est-ce qu'on retrouve souvent le terme RGPD dans les formulaires d'appels d'offre simplifiés ?"

Catalogage des données et impact sur la qualité

prise en compte de la conduite du changement

"pour maximiser la valeur des métadonnées, on les centralise dans un catalogue pour documenter et partager et faciliter la traçabilité"
pôle data de Manitou Group : data solution/data platform/data governance

outil de catalogage : Data Galaxy (satisfait aux principes FAIR, "j'ai trouvé un article IBM qui utilise ces critères")

"c'est un projet à long terme, donc on a du mal à calculer le ROI : le catalogue n'est pas trop complet, on manque des données nécessaires"
"personne ne veut avoir la responsabilité d'être data owner, ils ne veulent pas rajouter ça à leurs tâches"
"le DPO est négligé dans le processus de catalogage, et il n'accepte pas de changer de méthode de travail, il n'a pas confiance"

Efficacité du RGPD

"le responsable de traitement dans une mairie, c'est le maire ; or le maire a un rôle plus politique"
"dans les communautés d'agglomération, j'ai jamais rencontré le président de communauté"

"un administré nous a demandé d'accéder aux permis de construire, on ne savait pas quoi répondre, on a regardé dans le RGPD et on n'a rien trouvé, c'est un texte extrêmement général"

"on se rend compte que le texte ne fonctionne pas tel qu'il est"
"les agents ne sont pas stupides, ils essaient de faire attention, mais il y a beaucoup de procédures inutiles, et des traitements de données qui demandent une analyse d'impact qui n'est pas effectuée"
"c'est de l'argent public (la CNIL) pour de l'argent public (les collectivités)", "au moment de la transposition du RGPD il y avait un amendement pour exonérer les communes de sanctions, mais il n'a pas été retenu"

prof : "je ne pense pas que l'absence de but commercial empêche le mauvais usage des données personnelles"

"quand le service public n'est pas assez attractif, les profils talentueux ne vont pas au service public, ils vont chez Thales"

Ouverture interne des données

Enedis : est devenu un véritable opérateur de données à grande échelle depuis l'installation des Linky (de 5,5 à 31 petaoctets entre 2015 et 2022)
"globalement, pour eux, le compteur Linky est une réussite"

"défis de gouvernance"
"garantir l'innovation, la sécurité et la confidentialité"

"les besoins se font surtout sentir au niveau des régions"

"nous pouvons analyser les données à tout moment"
projet DATA DR : production de reporting et de traitement BI local (parcours utilisateur en 9 étapes)
"il y a encore des insatisfactions au niveau des directions régionales, ce qui cause l'usage de solutions non autorisées par la direction (Shadow IT)"

data-driven : pour être piloté par les données, il faut recourir à la notion de data mesh "pour faire remonter les données de partout dans l'entreprise"

Chiffrement et protection des données

Vinci SPTF (immobilier)
lors de l'audit RGPD externe, "l'ensemble des responsables ne savait pas ce que c'était que le chiffrement"

perspectives futures : chiffrement homomorphe, chiffrement léger

Gestion documentaire et gouvernances des données

Médicaments anti-allergiques, enregistrés selon la structure CTD (eCTD)

"la gestion documentaire traditionnelle montre des limites"
système GED

prof : "je suis surpris que ce soit que de l'Excel"

Cabinets de conseil et IA générative

relation forte entre cabinets de conseil et TIC

"en 2023, près de 70% des cabinets de conseils prévoient l'usage de l'IA générative"

scraping de la communication des cabinets de conseil avec AntConc : 1609 URL
cabinets en stratégie/en management et organisation/opérationnels
PME/ETI/GE
après analyse : classement des cabinets en avant-gardiste/innovateurs/small steps/silencieux

avant-gardistes : acteurs majeurs, grandes entreprises, forte demande de leurs clients
innovateurs : développement moindre, taille intermédiaire/petite, investissement dans la formation
small steps : "c'est un peu des cabinets qui ont peur"
Qualité des données dans le secteur bancaire

enjeux business et enjeux réglementaires
"c'est un domaine où les régulations sont très présentes" : BCBS, BALE III, DESP2... en plus du RGPD

comment mesurer les critères de qualité au sein des institutions bancaires ?
qu'est-ce que la qualité des données, etc. ?

dimensions les plus importantes : "on en compte 9"
accessibilité, complétude, fraîcheur, cohérence, etc.
"mais pour une seule dimension, on trouve différentes définitions"

la réglementation pousse à prioriser certaines dimensions par rapport à d'autres
"c'est là qu'on voit la différence avec les autres secteurs qui ont moins de réglementation spécifique"

Data Quality Management (DQM)

"tout part d'une exigence métier"
expression d'un besoin métier :

identifier les données concernées
définir les dimensions/le niveau de qualité attendu ("s'il est trop élevé ça peut être contri-productif")
analyse du niveau existant
remédiation (CDO, Data Steward, Data Architect)

"les néobanques vont avoir un gros train d'avance sur la connaissance client par rapport aux banques traditionnelles"
"elles ont mieux saisi ces enjeux au moment d'entrer sur le marché"

Stratégies d'entreprise pour la confidentialité des données à échelle internationale

Consulting data (Menaps) à échelle internationale, "les réglementations varient selon les pays"
"en Inde, ils voulaient leur propre RGPD, mais ils ont fini par le retirer en 2022 et on ne sait pas s'ils le remettront en 2024"

"pour les décideurs interrogés, le plus important c'est la satisfaction client", "tout ce que le client demande, il faut qu'on le fasse, et on n'a pas forcément le temps de l'optimiser à l'échelle internationale"
"si le client ne demande pas une chose, c'est qu'elle n'est pas importante" : "les clients au Maroc ou en Tunisie ne demandent pas qu'on respecte la RGPD, ils demandent autre chose"

"pour le moment, ils sont extrêmement satisfaits des décisions qu'ils prennent"

Rentabilité et fonctions support

agence web (Glanum) avec croissance très rapide brutalement interrompue en 2023
"la survie était un peu artificielle"

l'agence a inventé une fonction Gouvernance Risque Conformité (GRC) : "on pouvait rajouter de la conformité à nos sites web et en faire une activité rentable"

fonction support : qui ne va pas générer directement des revenus, "c'est souvent difficile à comprendre au sein d'une entreprise"
rationalisation des coûts : "ce n'est pas que la réduction des coûts, il faut mettre en valeur la démarche intellectuelle derrière" (Weber, Simon, homo economicus)

"chez nous, on a voulu faire une sorte de facturation interne"

Innovation et mise en conformité

encore Enedis

la mise en conformité entrave-elle l'innovation en entreprise ?
"dans mon quotidien, j'ai été confronté à des réticences"

inertie liée à la taille et la complexité de l'organisation

optimisation de la qualité du registre de traitement des DP

"c'est une méthode générique"
"elle permet d'apporter une certaine cohérence dans les traitements : au lieu d'avoir 10 traitements ayant une finalité commune mais rédigés différemment, on les aura organisés dans une seule ligne de traitement"

nécessité d'une adaptation progressive

Gouvernance et stratégie

pôle data d'un cabinet de conseil (Datasulting) :

au centre, le CDO
relais gouvernance : Data Steward et Data Owner
usages : Data Analyst, Data Scientist
le DPO n'est pas rattaché au pôle par souci d'indépendance

difficulté d'adoption principale : la résistance au changement

la gestion des données requiert une approche flexible et sur mesure : "ça dépend de chaque organisation"

data mesh : "c'est très récent", chaque service est responsable de sa donnée, "mais si on ne continue pas à partager, on risque de retomber dans une vision silo"

Conformité RGPD et sous-traitance des marchés publics

plan d'action de conformité dans le département de la Drôme : "méconnaissance"

"le registre de traitement n'est qu'une partie de la conformité"
les mécanismes de contrôle et d'audit des sous-traitants sont inexistants ou insuffisants
faible prise en compte du RGPD dans la passation des marchés publics : "on privilégie les questions budgétaires et d'efficacité"

défis :

complexité juridique, beaucoup de sous-traitant
suivi insuffisant post-attribution
clauses contractuelles rédigées sans l'avis du DPO

perspectives :

accountability
plus d'audits et de contrôle
synergie avec les autres réglementations

prof : "en mars 2024, la CNIL a émis un guide spécifique sur ce sujet", "on y voit que c'est ajusté contrat par contrat tellement c'est complexe"

Donnée et ouverture à la concurrence

Convergence data au sein de SNCF Voyageurs (BU TER Occitanie)
l'ouverture du marché impose le partage des données
mais "la SNCF veut garder son savoir-faire et son avantage concurrentiel"

l'autorité organisatrice peut potentiellement communiquer des données via le cahier des charges des appels d'offres

la gouvernance des données permet de répondre au défi de l'ouverture à la concurrence
"c'est avant tout une décision stratégique"

Open data dans les SHS

"fin de la théorie" dans les SHS : on se base davantage sur les données empiriques
stage au département de géographie de l'université d'Avignon

"l'open data n'est qu'un pilier de l'open science", "ce n'est pas suffisant pour atteindre les objectifs de la science ouverte"
principes FAIR

reproductibilité
"les données basées sur les questionnaires qualitatifs ne sont généralement pas acceptées par les revues de SHS"

data paper : papier publié avec sa base de données
garantit que les données sont de bonne qualité

"peu de revues françaises publient de data papers, il est essentiel de traduire la BDD en anglais, ça se fait vite en Python mais ça reste regrettable de ne pas pouvoir directement publier en français"

Difficultés des DPO

Crédit Agricole du Languedoc = banque de plein exercice (reçoit des recommandations de CA S.A. qu'elle peut suivre ou non)

AFCDP

sujet mal documenté, obligations de confidentialité

DORA : les DPO doivent s'adapter à de nouvelles technologies (IA)