Le DPO doit s’adapter aux évolutions techniques et juridiques, et faire preuve de pédagogie pour sensibiliser cadres et développeurs aux enjeux des traitements d’IA conformes aux règlements européens.
« Je suis tombé dans les données personnelles il y a une vingtaine d’années en réalisant qu’on peut faire énormément de choses techniquement en termes de développements numériques, mais qu’on se heurte vite à des limites, voire à des interdictions juridiques. Cela m’a donné envie d’en savoir plus sur la protection des données à caractère personnel, » retrace Fabrice Mattatia, délégué à la protection des données du Ministère de l’Intérieur.
Le DPO, métier en tension
Ingénieur général des Mines, polytechnicien, puis Docteur en Droit, il a soutenu sa thèse en 2010 sur l’efficacité de la protection des données personnelles. Fabrice Mattatia enseigne à l’Université Paris I, ainsi qu’à l’Université de La Rochelle et à l’institut Mines-Telecom. Il est aussi Membre du Conseil d’administration de l’AFCDP (Association française des délégués à la protection des données).
Fabrice Mattatia a rédigé un précieux ouvrage de synthèse intitulé « Les outils de la conformité RGPD et du DPO, » paru aux éditions Eyrolles en février dernier.
Selon lui, le Data Protection Officer reste un métier en tension qui exige de combiner plusieurs talents. Plus qu’un juriste, le DPO doit maîtriser toutes les technologies numériques manipulées par son employeur afin de conformer tous ses traitements de données au RGPD, le règlement général de protection des données européen en application depuis 2018.
Il doit se révéler bon communicant, et un négociateur didactique apte à convaincre les décideurs et les équipes de développeurs informatiques de l’importance de prendre en compte la conformité juridique, le plus en amont possible de la conception des nouvelles applications.
Sept ans après le RGPD, ce métier IT reste en tension. C’est l’un des mieux rémunérés, y compris dans la fonction publique où ses missions pédagogiques s’avèrent cruciales : « Dans toute organisation, les gens changent. Nous devons sensibiliser, former et former encore pour assurer la pérennité de toute l’organisation, » résume-t-il.
La CNIL vient souvent nous contrôler
« En échange de la mise en place d’une documentation interne, une promesse du RGPD était de mettre fin aux formalités préalables. Or, dans l’administration, et encore plus dans le domaine de la sécurité publique, ces formalités subsistent: vous ne pouvez pas bouger le petit doigt sans avoir obtenu au préalable un arrêté du Ministre ou un décret en Conseil d’État après avis de la CNIL. Cela sera le cas pour l’utilisation de l’IA dans l’administration: il faudra systématiquement une base juridique pour autoriser son usage, ainsi qu’une analyse d’impact préalable pour vérifier que les risques ont été identifiés et que des mesures de sécurité sont prévues. L’application du règlement européen sur l’IA nécessitera une période de rodage, surtout en combinaison avec le RGPD. Avec le RGPD, on rencontre surtout des problèmes d’interprétations. Ainsi, le principe de minimisation exige-t-il de ne pas demander plus d’informations que nécessaires aux traitements souhaités. Par exemple, un litige est actuellement en cours devant la CJUE au sujet de cette pratique commerciale de la SNCF obligeant ses voyageurs à cocher une des deux cases Mr. ou Mme, » rappelle-t-il.
Opportunités et fraudes permises par l’IA
Toute conformité règlementaire impose de faire les choses proprement. « L’objectif n’est pas de produire de la paperasse, mais de s’assurer que l’on protège les droits et les libertés des personnes. »
Fabrice Mattatia confirme l’urgence de se tenir informé des derniers développements technologiques. « Avec l’IA, par exemple, nous devons savoir comment chaque IA fonctionne et quelles données personnelles l’alimentent, le cas échéant. Comme tout le monde, nous avons des projets d’IA. Mais, nous devons identifier, au-delà des opportunités de l’IA, les menaces et les tentatives de fraudes également permises par l’IA. »
Les réponses générées restent à vérifier
Les IA ouvrent de nouveaux horizons, mais ne sauraient devenir une baguette magique. « Un grand défi des traitements d’IA consiste à apprendre à les maîtriser pour devenir plus efficace. Les IA ne remplaceront pas l’humain, mais pourront nous être utiles, une fois encadrées par un texte précisant ce qu’on a le droit de faire avec. Dans tout traitement de dossier, l’IA générative pourrait nous aider à préparer une réponse. Mais il faudra bien vérifier chaque réponse générée, ligne par ligne, afin de s’assurer qu’elle est exacte. »
Le Ministère de l’Intérieur suit les politiques de sécurité dérivées des politiques gouvernementales, au niveau du SGDSL (Secrétariat général de la Défense et de la Sécurité nationale) comme de l’ANSSI (’Agence nationale de la sécurité des systèmes d’information). « Nous appliquons les politiques nationales de sécurité. Pour nous, le cœur de la protection des données personnelles reste le RGPD et la directive Police-Justice. Les textes complémentaires européens tels que les DGA, DSA, DMA et Data Act impactent plutôt les entreprises ; l’administration est moins visée. En revanche, l’IA Act sera transversal. Globalement, on en reste aux textes européens et à leur interprétation. »
Résultant de nombreuses négociations entre les états membres, « le RGPD demeure un texte touffu enchaînant de multiples principes, exceptions et contre-exceptions. Il requiert beaucoup d’interprétations, et laisse une grande latitude d’organisation. Nous devons tous avoir les mêmes grilles de lecture, quitte à interroger régulièrement la Cour de justice de l’Union européenne, » conclut Fabrice Mattatia.
