La data n’a plus aucun secret pour Ève Chiapello qui la côtoie depuis maintenant quelques années. Lors de notre rencontre, la juriste au sein de la société Actecil Pacifique a partagé toutes les nuances du connu et pourtant méconnu RGPD. En 2018, ce Règlement Général sur la Protection des Données est venu compléter la Loi Informatique et Libertés modifiée datant de 1978, marquant ainsi une étape importante. Dans notre monde éminemment numérique, où la préservation des données personnelles est en jeu, explorer l’expertise d’Ève pourrait être la meilleure partie de l’univers data.

__

Bonjour Ève et bienvenue sur NeoTech, peux-tu te présenter à nos lecteurs ?

Bonjour, c’est un plaisir d’être ici sur NeoTech et de partager mon expérience à vos lecteurs. Je m’appelle Ève Chiapello et je suis spécialisée en droit de la protection des données. Actuellement, je travaille pour la société Actecil Nouvelle-Calédonie et donc pour Actecil Pacifique qui est également présente en Polynésie française. 

__

Tu travailles donc au sein d’Actecil depuis presque dix ans, peux-tu nous parler de ton évolution au sein de l’entreprise ? Quelles ont été tes différentes missions ?

J’ai débuté en 2014 en tant que juriste consultante spécialisée dans la protection des données au sein d’Actecil en métropole. Mon rôle consistait à accompagner les organismes publics et privés pour se conformer à la Loi Informatique et Libertés. Avec l’arrivée du RGPD, notre champ d’action s’est naturellement étendu pour offrir un accompagnement complet sur cette réglementation.

Ève Chiapello
Actecil métro © Actecil

Mon évolution dans l’entreprise a été marquée par différentes étapes. J’ai d’abord été responsable de région supervisant l’activité d’Actecil Sud sur un vaste territoire : de Nice à Toulouse en passant par Valence. Cette responsabilité incluait la gestion des consultants et des commerciaux ainsi que le pilotage des opérations. Par la suite, j’ai assumé le rôle de « responsable qualité consulting ». J’ai ainsi dirigé une équipe de consultants à l’échelle nationale. Mon objectif était d’harmoniser les services de l’entreprise pour garantir une qualité constante dans nos prestations.

Mon parcours m’a ensuite menée à une décision importante : quitter la France pour rejoindre Actecil Nouvelle-Calédonie. Cette transition s’est réalisée de manière fluide grâce à la proposition de la gérante, établie sur le territoire, de rejoindre son équipe. Cela m’a permis de poursuivre mon activité dans un nouvel environnement tout en conservant la continuité de mon domaine d’expertise, une véritable aubaine !

Ève Chiapello
Actecil pacifico © Actecil

__

On parle beaucoup de la politique du RGPD, de quoi s’agit-il et à qui cela s’adresse-t-il ?

Le RGPD est un règlement de l’Union européenne pour mieux protéger les données personnelles informatiques. Il dicte aux organismes, privées ou publics et peu importe leur taille, comment elles doivent traiter ces informations. Le RGPD a été mis en place pour garantir les droits et la vie privée lors du traitement de leurs données privées. Cela inclut des règles strictes sur la collecte, le stockage, le traitement et le partage de ces données. Ce règlement aide à protéger la vie privée des gens notamment dans le monde numérique

Cet encadrement permet également aux organismes de qualifier leurs propres données et de les utiliser. On parle ainsi de « patrimoine informationnel ». Ce terme désigne l’ensemble des données et informations d’une organisation, d’une institution ou même d’une société dans son ensemble. Le patrimoine informationnel est précieux car il constitue une ressource qui peut être utilisée pour prendre des décisions éclairées, développer de nouvelles idées, mener des recherches et bien plus encore.

Ève Chiapello
Les trois notions clés du RGPD © CNIL

__

Il y a définitivement eu un avant et un après RGPD, qu’as-tu vu comme différences ?

Ève Chiapello
Je suis une donnée personnelle © CNIL

L’avènement du RGPD a marqué un tournant significatif. Lorsque j’ai commencé en 2014, notre mission était fortement axée sur la sensibilisation des organisations à la culture de la Loi Informatique et Libertés ainsi qu’à la protection des données. Notre objectif était de convaincre les dirigeants de passer à l’action et de garantir le respect des droits des individus. Avec l’arrivée du RGPD, cette sensibilisation est devenue une évidence. Désormais, les entreprises influencent leurs partenaires à adopter la conformité RGPD. Cela a créé un cercle vertueux où les organismes en conformité encouragent leurs prestataires à suivre le même chemin.

Les amendes ont subi une transformation radicale : elles sont passées d’une peine pouvant aller jusqu’à trois-cent-soixante-millions de francs à des montants beaucoup plus substantiels, variant entre un-milliard-deux-cent-mille et deux-milliards-quatre-cent-mille francs pacifiques en fonction de la non-conformité !

Un changement significatif a également touché le rôle du délégué à la protection des données. Sous la Loi Informatique et Libertés existait le « correspondant informatique et libertés », un poste facultatif à désigner auprès de la CNIL. Avec l’adoption du RGPD est apparue la fonction de « délégué à la protection des données » marquant ainsi une version 2.0 du « correspondant ». Cette fonction a gagné en importance, devenant obligatoire pour certaines entités. Ce DPO – Data Protection Officer – doit conseiller les dirigeants, assurer la diffusion de la culture RGPD ainsi que la gestion documentaire de la conformité en matière de protection des données au sein de l’organisme, un peu comme un dossier de conformité.

__

Concernant les manquements au RGPD et les risques que cela induit, as-tu quelques chiffres à nous partager au niveau mondial mais aussi de la Nouvelle-Calédonie ?

En 2022, au niveau national, les amendes se sont élevées à 12 124 000 000 XPF. Ce montant reflète un ensemble significatif des sanctions imposées par la CNIL au cours de cette année. Il est important de noter que certaines amendes concernent des entreprises américaines, notamment Microsoft, et d’autres GAFAM, avec des montants comme soixante-millions d’euros. Pour les petites structures, les sanctions se manifestent souvent sous la forme de mises en demeure. C’est une menace pour les inciter à se conformer aux règles. Ces mises en demeure peuvent être rendues publiques pouvant avoir un impact considérable sur la réputation de l’entreprise.

En lien avec les modifications législatives instaurées par le RGPD, il est désormais impératif pour toutes les organisations faisant face à une violation de données de la signaler à la CNIL dans un délai de 72 heures. En 2020, 2 825 déclarations de ce type ont été enregistrées, tandis qu’en 2022, ce chiffre a grimpé jusqu’à 4 088, indiquant une croissance exponentielle. Dans le contexte de la protection des données, la gestion des risques liés à la cybersécurité joue un rôle crucial. Effectuer ces notifications en cas de violation est essentiel pour répondre à ces risques.

__

As-tu des conseils à donner pour respecter au mieux ce règlement dans les entreprises ?

Ève Chiapello
La collecte de données, kézako ? © CNIL
  • Commencer par une réflexion sur les données collectées et leur sensibilité. L’idée est de ne collecter que les informations strictement nécessaires – évitez les pratiques du type « au cas où »… –. Il est crucial d’établir des périodes de conservation précises et, plus important encore, de garantir la sécurité, que ce soit au niveau des systèmes d’information ou des données physiques.
  • Encadrer rigoureusement les relations avec les prestataires qui interviennent sur les données de l’entreprise. En effet, une violation de données chez un prestataire peut potentiellement avoir des répercussions importantes sur l’organisme.
  • En cas de demande d’accès aux données personnelles par un individu, il est fortement recommandé de formaliser cette demande et de répondre. Le délai prévu par le règlement est d’un mois.
  • Il faut assurer l’information des personnes concernées quant au traitement de leurs données. Cela peut se faire au travers d’une politique de confidentialité sur le site internet de l’entreprise ou de formulaires de collecte incluant des mentions d’informations. L’objectif est d’atteindre la transparence par le moyen le plus efficace possible. Chez Actecil, nous avons même intégré cette information dans nos signatures d’emails !

En résumé, la mise en conformité au règlement passe par une approche réfléchie et proactive en matière de collecte, conservation et sécurisation des données, ainsi que par des interactions transparentes avec les personnes concernées et les prestataires impliqués.

__

Tu as récemment été élue 1e vice-présidente du Cluster Numérique de Nouvelle-Calédonie. Quelles sont tes missions au sein de cette association ? 

Tout d’abord, je fais partie du bureau, ce qui implique un travail collaboratif visant à planifier et organiser divers événements. Mon rôle se rattache aux aspirations générales du Cluster, à ses ambitions et à ses objectifs. Pour concrétiser ces initiatives, l’équipe permanente met en œuvre les décisions prises au sein du bureau. En raison de mes compétences juridiques, je suis souvent sollicitée pour fournir des éclaircissements sur des questions juridiques.

Assumer la position de vice-présidente est un honneur pour moi car je deviens la première femme à occuper cette fonction au sein du Cluster. J’espère que mon exemple sera suivi par d’autres femmes à l’avenir. Cette nomination souligne l’importance de la présence des femmes dans le domaine du numérique et met en lumière leur rôle essentiel dans ce secteur en plein essor. J’espère donc ne pas être la dernière !

OPEN
Un nouveau président pour le cluster numérique OPEN NC © NeoTech

__

Selon toi, quel est l’état du développement du numérique en Nouvelle-Calédonie et pourquoi est-il important de s’engager dans cette voie ?

L’évolution du numérique en Nouvelle-Calédonie occupe une place cruciale et son adoption est devenue incontournable à mon sens. Cette tendance vers la dématérialisation se manifeste de plus en plus dans tous les domaines. Des évolutions législatives en France imposent déjà la facturation sous forme numérique, il est donc prévisible que ces démarches toucheront également le territoire à l’avenir. S’engager dans la voie du digital permet aux entreprises de disposer des moyens nécessaires pour gagner en rapidité et en efficacité. L’adoption d’outils numériques est un levier pour accroître la compétitivité sur le marché calédonien.

Il s’agit également de promouvoir une transition numérique inclusive en veillant à ce que tous les individus aient accès à ces technologies. Accompagner ceux qui ne sont pas familiers avec les usages numériquesest crucial. Les administrations jouent un rôle important en proposant des initiatives d’accompagnement, par exemple dans le domaine des demandes de bourses scolaires qui sont totalement dématérialisées. Cela vise à garantir que la prochaine génération soit à l’aise avec les outils numériques et puisse les utiliser de manière autonome.

Cependant, en Nouvelle-Calédonie – comme ailleurs –, certaines petites structures ne parviennent pas toujours à s’investir pleinement dans cette transition numérique. Elles peuvent manquer de temps et d’argent pour s’intéresser à la question et ne pas encore maîtriser pleinement leurs systèmes d’information. Cette situation engendre des potentiels risques en matière de cybersécurité car elles peuvent ne pas être suffisamment conscientes des dangers et des meilleures pratiques à mettre en place. C’est pourquoi il est crucial de sensibiliser et de former les acteurs locaux pour une utilisation responsable et sécurisée des technologies numériques.

__

Pour conclure cette rencontre, as-tu une dernière info ou une actu à partager ?

Annonce importante : rejoignez-moi à la Station N pour un afterwork dédié au « Privacy by Design » que j’aurai le plaisir d’animer. L’objectif principal ? Explorer comment, dès les prémices d’un nouveau projet, qu’il s’agisse de la création d’une entreprise ou de la conception d’un outil numérique novateur, il devient impératif de se poser les bonnes questions en matière de protection des données. Ce sera une bonne introduction pour plonger dans l’univers du RGPD, afin de mieux appréhender son impact et son importance fondamentale.

Pour y participer, inscrivez-vous via le formulaire Google Form

Ève Chiapello

__