Un nouveau métier Le gardien de nos données Violaine Langlet se dit «curieuse de tout ce qui touche aux nouvelles technologies». Photo:Guy Jallay (#) Veröffentlicht am Dienstag, 17. Januar 2017 um 09:22 Par Thierry Labro «Les données personnelles sont le nouveau pétrole de nos sociétés. Avec le développement des nouvelles technologies, un clic et tout peut être dévoilé.» La main de Violaine Langlet, «data protection officer» chez MGSI, dessine un tourbillon dans l'air qui raconte combien il est facile de divulguer des informations très importantes. Mais son sourire s'interrompt aussitôt pour évoquer les risques. «Une adresse peut permettre de vous adresser de la publicité géolocalisée, ce qui est une atteinte à l'intimité. Mais les données peuvent être beaucoup plus mal utilisées. Avant, tout allait plus lentement, il y avait les ragots et les rumeurs. Il était possible d'en discuter de vive voix et d'y mettre fin.» Après des études de droit réalisées en France, spécialisée en propriété intellectuelle, elle entre chez Vanksen pour assurer la protection des noms de domaines des clients de l'agence de communication. 2008, la juriste de l'agence, «curieuse de tout ce qui touche aux nouvelles technologies», s'intéresse de plus en plus près à la protection des données avec le lancement du réseau social Facebook. «Tout ce qu'on met sur les réseaux sociaux est public, il s'agit juste de toujours s'en souvenir», glisse-t-elle. Un métier touche à tout Jusqu'à devenir un des premiers DPO du Luxembourg. Le «data protection officer» a vu le jour officiellement avec le règlement européen qui sera effectif au Luxembourg en mai 2018. Le «responsable de la protection des données» devra, en dehors du secteur bancaire, veiller à «l'équilibre – pas la meilleure position – mais l'équilibre, entre l'organisation, la société privée et les individus et leur sphère privée.» Le risque zéro n'existe pas avec les données personnelles mais le DPO doit permettre de mener un véritable travail d'analyse de risque. La jeune femme défend une approche transversale, dans laquelle il ne s'agit plus seulement de juridique mais aussi de technologie. «Il s'agit de vérifier que les données qu'une société s'apprête à demander à des clients ou des patients sont nécessaires à son business, c'est ce qu'on appelle la proportionnalité, mais aussi que ces données sont bien protégées, font l'objet d'un traitement conforme à ce respect de la vie privée. Puis, il faudra informer ces consommateurs ou patients de ces informations et leur donner un droit de regard, de manière compréhensible.» Il n'y a pas (encore) de formation au Luxembourg mais ce nouveau métier requiert toute une série de compétences bien au-delà du juridique, dans des domaines comme la sécurité informatique, la cybercriminalité, l'éthique, l'économie. Derrière une dimension très générale, la protection des données touche des domaines très sensibles. Par exemple, la nouvelle génération d'assureurs que l'on appelle les «Insurtech» voudrait bien utiliser la génétique pour savoir à l'avance de quelle maladie un patient pourrait souffrir d'ici dix ou vingt ans et donc sélectionner les patients les moins coûteux. «Payer avec ses données ou offrir des garanties seulement aux plus fortunés, c'est une question éthique. La personnalisation de la santé est utile à partir du moment où les données sont anonymisées et chiffrées.» Un risque à penser en amont «Le risque zéro n'existe pas avec les données personnelles mais le DPO doit permettre de mener un véritable travail d'analyse de risque.» Une mission d'autant plus difficile à mener que de plus en plus, intelligence artificielle aidant, les géants d'internet sont capables de croiser des données pour mieux «profiler» des clients potentiels et adaptent donc leurs offres à ce qu'ils savent de ces individus. Contrairement au «compliance» du secteur bancaire, le DPO n'aura pas besoin, dans un premier temps, d'accréditation, pour être qualifié pour mener ses missions, il n'aura même aucune responsabilité puisque si jamais survenait une perte des données, la responsabilité reposerait sur celui qui détient les informations. Jusqu'à 20 millions ou 4 % du chiffre d'affaires. «La commission nationale de protection des données a un rôle de sensibilisation, de contrôle et de sanction», insiste-t-elle. Mais la juriste invite à «penser la protection des données bien en amont de la chaîne. Les PME n'ont pas toutes les mêmes besoins. Prenez un garagiste qui s'occupe toujours de ses mêmes clients avec ses mêmes fournisseurs, il n'est pas dans la même situation qu'un concessionnaire qui utilise la géolocalisation...» Prévenir, plutôt que guérir. La technologie change. L'adage reste.