Un métier touche à tout
Jusqu'à devenir un des premiers DPO du Luxembourg. Le «data protection officer» a vu le
jour officiellement avec le règlement européen qui sera effectif au Luxembourg en mai
2018. Le «responsable de la protection des données» devra, en dehors du secteur bancaire,
veiller à «l'équilibre – pas la meilleure position – mais l'équilibre, entre l'organisation, la
société privée et les individus et leur sphère privée.»
Le risque zéro n'existe pas avec les données personnelles mais le DPO doit
permettre de mener un véritable travail d'analyse de risque.
La jeune femme défend une approche transversale, dans laquelle il ne s'agit plus seulement
de juridique mais aussi de technologie. «Il s'agit de vérifier que les données qu'une société
s'apprête à demander à des clients ou des patients sont nécessaires à son business, c'est ce
qu'on appelle la proportionnalité, mais aussi que ces données sont bien protégées, font
l'objet d'un traitement conforme à ce respect de la vie privée. Puis, il faudra informer ces
consommateurs ou patients de ces informations et leur donner un droit de regard, de
manière compréhensible.» Il n'y a pas (encore) de formation au Luxembourg mais ce
nouveau métier requiert toute une série de compétences bien au-delà du juridique, dans des
domaines comme la sécurité informatique, la cybercriminalité, l'éthique, l'économie.
Derrière une dimension très générale, la protection des données touche des domaines très
sensibles.
Par exemple, la nouvelle génération d'assureurs que l'on appelle les «Insurtech» voudrait
bien utiliser la génétique pour savoir à l'avance de quelle maladie un patient pourrait
souffrir d'ici dix ou vingt ans et donc sélectionner les patients les moins coûteux. «Payer
avec ses données ou offrir des garanties seulement aux plus fortunés, c'est une question
éthique. La personnalisation de la santé est utile à partir du moment où les données sont
anonymisées et chiffrées.»
Un risque à penser en amont
«Le risque zéro n'existe pas avec les données personnelles mais le DPO doit permettre de
mener un véritable travail d'analyse de risque.» Une mission d'autant plus difficile à mener
que de plus en plus, intelligence artificielle aidant, les géants d'internet sont capables de
croiser des données pour mieux «profiler» des clients potentiels et adaptent donc leurs
offres à ce qu'ils savent de ces individus.
Contrairement au «compliance» du secteur bancaire, le DPO n'aura pas besoin, dans un
premier temps, d'accréditation, pour être qualifié pour mener ses missions, il n'aura même
aucune responsabilité puisque si jamais survenait une perte des données, la responsabilité
reposerait sur celui qui détient les informations. Jusqu'à 20 millions ou 4 % du chiffre
d'affaires.
«La commission nationale de protection des données a un rôle de sensibilisation, de
contrôle et de sanction», insiste-t-elle. Mais la juriste invite à «penser la protection des
données bien en amont de la chaîne. Les PME n'ont pas toutes les mêmes besoins. Prenez
un garagiste qui s'occupe toujours de ses mêmes clients avec ses mêmes fournisseurs, il
n'est pas dans la même situation qu'un concessionnaire qui utilise la géolocalisation...»
Prévenir, plutôt que guérir. La technologie change. L'adage reste.