Protéger les données collectées

Depuis son entrée en vigueur le 25 mai dernier, le Règlement général sur la protection des données (RGPD) vise à renforcer la protection des données personnelles des citoyens de l’union européenne. Louis-Benjamin Ponticelli est chargé, au sein de l’Association diocésaine, de coordonner la mise en conformité des services diocésains et secteurs pastoraux.

 

Pourquoi l’Union européenne s’est-elle dotée d’un tel règlement ?

Louis-Benjamin Ponticelli, référent RGPD et chargé des nouveaux outils numériques : 
Le RGPD est initialement développé par l’Union européenne comme une arme économique afin d’obliger les géants du numérique comme Google, Amazon, Facebook, Apple ou Microsoft à respecter les données des utilisateurs européens et à se mettre en conformité au risque de payer de fortes amendes en cas de manquement. Pour la France, si le RGPD peut être vu comme une amélioration de la loi de 1978 « Informatique et libertés », il devient également contraignant et oblige des structures comme l’Association diocésaine de Bordeaux à se mettre en conformité pour protéger les données de ses utilisateurs, salariés, bénévoles, paroissiens... Les données collectées par l’Association diocésaine, qu’elles viennent des services diocésains ou des paroisses, sont de fait des données réputées sensibles puisque elles appartiennent à une structure cultuelle.

Quelles pratiques actuelles, dans nos services diocésains et secteurs pastoraux, vont devoir évoluer ?

Au niveau des services diocésains comme des secteurs pastoraux, chacun a, ces dernières années, utilisé au fur et à mesure de ses besoins des outils numériques très variés. Typiquement, les comptes emails varient d’une paroisse à l’autre avec des adresses hébergées par Wanadoo, La Poste, Google, Microsoft... Le stockage des données passe aujourd’hui par des clés USB, des disques durs en paroisses ou des services en ligne du type Google Drive, Dropbox, etc. Cette diversité pose plusieurs problèmes. Premièrement, elle accroît le risque de perte de données, lorsqu’une personne collectant des informations quitte une paroisse ou une service. Ensuite, la sécurisation des données n’est ni optimale, ni mise à jour régulièrement. Enfin, nous sommes dans l’incapacité de suivre et connaître l’ensemble des données collectées pour pouvoir, sur demande d’un utilisateur par exemple, les modifier ou les supprimer.

Quelles vont être les étapes de cette mise en conformité ?

Elle est envisagée à l’échelle de la Province ecclésiastique de Bordeaux (réunissant les cinq diocèses d’Aire et Dax, Bayonne, Agen, Périgueux et Bordeaux). Nous avons eu un audit réalisé en novembre par un cabinet d’avocats spécialisé en droit numérique. Il permet de cartographier à gros traits les données à caractères personnelles que nous collectons. Ce cabinet va maintenant assumer la fonction de DPD (délégué à la protection des données) externalisé. Le DPD est le référent légal pour la CNIL et il réalisera sa mission en lien avec un référent RGPD par diocèse.

La première dimension de cette mise en conformité est d’ordre juridique et contractuel. Nous allons revisiter tous les contrats passés avec nos sous-traitants pour y ajouter des annexes conformes au RGPD. Nous devons aussi rédiger toute une série de documentation (charte informatique, politique de conservation des données) qui nous sont demandées par la CNIL. Au cours du premier trimestre 2019, nous élaborerons un modèle de traitement des données à l’échelle d’un secteur pastoral et d’un service diocésain test qui sera ensuite appliqué à l’ensemble du diocèse. Dans un deuxième temps, autour du second semestre 2019, nous mettrons en place des outils numériques permettant de gérer au mieux les données personnelles collectées. Nous en profiterons pour «dégoogliser» et harmoniser nos outils numériques en privilégiant les hébergements en France, notamment en Gironde, et des solutions open source.