Rouages : “Le respect de la vie privée est un droit fondamental qu’il est essentiel de garantir”
Laurent Bourgue est directeur adjoint des affaires générales et institutionnelles. Il est aussi délégué à la protection des données, une fonction indispensable et obligatoire pour garantir le respect du droit à la vie privée des quelques 50 0000 étudiants de l’UM, des personnels mais aussi des tiers. Il nous en parle dans le cadre de la série vidéo Rouages produite par l’Université de Montpellier.
« Une donnée personnelle ? C’est une information qui permet d’identifier directement ou indirectement une personne, nous explique Laurent Bourgue, délégué à la protection des données (DPO) de l’Université de Montpellier. Nous ne traitons pas de données aussi sensibles qu’un hôpital mais on peut trouver une adresse, des coordonnées bancaires, des informations sur la composition du foyer, sur l’état de santé des agents ou les résultats des étudiants… Une mine d’or pour des personnes mal intentionnées ! » Et son job à lui est justement de faire en sorte que cela n’arrive jamais.
C’est en mai 2018 que la désignation d’un DPO devient une obligation légale pour tout organisme public et pour certaines entreprises privées à la suite de l’entrée en vigueur du règlement général sur la protection des données (RGPD). Si cette fonction n’exige aucune formation ni aucun prérequis particulier, Laurent Bourgue a suivi le DU Délégué à la protection des données proposé par l’Université de Montpellier. Recruté comme directeur adjoint de la direction des affaires générales et institutionnelles en 2022, il est nommé DPO par le président Philippe Augé et déclaré comme tel à la CNIL. « Entre la loi de 1978 dite « Informatique et liberté » et la mise en place du RGPD il a fallu presque 40 ans. C’est un vrai changement de paradigme et nous en sommes un peu les pionniers » rappelle-t-il.
Informer et sensibiliser
Le DPO dispose d’une palette d’outils pour assurer ses différentes missions. Il existe d’abord des outils informatiques de base incontournables appelés « mesures de sécurité logique » : antivirus, pare-feu etc. Pour toutes ces questions, Laurent Bourgue travaille en étroite collaboration avec le responsable de la sécurité des systèmes informatiques à la DSIN (voir Rouages : « Nous sommes un des services les plus utilisés mais aussi un des plus cachés »). Autre palette d’instruments : le droit. « Nous devons nous assurer que tout le monde est informé et à conscience que des données le concernant sont collectées et utilisées et qu’il dispose de droits sur cette utilisation » explique le délégué à la protection des données. Parmi ces droits on citera celui d’accéder aux données qui nous concernent mais aussi celui de s’opposer à leur utilisation ou de demander leur rectification, leur effacement.
Pour s’assurer que chacun connaisse ses droits et les limites de ses droits, la sensibilisation est une dimension essentielle du travail de la fonction de DPO. Pour cela Laurent Bourgue collabore avec l’ensemble des directions de l’université et plus particulièrement avec la Dred et la Dipa. « Les relations existantes entre l’UM et ses co-contractants ou ses partenaires nécessitent la conclusion de contrats dits de traitements de données afin que les obligations des uns et des autres en matière de protection des données soient définies ou précisées » souligne-t-il. Des actions de sensibilisation à destination des étudiants devraient également être entreprises prochainement.
Contrôler et garantir
Le DPO peut également être amené à réaliser des contrôles aléatoires sur le traitement des données en cours au sein de l’Université, mais Laurent Bourgue l’affirme, « il n’est pas possible de tout vérifier et je préfère largement agir en amont en faisant de la sensibilisation, en expliquant, notamment aux chercheurs, que le RGPD n’est pas un frein, qu’il entraîne certes des formalités supplémentaires mais qu’il est une garantie pour chacun que ses données resteront confidentielles. » Pédagogie, patience, ouverture au dialogue font donc partie de la panoplie indispensable du DPO, sans oublier aussi une certaine fermeté quand la situation l’exige. « Il faut savoir poser des limites, quel que soit l’enjeu, y compris dans le cadre de la recherche, le respect de la vie privée est un droit fondamental qu’il est essentiel de garantir. »
Et en cas de doute sur une question concernant la mise en œuvre d’un traitement de données, Laurent Bourgue le répète : « il est important et tout à fait légitime de me contacter par téléphone, mail ou courrier. Je suis le point d’entrée sur ces questions-là à l’Université, il ne faut pas hésiter ! » Parmi les moyens d’améliorer cette démarche, le DPO verrait bien la création d’un label qui pourrait distinguer et récompenser en quelque sorte les organismes respectant les principes fondamentaux du RGPD. « Cela pourrait être motivant pour les équipes et surtout attractif pour le public car ces questions vont se poser de plus en plus. »