Assemblée SupDPO 2020

Le 11 décembre dernier s’est tenue la 14e assemblée annuelle du réseau SupDPO, dans une configuration inédite en temps de crise sanitaire, mais marquée par une forte participation des DPO membres du réseau et des interventions de grande qualité. En cette Assemblée s’est tenue la première édition des Prix SupDPO pendant laquelle ont été désignés les lauréats, avec le sponsor de la CPU et de la CGE.

Après une matinée de travail sur les questions sectorielles, en collaboration avec la CNIL qui est revenue sur plusieurs sujets d’actualité fondamentaux pour les DPO, l’après-midi a été marquée par des tables rondes sur des sujets d’actualité.

Les échanges étaient également ouverts à nos partenaires (CPU, CGE, Resosup, etc.).

***

Quelques extraits du discours de la Présidente de SupDPO

« Notre réseau vit plus que jamais, notre réseau échange, notre réseau mutualise et c’est une réelle satisfaction que nous pouvons avoir tous car il s’agit de la solution aux problématiques que nous vivons. »

« Tout est possible : nous pouvons donc gagner la partie de la protection des données. Le nouveau cadre juridique est une réelle opportunité pour nos organismes de faire autrement. Saisissons-le dans notre rôle de DPO, et soutenons nos responsables de traitement dans les choix cornéliens qu’ils doivent assumer. »

« Je voudrais vous partager notre intérêt d’avoir une politique sectorielle européenne, car nos étudiants bougent, nos chercheurs collaborent… Et les données avec! La mutualisation que nous opérons ensemble à travers notre réseau a du sens bien sûr aussi au niveau européen : nous avons beaucoup à apprendre de certains pays, qui, au contraire du nôtre, n’ont pas (re-)découvert la protection des données en 2018…! »

« Nous avons particulièrement de la chance, nous, DPO de l’ESRI, car nous exerçons un travail qui a du sens. »

***

Les tables rondes : remerciements appuyés à tous nos intervenants !

Learning analytics, algorithmes prédictifs : l’enseignement supérieur a-t-il besoin d’une boule de cristal ?

L’Assemblée a été passionnée par les présentations d’Anne Boyer, Université de Lorraine et d’Alexandra Bensamoun, Université de Paris-Saclay présentant respectivement les résultats des recherches réalisées sur ces questions et les contours et limites juridiques actuelles.

Une minimisation et une gestion du cycle de vie des données essentielles, mais jusqu’où ? Un tableau de bord de gestion des traces numériques des étudiants à la maîtrise des étudiants eux-mêmes, et… des enseignants ? La réussite étudiante comme objectif de tous ? Une évaluation du risque potentiel discriminatoire des algorithmes ? Un fort besoin de formation des enseignants et des étudiants, mais comment ?

Il est entendu que cette question méritera encore de nombreux échanges au sein de SupDPO et au-delà, avant de réussir à produire des règles et analyses d’impact sectorielles consensuelles : il nous faut désormais être proactifs et traiter le sujet !

La protection des données, un enjeu de souveraineté majeur :

Stéphanie Combes, directrice du Health Data Hub, Jean-Pierre Finance, président du Conseil d’administration de Renater et Jean-Michel Mis, député et vice-président de la Mission d’information de l’Assemblée « Bâtir et promouvoir une souveraineté numérique nationale et européenne » ont chacun apporté et développé une vision complémentaire de ce qui peut être entendu par le terme « souveraineté ».

Tantôt un enjeux de protection des données, un enjeu de compétitivité et de concurrence, ou encore un enjeu de confiance ou de maitrise des usages entre protection et ouverture (science ouverte, open data et fair data), la définition de la souveraineté a été élargie sous toutes les facettes du prisme, avec des allers-retours entre les questions posées au niveau des établissements, des chercheurs, des DPO et des personnes concernées.

La question a également été discutée à des niveaux plus politiques de choix stratégiques technologiques au plus haut niveau de notre territoire national et européen, parfois hors du périmètre direct des DPO mais nécessaires à la contextualisation du sujet. L’illustration des perspectives promises par le Health Data Hub et ses enjeux de santé publique, ou par les projets EOSC ou GAIA-X qui visent à construire une infrastructure européenne, démontrent toute la complexité du débat actuel et les conséquences dans le quotidien des DPO de l’ESRI.

La souveraineté, qu’elle s’entende comme une stratégie de gestion des risques ou de compétitivité, comme un hébergement exclusivement communautaire, ou encore comme un recours aux seules structures françaises, doit nécessairement s’appuyer sur un socle juridique, documentaire, et politique clair, stable et assumé. Elle doit particulièrement respecter les grands principes de la protection des données décrits dans le RGPD, notamment : la sécurité des données (art. 31-I : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque« ), l’accountability (art. 5-2 : « Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté« ), et le respect des droits fondamentaux des personnes concernées (chap. III).

Les travaux de conformité et l’évaluation des risques préalables sont donc la brique élémentaire de la concrétisation de la souveraineté, sous toutes ses formes. Les DPO conseillent et accompagnent les responsables de traitements dans la mise en œuvre de nouveaux traitements de données.

Les solutions de visioconférence de l’ESRI

Le réseau a eu le plaisir d’échanger avec Catherine Mongenet, Directrice de France Université Numérique et Michèle Detournay, Directrice des Services Applicatifs du GIP Renater présentant leurs solutions de visioconférence respectives pour l’enseignement et la recherche.

Une présentation des logiciels de visioconférence d’ores et déjà disponibles a été réalisée, mettant l’accent tant sur la méthodologie de déploiement et maintenance, que de projection des solutions à moyen terme.

SupDPO conseille aux établissements qui ont fait des choix de solutions de visioconférence ne relevant pas du droit européen uniquement, d’être attentif à l’évolution de l’offre de solutions adaptées à l’ESRI, garantissant une conformité par défaut indiscutable (tant au niveau des briques logicielles, des opérateurs, que des solutions d’hébergement), et de prendre en compte les conséquences de l’arrêt Schrems II de la Cour de justice de l’Union Européenne (CJUE). Les établissements gardent l’opportunité de proposer un portefeuille de solutions adaptées aux risques, c’est à dire fonction de l’évaluation des situations et des besoins, de la sensibilité des données et de la confidentialité des échanges.