– « uéééééé… chez Tocards & Miolle, j’suis pas sûr que le RGPD soit prioritaire par rapport à nos autres missions » dit le premier en baillant.
– « En plus l’informatiki, c’est pas sympathiki… » murmura le deuxième.
– « Batayé, fils (pourquoi tous ses collègues étaient-ils des fils? Le mystère reste entier), on ne va pas perdre du temps là-dessus. Notre infogérant fait ça très bien, d’ailleurs. C’est leur responsabilité de sécuriser nos données, et ils sont très bons ! D’ailleurs, ils nous ont dit qu’ils s’occupaient la loi RGPD (sic, le RGPD est un Règlement européen, pas une loi…) » répliqua le troisième.
– « Et puis, surtout, on ne se fera jamais contrôler nous. Tant qu’existera Facebook, on est tranquilles Hurk hurk hurk » s’esclaffa le quatrième
Le DPO, ou DPD (pour Délégué à la Protection des Données) était à la peine. « Comment leur faire comprendre que ce n’est pas parce que le sujet ne rapporte pas d’argent tout de suite qu’il n’est pas prioritaire ? » Pensa-t-il. Il regarda à gauche, puis à droite et croisa le regard du RSSI (Responsable Sécurité du Système d’Information) qui lui lança un regard mi-hautain, mi-compatissant qui semblait dire : « tu vois ce que je vis ? ».
Former les équipes aux règles en matière de protection des données personnelles, c’est pourtant fondamental, mais le DPO semblait le seul à le croire.
« Tayé… bon on n’va pas rester coincé là-dessus, on va être efficace. Ok, vous nous formez NOUS « en détente » et ça suffit, on transmettra. Envoyez les « slides » à la fin. Vous avez une demie heure » repris le premier.
« Une demi-heure pour vous vulgariser la Protection des données personnelles ? Mais c’est impossible, même avec un débit de parole de pivert » tenta vainement le DPO
« Batayé, c’est bon, j’ai pas l’temps. »
« Batayé ? Quoi batayé ? Ça veut dire quoi batayé ? » soupira le DPO.
« Batayé quoi… bah ça y est, en détente quoi fils ! »
« Je ne suis pas votre fils, ni votre cousin, ni votre frère… ni rien du tout ne rêvez pas! » émit un Visiteur, qui passait par là.
Et c’est ainsi que l’entreprise Tocards & Miolle ne se forma pas à la protection des données personnelles. Tout se passait très bien… enfin… jusqu’au jour où…
« Ohhhh talut ! Tava ? » Une journée qui semblait si bien commencer pour le premier.
« Une personne de l’accueil s’est faite voler son ordinateur, en détente » alerta le deuxième.
« Mince, il y a les numéros de badges dans un de ses fichiers Excels non ? » interrogea le troisième.
« Hem », intervient le DPO « Apparemment… pas que. De ce que j’ai pu comprendre au cours des audits, il y a également l’ensemble des bases clients du département marketing avec nom, prénom, adresses, adresses mails… »
« Quoiiiiiii ? » s’exclama le premier.
« Oui, et les scans de pièces d’identité des visiteurs. C’était plus pratique apparemment même si, comme pour le reste, je vous ai exprimé mon désaccord » Soupira le DPO.
« Quoi ??? » Cria le premier.
« Oui, et les scans des arrêts maladies reçus à l’accueil, « parce qu’on n’sait jamais » » Poursuivit le DPO, sarcastique.
« Quoi ?????? » Hurla le premier.
« Et les PV du CE » dit le DPO, malicieux.
« Quoi ????????? » s’égosilla le premier
« Et les mots de passe d’accès au VPN de toute l’équipe d’accueil » poursuivit le DPO.
« C’est pas très sympathiki ni très formidabi… » marmonna le troisième.
« Le mec est marrant… » tenta le quatrième, pour détendre l’atmosphère.
« Après, il y a peut être d’autres informations en plus, mais vu qu’on n’a jamais pris le temps d’aller vérifier… » termina le DPO qui venait enfin, mais un peu tard, de débloquer un budget.
Et c’est ainsi que l’entreprise Tocards & Miolle dû signaler sa fuite de données. Mais… rassurons-nous (ou pas), elle redécouvrit quelques-unes de ces dernières sur le web.
Plus tard, alors que tout semblait aller mieux, Tocards & Miolle subit une immense vague de « phishing », qui entraina un clic d’un opérationnel aussi peu formé sur la protection des données personnelles que sur la sécurité informatique.
L’ensemble du système d’information de l’entreprise fut bloqué pendant plus d’une semaine, et certaines autres données furent perdues « on ne sait ou », ce qui entraina une autre notification de violation de données personnelles et une perte d’activité conséquente.
Certains salariés dont les données avaient « fuitées » sur le web (notamment un fichier comprenant des commentaires pas nécessairement bienveillants de leurs managers à leur égard) lancèrent plusieurs prudhommes contre leur employeur.
Mais la plus cinglante des controverses de l’entreprise Tocards & Miolle fut la découverte sur le Web d’un film de plusieurs mois extrait d’une caméra de surveillance braquée sur le décolleté d’une jeune collaboratrice… ce qui entraina le responsable des moyens généraux au pénal.
Bref, ce fut une année difficile pour l’entreprise Tocards & Miolle…
DPO externalisé certifié AFNOR (référentiel CNIL)
fondateur d’Observantiae SARL et initiateur du Réseau Observantiae
