On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

Bon, pour rester sérieux, vous avez sûrement vu passer la gentille prune que la Cnil a infligée au magasin la Samaritaine, 100 k€ tout de même, pour avoir installé des caméras dans la réserve, dans des conditions olé olé (selon la Commission). On se dit qu’espionner un local professionnel (et donc les salariés à leur insu) est illégal, mais attention dans certains cas la Cnil l’autorise, sous certaines conditions (EIVP obligatoire, démonstration de la nécessité justifiée ici par les vols réguliers dans cet espace de travail, bon en gros, comme d’habitude, recherche de l’équilibre entre la nécessité et le droit des employés). Mais là, selon la Cnil, plusieurs manquements ont été constatés, dont par exemple la collecte de données telles que le son, ce qui est manifestement excessif, et surtout sans mettre le DPO dans la boucle. En substance, ce qui est reproché tient plus de la forme (et la collecte du son tout de même, c’est ce qui a dû faire pencher la balance) que de la justification de la finalité. Très objectivement, on n’est pas dans le même registre que certaines entreprises qui, par le passé, ont installé des caméras dans les vestiaires des dames.

Mais ce qui m’intéresse ici, ce n’est pas tant l’affaire en soi que la question sempiternelle qui hante mes jours : mais comment diable a-t-on pu en arriver là ? OK, je fais une fixette sur les histoires de root cause, surtout depuis cet article[1].

Soyons clair : qu’une EIVP ne soit pas pile poil dans les clous, que la formulation d’une finalité soit perfectible et que l’on collecte quelques données additionnelles comme le numéro de téléphone sans réelle justification, ce n’est pas le sujet. D’ailleurs, si on lit le RGPD sous le prisme de l’ISO 27701, on est dans un système qui se réévalue constamment, donc une erreur à un instant t est susceptible d’être débusquée et corrigée par un contrôle ou un audit.

Non, ce qui m’intéresse, c’est la grosse bourde, le gros machin qui tache, le rat tombé dans la soupe claire, bref, vous avez compris l’idée.

Pas besoin de remonter bien loin dans l’historique des sanctions de la Cnil pour trouver des caméras vidéo qui espionnent les employés même dans les vestiaires, des directeurs d’Éhpad qui placent des traceurs dans les charentaises des résidents pour ne pas les perdre (authentique), de la géolocalisation sans autre objectif que le flicage et de la biométrie pour que les gamins de collège aillent déjeuner au self le midi (authentique encore). Il y a des sujets pour lesquels toute la chaîne de commandement devrait entendre sonner l’alarme de la boîte à gifles dès qu’une idée qui s’en rapproche est lancée : biométrie, géolocalisation, vidéo, génétique, etc. Et pourtant il y en a toujours.

Les DPO feraient bien de s’inspirer de la théorie des plaques de Reason, autrement appelée « protection en couches de gruyère », pour une raison simple : jamais le DPO ne peut être certain qu’une idée lumineuse émargeant aux domaines sensibles susnommés ne va pas émerger un beau matin dans l’esprit embrumé d’un DAF, d’un DRH, d’un directeur des opérations… ou tout simplement de son collègue d’en face qui croit avoir une-idée-révolutionnaire-qui-va-changer-le-monde.

Certes, il y a la formation que le DPO doit dispenser, mais pas que : dans l’exemple de la Samaritaine, quelqu’un a bien passé un bon de commande pour des caméras (donc infiltré le circuit des achats), un service a bien envoyé un gars avec une perceuse pour les accrocher au plafond (donc noyauté les services techniques), sans parler bien entendu de celui qui collecte les données pour les analyser (le service sécurité-sûreté ou équivalent).

Mais le plus important, dans l’exemple de la Samaritaine et dans l’histoire des traceurs dans les charentaises, est de pouvoir répondre à la question : mais comment diable a-t-on pu en arriver là ? Quel est l’enchaînement des décisions – ou des absences de décision – qui a pu mener une organisation à penser que l’on pouvait contrôler les accès de mineurs à la cantine du collège avec leur empreinte biométrique ou installer des webcams dans les vestiaires des dames ? Les causes potentielles sont multiples bien entendu, ce n’est pas systématiquement la faute du Big Boss (qui dans certains cas ne devait même pas être au courant de l’histoire). Mais c’est quasi systématiquement un problème de management, à différentes couches de l’organisation.

De sorte que les DPO et les RSSI doivent se muer en EBM : entomologistes de la bêtise managériale.