Costanza, bienvenue au CERN ! Parlez-nous un peu de votre expérience professionnelle avant votre arrivée au CERN.
Merci ! Je suis ravie d'avoir rejoint le Bureau de la protection des données (ODP) du CERN. J'espère sincèrement que mon expérience et mes compétences en matière de protection des données seront utiles à l'équipe. Je suis titulaire d'un master en propriété intellectuelle et en droit de l'information du King's College, à Londres, et j'ai travaillé en tant qu'avocate et spécialiste en protection des données. Après avoir achevé mes études, j'ai suivi une formation dans un cabinet d'avocats international, puis je suis devenue associée d'un cabinet d'avocats spécialisé dans la protection des données. En plus de donner des conférences et des formations aux spécialistes de la protection des données, j'ai coécrit des livres sur le sujet.
Quelles sont vos premières impressions du CERN et de son approche de la protection des données par rapport à d'autres organisation ?
Il y a forcément des différences d'approche, même si l'un des aspects positifs du Règlement général sur la protection des données (RGPD) a été de nous ouvrir les yeux quant à l'importance et à la valeur de nos données à caractère personnel. En tant qu'organisation intergouvernementale, le CERN n'applique pas le RGPD, mais il a publié la Circulaire opérationnelle n°11, qui fournit un cadre précieux en termes de protection interne des données. La Circulaire opérationnelle n°11 s'inspire des cadres juridiques en matière de protection des données en vigueur dans de nombreux États membres du CERN. Par ailleurs, l'objectif final du CERN dans le domaine de la protection des données est semblable à celui de la plupart des autres organisations, à savoir assurer la protection des données à caractère personnel.
Quelles sont vos principales priorités dans vos nouvelles fonctions ?
« Prise de conscience »
L'une de mes principales priorités sera de sensibiliser la communauté du CERN sur la question de la protection des données.
Voici une petite histoire, racontée par David Foster Wallace, que j’aime bien citer pour présenter le concept de prise de conscience :
C'est l'histoire de deux jeunes poissons qui nagent et croisent le chemin d'un poisson plus âgé qui leur fait signe de la tête et leur dit, "Salut les garçons, l'eau est bonne ?" Les deux jeunes poissons nagent encore un moment, puis l'un regarde l'autre et fait, "Tu sais ce que c'est, toi, l'eau ?"
David Foster Wallace
Je pense que cela illustre très bien comment nous envisageons, bien souvent, les problèmes liés à la protection des données. Ils sont omniprésents, mais la plupart du temps nous n'en avons simplement pas conscience. Susciter une prise de conscience n'est toutefois pas aussi difficile qu'il n'y paraît au premier abord.
D'après mon expérience, la formation joue un rôle essentiel dans le développement de notre prise de conscience collective. J'estime que la formation doit être basée sur une approche pratique, plutôt que simplement théorique, et viser les activités principales des différents services du CERN. C'est exactement le genre de formation que fait déjà le CERN. De plus, il faut que la formation soit intéressante et, dans la mesure du possible, ludique. En d'autres termes, elle doit permettre à tout un chacun de reconnaître la valeur de ses propres données à caractère personnel et la nécessité de les protéger. Le CERN a déjà lancé avec succès un programme de formation que plus de 750 personnes ont déjà suivi, que ce soit en ligne ou en salle de classe.
« Un processus continu »
On pense souvent, à tort, qu'il suffit d'assurer la protection de ses données une fois pour toutes, et qu’ensuite on n’a plus à y penser. Il n'en est rien. C'est un processus continu. D'après mon expérience, il est essentiel que les besoins en matière de protection des données soient pris en considération dès la conception des systèmes et des processus et intégrés dans tout ce que nous faisons.
« Transparence »
Le besoin de transparence est l'un des autres principes importants de la Circulaire opérationnelle n° 11, et en fait de tous les cadres de protection des données. Quelles sont les conséquences pour nous en tant que personnes concernées ? Eh bien, c’est que nous devons nous tenir au courant de la façon dont sont traitées nos données à caractère personnel et des droits que nous pouvons exercer. La question à se poser systématiquement, ce n'est pas : « Mes données à caractère personnel doivent-elles demeurer secrètes ? », mais plutôt : « Comment mes données à caractère personnel peuvent-elles être utilisées ? Par qui ? Et pour quelles finalités? »