Gestion responsable des données : retour sur 18 mois de travail

Dans le contexte de l’introduction du RGPD en 2018, CartONG a initié un processus d’institutionnalisation d’une gestion responsable des données. Nous vous proposons de revenir sur les grandes étapes de ce processus d’accompagnement au changement des pratiques que nous mettons en oeuvre depuis maintenant plus de 18 mois, et sur les apprentissages que nous en avons tirés.

Le sujet de la protection des données et plus globalement de la gestion responsable des données (voir encadré ci-dessous) est une préoccupation de longue date au sein de CartONG. Dès 2016, le sujet a ainsi été ajouté à l’agenda du forum international « GeOnG » que notre structure organise tous les 2 ans depuis 2008. Puis en 2017, CartONG développait en partenariat avec Terre des hommes un guide du débutant en protection des données – l’un des premiers pour le secteur de la solidarité internationale. Parallèlement, via la mise en place du chiffrement sur les outils de collecte de données sur mobiles, la cartographie de l’évolution de maladies stigmatisantes, la conception de base de données avec des informations sensibles, ou bien encore, le développement d’application web contenant des données individuelles, le sujet de la protection des données a été maintes fois au cœur des préoccupations de nos équipes ces dernières années.

Néanmoins, comme la plupart des organisations, c’est l’entrée en vigueur du Règlement Général sur la Protection de Données (RGPD) en mai 2018 au sein de l’Union Européenne qui a eu un réel effet accélérateur et a constitué un virage pour notre association. Dès lors, non seulement CartONG se devait d’intégrer des principes éthiques et responsables dans la manière dont nous gérions les données, mais notre structure devait également désormais se mettre en conformité avec une nouvelle loi.

Gestion responsable des données vs. protection des données

La gestion responsable des données est un concept de plus en plus répandu dans le secteur de la solidarité internationale. D’après OCHA (voir cet article), il va ainsi au-delà des concepts de « confidentialité des données » et/ou de « protection des données » et implique un ensemble de principes, de processus et d’outils qui soutiennent la gestion sûre, éthique et efficace des données dans les interventions humanitaires. Voir également : https://responsibledata.io/what-is-responsible-data/

 

Lancement d’une task force accompagnée d’une mission de consultance

Après avoir participé à une première formation introductive début 2018 et réalisé un premier remaniement du contenu de nos sessions de formation en systèmes d’information géographique (SIG) et collecte de données sur mobile (MDC) afin d’y intégrer plus formellement un volet introductif à la protection des données, un groupe de travail interne dédié à la problématique a été mis en place mi 2018.

Constitué sous la forme d’une « task force » et doté d’un budget dédié (sur fonds propres), ce dernier regroupait 8 personnes représentatives des différents profils et pôles de CartONG. Ayant mené une première évaluation de nos pratiques en interne et faisant le diagnostic d’un travail conséquent à accomplir et de l’intérêt que représenterait un soutien externe pour faciliter la mise en œuvre des changements nécessaires (notamment sur les aspects juridiques), CartONG a déposé – et obtenu fin 2018 – une demande de subvention pour co-financer une consultance dédiée, auprès du Fonds de renforcement institutionnel et organisationnel (FRIO) du réseau Coordination Sud – un projet soutenu par l’Agence Française de Développement.

 

Principales réalisations en 2019

Tout au long de l’année 2019, le groupe de travail interne appuyé par l’équipe de consultants a ainsi lancé divers chantiers. Ces derniers ont permis de travailler de manière séquencée sur la « double casquette » de CartONG à savoir d’un côté sous-traitant – pour les données gérées au nom de ses partenaires – et de l’autre responsable de traitement des données comme toute association (données des salariés, des adhérents, des bénévoles, etc.). Il est à noter que ce “double statut” est peu fréquent pour une ONG et relève de la spécificité de notre positionnement en tant qu’organisation H2H.

Au cours de l’année 2019 ont donc été plus précisément réalisés :

  • un état des lieux initial précisant les lacunes de CartONG en protection des données et permettant de définir des axes prioritaire de travail
  • une revue de notre statut légal et de nos relations partenariales ayant conduit à la signature progressive de nouveaux contrats, d’amendements ou d’annexes spécifiques couvrant les aspects de protection des données avec nos partenaires
  • une revue de notre organisation interne ayant conduit à la préparation et nomination – tout début 2020 – d’un Délégué à la Protection des Données (ou DPO en anglais) et des points focaux au sein de chacun des pôles de CartONG
  • une mise en conformité de CartONG sur les éléments les plus prioritaires incluant notamment la mise en place d’un registre de nos processus de traitement des données, d’une procédure en cas de violation des données, la rédaction d’une politique de confidentialité pour nos outils de communication couvrant les divers aspects de la vie de CartONG (bénévoles, candidatures, etc.), etc.
  • le lancement de l’adaptation de nos outils de travail et infrastructure informatique avec, par exemple, l’adoption par toute l’équipe d’un outil de gestion des mots de passe, la sécurisation progressive de nos espaces de stockage, etc.
  • la conception et déploiement de nouvelles procédures techniques (formalisés sous forme de “check list” ou de “how to”)  liées à notre cœur de métier permettant d’intégrer au quotidien les principes de « data protection by design and default » par exemple au niveau de la dé-identification des données, de la revue des messages de consentement dans les formulaires de collecte de données ou de l’utilisation de données fictives dans le développement de nos applications.
  • la mise en place d’une stratégie d’accompagnement au changement pour l’ensemble de l’équipe avec notamment l’animation du « mois de la protection des données » en novembre 2019

 

Retour sur quelques apprentissages clés

Le travail engagé depuis 18 mois nous permet également de tirer et partager quelques retours clés sur les étapes que nous avons parcourues. Ceux-ci ne sont pas forcément révolutionnaires mais viennent conforter d’autres leçons apprises partagées par d’autres acteurs du secteur, tel que cet article de Linda Raftree.

  1. Le collectif est une force : des formats d’appui au délégué à la protection des données tels que des points focaux ou des task force peuvent s’avérer très pertinents.
  2. Il existe une réelle plus-value à recourir à un support externe : accompagner les changements demandés aux équipes est plus aisé lorsque l’on est soi-même accompagné !
  3. Bien que l’on sous-estime souvent l’importance de passer par une réelle phase de diagnostic, s’y tenir permet de mieux prioriser sur le court, moyen et long termes.
  4. C’est un travail de longue haleine : ne cherchez pas la mise en conformité absolue et encore moins immédiate car elle est un leurre.

Etude sur la mise en conformité des organisations de la société civile au RGPD

N’hésitez pas à lire l’étude sur la mise en conformité au RGPD des organisations de la société civile (OSC) que l’Open Society Foundations a récemment publié. Ce rapport présente les opportunités et défis rencontrés par les OSC et propose également un guide de bonnes pratiques pour limiter les risques.

  1. La gestion responsable des données n’est pas qu’une question de RGDP, surtout au sein de notre secteur ! CartONG a ainsi délibérément fait le choix d’une approche élargie “des données à protéger” dans le cadre de ses activités (voir illustration ci-dessous & cliquez dessus pour la voir en grand).
  1. Oui, la protection des données est aussi une opportunité de se simplifier la vie sur certains aspects : gestion des mots de passe intelligente, clarification de certains processus, etc.

Nous vous invitons à découvrir une version détaillée de ces leçons apprises, accompagnés de nos conseils, dans le post de blog rédigé en complément de cet article.

Quelques ressources & lectures que nous recommandons aux acteurs du secteur

Une nouvelle étape pour CartONG : contribuer à diffuser les principes d’une gestion responsable des données auprès du secteur

En tant qu’organisation H2H (« humanitarian to humanitarian ») spécialisée en gestion de l’information, CartONG a vocation à appuyer l’ensemble des acteurs du secteur de la solidarité internationale dans les défis techniques, stratégiques et éthiques qu’ils rencontrent avec l’utilisation des technologies numériques. Étant désormais nous-mêmes passés par les premières étapes du cheminement de l’intégration des principes de gestion responsable des données dans nos processus et pratiques, nous sommes désormais en capacité d’inclure ces derniers comme un volet à part entière de notre accompagnement. Ce dernier continue néanmoins de se limiter, comme sur d’autres sujets, aux données programmes (c’est-à-dire les données des projets humanitaires et de développement) – CartONG n’ayant pas d’expertise sur les autres catégories de données de type RH, financières, etc.

En février 2020, CartONG a ainsi eu l’opportunité de donner sa première formation dédiée en protection des données programmes auprès de 13 organisations membres du réseau allemand d’organisations humanitaires et de développement VENRO (équivalent de Coordination Sud en France) en mettant l’accent notamment sur les contraintes et pratiques des opérations de terrain.

Le sujet de la gestion responsable des données demeure une actualité complexe et brûlante – sans doute pour encore quelques années – pour le secteur de la solidarité internationale. CartONG continuera donc son travail de spécialisation sur la thématique et à renforcer son accompagnement des ONG sur le sujet. Le prochain forum GeOnG que nous organisons en 2020 du 2 au 4 novembre portera ainsi sur : « L’humain au coeur de la gestion de l’information : pour des pratiques responsables et inclusives » et sera l’occasion parfaite de continuer les discussions sur le sujet.

– – – –

N’hésitez pas à contacter CartONG pour toute question liée à la gestion responsable des données au sein du secteur de la solidarité internationale.