«Il faudrait intégrer la protection des données au début d'un projet»
En tant que conseillère indépendante à la protection des données, Chiara Tanteri a pour mission d’aider la communauté EPFL à être conforme aux prescriptions légales en la matière. Un rôle qui allie sensibilisation, formation et analyse d’impact.
Mathématicienne de formation, Chiara Tanteri a su se réinventer au fil des opportunités professionnelles. D’origine italienne, elle a réalisé ses études à Rome, puis a effectué un doctorat en mathématiques à l’EPFL. Après une année en post-doctorat, elle décide de se lancer dans le privé. Elle a la chance de trouver un emploi assez facilement dans une entreprise de développement de logiciel et passe ainsi de la recherche en mathématiques à l’informatique.
Presque 10 ans plus tard, et après un passage par l’État de Vaud comme cadre de Direction, Chiara Tanteri saisit l’opportunité de retourner à l’EPFL en postulant et obtenant en 2011 le poste d’adjointe du Directeur du domaine IT. «J’avais gardé un attachement particulier pour l’EPFL et y revenir m’a fait vraiment plaisir.» Par la suite, elle travaille en tant que cheffe de service à la Gouvernance et planification des systèmes d’information. Finalement, en 2020, elle opère un nouveau virage professionnel en se spécialisant dans la protection des données. «J’ai réfléchi un certain temps avant de me lancer. Je n’avais pas de formation juridique, ce qui était une source d’inquiétude mais aussi d’une importante motivation. Aujourd’hui, je ne regrette pas d’avoir fait le pas. C’est un domaine qui est vraiment très intéressant, j’apprends toujours énormément.»
Depuis novembre 2020, Chiara Tanteri occupe la fonction de conseillère indépendante à la protection des données, un rôle administrativement rattaché aux Affaires juridiques de l’EPFL. «Je garde néanmoins une indépendance sur mes activités, une exigence légale qu’il est important de préciser.» Il est effectivement ici question de réglementation. La loi fédérale sur la protection des données a été révisée et la nouvelle version, très semblable au règlement européen sur la protection des données (RGPD) applicable depuis 2018, entrera en vigueur le 1er septembre 2023. Chiara Tanteri a donc notamment pour mission d’accompagner la mise en conformité de l’École à cette nouvelle loi.
Informer et sensibiliser sur les bonnes pratiques
Pour ce faire, une page internet dédiée (uniquement disponible en anglais actuellement) présente les concepts clés et les obligations à connaître pour être en conformité avec la nouvelle loi fédérale, ainsi que de nombreux exemples adaptés à l’EPFL. Elle expose également les bonnes pratiques à suivre pour appliquer ces concepts dans le travail au quotidien et comment réagir en cas de violation de la sécurité des données. «En complément, je suis en train de finaliser un e-learning sur la protection des données. Il sera disponible au mois de novembre en version française et anglaise.»
En plus de toute cette partie sensibilisation et formation, Chiara Tanteri a pour mission de conseiller la ou le responsable du traitement lors de l'établissement de l’analyse d’impact pour les projets administratifs ou les recherches effectuées par les collaboratrices et collaborateurs de l’EPFL. Le but étant de les aider à garantir les droits des personnes dont on traite les données. «Si l’on traite de données personnelles, la question de la protection des données doit se poser en amont du lancement d’un projet. Est-ce que nous remplissons les bases légales pour effectuer le traitement de données personnelles? Quelle catégorie de données personnelles traitons-nous? Quelles mesures de protection peuvent être mises en place? Qui accède à quoi? Comment se prémunir contre les attaques et violations de données? Je suis parfaitement consciente que le fait de dire qu’il y a une loi qui nous oblige à mettre des mesures de protection n’est pas vraiment suffisant. C’est un changement culturel qu’il va falloir opérer petit à petit.»
Au service de la communauté EPFL
Que ce soit d’un point de vue administratif, avec les données sur la communauté EPFL, ou les données utilisées pour la recherche avec les images prises par des drones, les données sur la santé ou issues des réseaux sociaux par exemple, la palette de situations traitées est très large. «J’avoue que je suis admirative de la variété des projets de recherche traitant de données personnelles qui se font à l’EPFL. Une des motivations qui m’a poussée à prendre ce poste est le fait de pouvoir renouer avec la recherche et en quelque sorte y contribuer. Ce ne sont pas des problèmes de mathématiques, mais j’ai quand même tous les jours des problèmes à résoudre. Je dois trouver des solutions extrêmement pragmatiques, des compromis et faire appel à une certaine créativité parfois. Cet aspect de challenge me plaît particulièrement.»