Face à la hausse des violations de données signalées par la CNIL au premier trimestre 2026 et au renforcement annoncé des contrôles, nous faisons le point sur la protection des données collectées par la Fondation avec Frédéric Thu, Délégué à la protection des données (DPO) de CentraleSupélec.
Quel est votre rôle en tant que DPO à CentraleSupélec ?
« En tant que DPO à CentraleSupélec, je veille à la protection des données des personnes – les étudiants en premier lieu, mais aussi les salariés, les candidats, les intervenants, et bien sûr les donateurs. Protéger les données passe bien sûr par des audits techniques des applications, des clauses spécifiques dans les contrats avec nos fournisseurs et la vérification de leur sérieux à l’ère du SaaS; et aussi par un travail avec les Directions de l’École pour minimiser les données collectées et les durées de conservation, réduire les envois de tableaux Excel par mail, et sensibiliser l’ensemble des acteurs aux risques de cybersécurité. »
Quelles sont les données collectées par la Fondation ?
« Avec la Fondation, nous avons appliqué le principe de minimisation : les données collectées et traitées sont les données minimales, par exemple les montants ou l’adresse du donateur. J’ai également aidé la Fondation à sélectionner soigneusement les partenaires qui l’aident à enrichir ses fichiers, avec le soin constant de respecter la volonté ou le refus des personnes d’être sollicitées. C’est une obligation du RGPD – mais c’est aussi du bon sens, de la politesse de base ! J’ai également vérifié que ses prestataires sont au minimum européens, et si possible français: le RGPD considère que les données des personnes sont moins bien protégées en dehors de l’Union, et les tensions géopolitiques ne font que renforcer ces choix de souveraineté. »
Quelles mesures concrètes sont mises en place pour garantir la sécurité des données collectées par la Fondation ?
« En matière de sécurité, seules les personnes habilitées ont accès aux données de la Fondation : plus les données sont sensibles, plus elles sont protégées. La Fondation n’a même pas accès aux données les plus sensibles, telles que les détails des transactions financières (n° de carte de crédit). Les accès aux logiciels de la Fondation sont strictement tracés et soumis à une double authentification, protégés par des systèmes à jour de firewalls, systèmes de détections d’intrusion…; tous les prestataires ont dû accepter les mesures complémentaires techniques et contractuelles que nous leur avons imposées.
Au final, c’est beaucoup de travail dans les coulisses pour définir, appliquer, documenter ces mesures – et éviter tout impact pour les personnes qui font confiance à l’École et à la Fondation. »
___________________________________________________________________________________________________________________________________
Protéger les données personnelles de celles et ceux qui nous soutiennent fait pleinement partie de nos engagements. À travers des pratiques exigeantes en matière de sécurité, de transparence et de conformité au RGPD, la Fondation CentraleSupélec veille à garantir une utilisation responsable et sécurisée des données qui lui sont confiées.
