DPO et RSSI : Quelle complémentarité dans leurs missions ?

Dans un article précédent, nous avions présenté l’évolution des missions du RSSI, clarifié son rôle, et souligné l’importance de son implication dans la démarche de conformité. 

Intéressons-nous à présent au « Data protection Officer » (DPO), étape nécessaire pour tenter d’identifier la meilleure façon, pour nos deux acteurs, de travailler ensemble.

Le rôle du DPO

Arrivés en 2018 avec la mise en application du RGPD, les DPO doivent aider les dirigeants à respecter leurs obligations en termes de protection des données personnelles vis-à-vis de leurs clients, prospects, employés.

Dans les faits, les missions du DPO sont de :

• Définir et mettre en place les processus et procédures qui permettent de se mettre en conformité ;
• Assister et conseiller le responsable de traitement et les directions de l’entreprise sur les contraintes juridiques en matière de protection des données à caractère personnel ;
• Maintenir à jour les registres RGPD : de traitements, de violation de données personnelles  et d’exercice des droits ;
• Conduire des analyses d’impacts relatives à la protection des données des usagers pour les traitements à risques de son organisme ;
• Définir et s’assurer de la mise en place des mesures techniques et organisationnelles visant à garantir la sécurité des données à caractère personnel des traitements ;
• Maintenir à jour le référentiel documentaire démontrant la conformité de l’établissement ;
• Contrôler le respect au sein de l’organisme de la réglementation et de la mise en place des politiques internes relatives à la protection des données ;
• Rendre compte auprès du responsable de traitement de la conformité ou non de l’établissement ;
• Sensibiliser, former et informer le personnel sur les questions de protection des données ;
• Coopérer avec l’autorité de contrôle.

DPO et RSSI : deux rôles, deux acteurs

Certaines entreprises, à l’instar des DSI – RSSI, ont voulu faire de leur RSSI leur DPO pour ne pas démultiplier leur effectif. Or l’autorité Bavaroise de protection des données a d’ores et déjà estimé qu’un conflit d’intérêts existait entre le DPO et le RSSI et qu’il n’était pas possible qu’une même personne cumule ces deux attributions. Dans d’autres pays, le même type de doctrine a été adopté. Nous partirons donc du principe que ces deux rôles sont détenus par deux acteurs distincts au sein de votre organisme.

le DPO a pour mission d’aider l’entreprise a utilisé les données personnelles de manière sécurisée et respectueuse de la vie privée

Certaines personnes voient dans ces deux postes une finalité différente voir divergente : le RSSI doit protéger l’entreprise et son patrimoine, le second vise à protéger les personnes. Pour ma part je réfute cette vision du DPO. A mon sens, le DPO a pour mission d’aider l’entreprise a utilisé les données personnelles de manière sécurisée et respectueuse de la vie privée des personnes. Que celles-ci soient clients, usagers ou employés. 

Même si nous ne sommes pas tous d’accord sur cette analyse, sans doute pourrons-nous nous rejoindre sur le fait que ces deux acteurs partagent certains objectifs et ont des activités similaires. 

le RSSI continuera de protéger le système d’information et les données qui y transitent

Le DPO aura à cœur de protéger les données personnelles, en se focalisant plus sur le contrôle de l’utilisation adaptée des données collectées. Tandis que le RSSI continuera de protéger le système d’information et les données qui y transitent ; qu’elles soient à caractère personnel ou non…
Le RGPD ne rend que plus « sensible » les données personnelles aux yeux du management des entreprises. Dans les faits, l’objectif de mise en conformité RGPD nécessite que le DPO et le RSSI travaillent étroitement ensemble, en parfaite synergie. 

Collaboration DPO – RSSI : Les chantiers communs

Le DPO, dans le cadre de son activité, a besoin du RSSI et les chantiers nécessitant leur collaboration sont nombreux.

Le processus de gestion des violations 

Le processus de gestion des violations doit permettre de les détecter rapidement afin de notifier les autorités de contrôle et dans certains cas, communiquer aux personnes concernées le plus vite possible. Le duo devra répondre à trois questions principales : 

• Comment détecte-t-on les incidents de sécurité au sein de l’établissement ? 
• Comment identifie-t-on qu’un incident de sécurité est une violation de données personnelles ? 
• À quel moment et comment alerte-t-on le DPO pour respecter les contraintes temporelles réglementaires ?

Le processus d’Analyse de risque de type PIA

Les Analyses d’Impact relatives à la Protection des données (PIA) aident à identifier et évaluer les mesures en place ou de préconiser de nouvelles mesures. Le DPO doit donc s’appuyer sur le référentiel des mesures de sécurité mises en place dans la Politique de Sécurité des Systèmes d’Information (PSSI) initiée par le RSSI. 

Un échange est nécessaire entre le RSSI et le DPO lors de la préconisation des mesures de sécurité spécifiques à un traitement.

Sensibilisation des Salariés et de la Direction.

RSSI et DPO doivent, tous les deux, sensibiliser le personnel et le management aux problématiques de sécurité. Il est vrai que les objets de sensibilisation ne sont pas parfaitement superposables, mais, dans les deux cas, il faut arriver à mobiliser les équipes et mettre en place des canaux de communication. 

Or, pour mener à bien ce chantier, il est nécessaire que DPO et RSSI se coordonnent sur les actions à mener pour que leurs discours respectifs soient audibles. 

Contrôle régulier des mesures de sécurité.

Définir des mesures de sécurité sans s’assurer de leur mise en place ou de leur bon fonctionnement ne sert à rien. DPO et RSSI se doivent de contrôler leur établissement chaque année. 

Attention à ne pas sur-solliciter les équipes opérationnelles

Pour cela, ils doivent mettre en place des processus qui permettent de vérifier et de recetter les mesures de sécurité qu’ils ont définies ensemble. Attention, les vérifications de l’un doivent servir à alimenter l’autre. L’objectif n’est pas de doubler la charge d’audit ou de sur-solliciter les équipes opérationnelles.

Autre point d’attention, les sollicitations émises par les partenaires ou les personnes concernées. Il est primordial que les deux acteurs formalisent une réponse commune pour éviter les incohérences de discours en fonction du point d’entrée.

Collaboration RSSI – DPO : les pièges à éviter

Pour permettre une bonne collaboration entre les deux acteurs, certains biais doivent être évités.

Faire du RSSI le sous-traitant du DPO

Issus majoritairement du milieu juridique, les DPO peuvent voir le RSSI comme un expert ou un maître d’œuvre de leurs mesures de sécurité. 

Il est important que, face aux questions relatives au chiffrement ou à la pseudonymisation, le DPO n’ait pas tendance à déléguer ces aspects techniques au RSSI, à « s’en laver les mains ». Or, comme nous l’avons vu précédemment, cette vision est très réductrice de la fonction du RSSI. Ce dernier n’est pas un « sous-traitant » du DPO sur les aspects de sécurité. 

Le DPO ne doit pas délaisser les aspects techniques au RSSI

DPO et RSSI sont, tous les deux, chargés de la bonne sécurisation des données au sein de leur organisme. C’est donc une décision conjointe qui doit permettre de définir les mesures organisationnelles, juridiques et techniques de sécurité à mettre en place. 

Il n’y a pas d’un côté, une personne en charge des aspects juridiques et de l’autre, une personne en charge des aspects techniques. Nous avons un binôme, une équipe qui est capable de prendre le problème sous tous ses angles. Les nouvelles réglementations insistent sur une démarche convergente et pluridisciplinaire entre RSSI et DPO, juristes et spécialistes techniques. C’est la cohérence à tous les niveaux qui protégera les données personnelles de l’établissement. 

Confondre RSSI et DSI

Le RSSI ne doit pas être confondu avec la Direction du Système d’Information qui est l’entité en charge de la mise en œuvre des mesures techniques. Dans bon nombre d’entreprises, l’expertise technique est l’apanage des équipes opérationnelles informatiques de la DSI et non du RSSI. Dans ces situations, il faudra que le DPO évite de court-circuiter le RSSI en privilégiant les échanges avec la DSI pour trouver des solutions au lieu d’échanger avec le RSSI. 

Voir le DPO comme un concurrent du RSSI

Enfin le dernier piège à la réussite de cette collaboration que l’on rencontre vient non plus du DPO mais du RSSI lui-même. Certains RSSI voient dans le DPO quelqu’un qui vient prendre une partie de leur périmètre, de leur « responsabilité », de leur « pouvoir ». La guerre de clocher qui s’installe entre les deux acteurs est très néfaste pour la réussite du projet de conformité. 

Il est important de rappeler que le DPO est :

• un coéquipier qui viendra soulager le RSSI sur les problématiques de protection des données personnelles ;
• un allié pour faire passer des messages aux salariés, aux managements et à la DSI pour faire avancer des projets.
• Une source d’information sur les nouveaux traitements, projets pour permettre d’identifier les projets en amont et aborder les problématiques de sécurité au début des projets (Security by design).

DPO et RSSI : La synergie ou la non-conformité.

Pour réussir la mise en conformité RGPD d’un établissement, la synergie entre DPO et RSSI doit être la plus forte possible et leurs actions coordonnées. La mise en place de réunions de travail mensuelles nous semble une obligation minimale. 

Chacun devant se nourrir des travaux et de l’expertise de l’autre. Leur complémentarité se traduira de façon certaine par une mise en conformité plus rapide, une meilleure sécurisation et connaissance du patrimoine informationnel de l’entreprise.