DPO et RSSI : deux rôles complémentaires

Certes, les fonctions du RSSI, Responsable de la Sécurité des Systèmes d’Information, ne concernent pas directement la protection des données. C’est d’abord les systèmes de l’entreprise que le RSSI protège. L’objectif est avant tout de maintenir les équipements et outils pour garantir la continuité de la production et de protéger le patrimoine informatique de l’entreprise.

D’autre part, seul le Délégué à la Protection des Données, clairement identifié par le RGPD, est responsable de l’application du texte par l’entreprise. Néanmoins, il est clair que les deux rôles sont complémentaires et donc que DPO et RSSI doivent travailler ensemble.

La protection des données informatiques et des systèmes qui les hébergent est un des enjeux fondamentaux du RGPD. Éviter les fuites, se prémunir contre les cyberattaques et en réduire les effets… toutes ces missions sont au croisement des fonctions de nos deux protagonistes : le DPO et le RSSI.

Plus concrètement, voyons comment leur travail commun peut améliorer votre conformité au RGPD.

La sécurité des données au coeur de leurs missions

Si la sécurité des données n’est pas le seul aspect du RGPD, elle demeure un des aspects centraux de votre conformité au texte. Très clairement, l’article 32 impose de prendre les mesures techniques et organisationnelles nécessaires pour assurer la protection des données.

Autrement dit, les aspects techniques de la sécurisation des données sont bien une préoccupation commune du RSSI et du DPO. Concrètement, leur coopération pourra notamment s’exprimer dans le cadre des analyses d’impact sur la protection des données (AIPD).

Dans ce contexte, le DPO doit en effet étudier les mesures techniques mises en place pour limiter les risques que fait peser le traitement de données envisagé sur la protection des données et la vie privée des personnes. C’est le RSSI qui sera son interlocuteur principal dans ce domaine, chargé de piloter la mise en place et l’amélioration de ces mesures.

Eviter les cyberattaques et donc protéger les données

La survenue de cyberattaques est de plus en plus inévitable. Le nombre de cyberattaques est en constante et nette augmentation, avec plus de 5000 cas de violation des données déclarées à la CNIL en 2021, notamment.

Or, ces incidents de sécurité sont un cauchemar à la fois pour le RSSI et le DPO. Naturellement, c’est un des rôles fondamentaux du RSSI que de lutter contre les attaques, mais les conséquences sur les données personnelles des utilisateurs, clients et salariés de l’entreprise sont également un enjeu crucial pour le responsable de la protection des données dans l’entreprise.

Il s’agit non seulement d’améliorer la sécurité des données pour se prémunir contre d’éventuelles menaces, mais également d’en limiter la portée. Notamment, le chiffrement des bases de données permet de les rendre illisibles et donc inutilisables pour des cybercriminels. Cette mesure vient limiter les risques à la fois en cas de vol et de fuite de données. Pour rappel, les fuites de données correspondent à des incidents dont l’origine est interne à l’entreprise, qu’il s’agisse d’erreurs, de négligence ou d’actes malveillants de la part de membres du personnel.

Là encore, on voit combien c’est le travail combiné du RSSI et du DPO, à la fois sur le volet technique et organisationnel, qui peut contrer les cybermenaces. On peut notamment citer les chantiers de sensibilisation des collaborateurs aux tentatives de phishing comme exemple de projet commun.

Respecter les obligations de compliance du RGPD

Sans l’exiger explicitement, la politique de conformité au RGPD implique une étroite collaboration entre le DPO et le RSSI de l’entreprise. En effet, plusieurs volets de la compliance impliquent leur travail conjoint.

On a déjà mentionné le cas des PIA (ou AIPD). L’expertise technique du RSSI est alors nécessaire pour permettre au DPO de bien appréhender si les mesures techniques de protection des données mises en place sont suffisantes en regard des différents scénarios de risque élaborés.

En cas de violation des données ou de faille de sécurité constatée, leur coopération est une fois de plus nécessaire. D’une part, la CNIL exige que les risques encourus pour la vie privée des utilisateurs ou personnes concernées soit évalués par l’entreprise. Connaître la mesure exacte des manquements techniques ou des failles de sécurité détectées permet de mener à bien cette analyse. D’autre part, il est indispensable de mettre en place un plan d’action correctif pour limiter les impacts sur les données personnelles et rétablir un niveau de sécurité satisfaisant.

Enfin, le choix d’un prestataire sous-traitant de l’entreprise (au sens du RGPD, c’est-à-dire qui sera amené à traiter des données pour son compte) nécessite encore le regard du RSSI. En effet, un audit des sous-traitants doit être mené, ce qui implique de contrôler le niveau de sécurité garanti par les mesures techniques de protection mises en place. C’est le RSSI qui pourra mener à bien ce point précis de l’audit des sous-traitants. On retrouve la même logique lors de l’adoption d’une nouvelle technologie ou solution.

Plus généralement, les exigences de privacy by design supposent que le DPO intervienne dans les chantiers techniques dès leur conception. Pour rappel, ce principe implique que tous les chantiers entrepris par l’entreprise soient considérés selon le prisme de la protection des données dès leur conception et tout au long de leur tenue.

Pour conclure, mentionnons le principe général de l’accountability dans le RGPD. Celui-ci implique la construction d’une documentation juridique dédiée au RGPD et importante. L’entreprise doit en particulier prendre un certain nombre de décisions quant à la sécurité des données personnelles. Ces choix doivent être expliqués et justifiés, en particulier selon un principe de proportionnalité. Dans ce contexte, l’apport du RSSI au travail de documentation du DPO est primordial : c’est bien lui qui pourra apporter toutes les justifications du bon niveau de standard de sécurité technique apporté par ses efforts, que le DPO pourra mettre en regard des risques identifiés.

Ainsi, DPO et RSSI ont vocation à travailler ensemble, bien que leurs missions ne se recouvrent pas. En ce sens, il convient de maintenir une distinction entre les deux rôles qui ne sauraient, selon les autorités de contrôle des différents pays des Etats-membres, revenir à la même personne. Attention au conflit d'intérêt lors du recrutement ou de la nomination du DPO ! Il ne peut être juge et partie.