DPO et RSSI : quelles synergies ?
Culture tech.
Deux métiers qui n'existent pas l'un sans l'autre.
Ces dernières années ont vu apparaître deux métiers clés dans l’administration des organisations : le Responsable de la Sécurité des Systèmes d’Information (RSSI) – sous la pression grandissante des cyberattaques – puis celui de Délégué à la Protection des Données (DPD, et en anglais DPO, Data Protection Officer), sous la contrainte légale de protéger les données personnelles. Deux responsabilités différentes, mais complémentaires et fortement imbriquées.
Les missions du DPO et du RSSI
La protection des données est une mission réglementaire du DPO. Cette dernière est apparue en 2018 avec l’instauration du Règlement Général pour la Protection des Données Personnelles (RGPD).
Le métier de DPO est donc régi par des obligations légales réglementées par l’article 37, 38 et 39 du RGPD, notamment celles de répertorier et de suivre l’évolution des données personnelles détenues par l’organisation.
La désignation est fortement conseillée, mais pas systématique et obligatoire (sauf quelques exceptions) : parfois, dans le cadre d’une TPE, c’est le dirigeant qui assume cette fonction. A d’autres occasions, elle est externalisée.
Un rôle connu de tous
Cette fonction est répertoriée publiquement : chaque utilisateur doit pouvoir savoir à qui s’adresser pour exercer ses droits sur ses données personnelles.
La fonction de RSSI n’est pas réglementée, mais elle est essentielle : on le sait, la question n’est pas de savoir si les systèmes informatiques de l’entreprise vont être piratés, mais de savoir quand.
Pour le RSSI, il est donc crucial de protéger le système et les données – dont les données personnelles : nom, prénom, contacts, suivis des échanges à l’extérieur (clients, fournisseurs, partenaires), comme en interne (salariés, mandataires sociaux…)
La protection des données globales et celles des données personnelles sont donc fortement imbriquées. Le RSSI a cependant un champ d’action plus vaste que celui du DPO, mais ce dernier doit remplir des obligations réglementaires plus complètes et fortement encadrées par la loi.
Quelques chiffres
94% des DPO déclarent travailler avec le RSSI ou l’équipe technique et 75% des RSSI déclarent travailler avec les DPO de leur entreprise.
DPO et RSSI : six axes de collaboration
1. Constituer et maintenir à jour le registre des traitements SSI
La notion de cartographie des systèmes et des traitements (c’est-à-dire toutes les utilisations des données et toutes les personnes ayant à manier des données) est la base d’une politique de sécurité efficace. Elle doit être tenue à jour aussi bien que la liste des licences logicielles, par exemple.
Mission première du RSSI, elle sert aussi au DPO pour établir son registre des traitements. Il doit vérifier leur licéité : le traitement d’une donnée doit être justifié par un usage professionnel normal, limité dans le temps, et respecter les bons usages. Il suit également au jour le jour les autorisations d’accès et de maniement attribuées à tel ou tel service ou collaborateur.
Le RSSI activera également les traitements relatifs aux accès et à l’authentification, ainsi que les systèmes de sécurisation qu’il aura choisis – notamment le chiffrement des données.
2. Documenter les mesures de sécurité de tous les traitements
Chaque modification du traitement et des personnes ayant droit d’en connaître doit être répertoriée.
Le registre précise aussi les mesures planifiées d’amélioration de la sécurité, même si elles ne sont pas encore opérationnelles.
Le RSSI aura pour mission d’optimiser techniquement les mesures de sécurité qu’il aura choisi de mettre en place. Pour cela, il a un rôle de veille permanente.
3. Réaliser l’étude d’impact des risques sur la sécurité des données
L’étude d’impact est une des phases initiales clés de la démarche de protection des données personnelles. Elle participe à l’évaluation de la licéité des traitements (leur justification légale) en écartant notamment toute manipulation inutile ou trop intrusive.
Le DPO lui donne la priorité dès lors que la cartographie des systèmes et des traitements est finalisée. Le RSSI la complète par l’évaluation des risques (de fuite, de modification, de perte…).
4. Constituer le registre des incidents ou violations des données
Le RSSI apporte un soin particulier à détecter les tentatives d’attaque de ses systèmes, à les gérer au plus vite, puis à les analyser et documenter.
La responsabilité du DPO va un cran plus loin : l’article 33-1 du RGPD lui impose de signaler à la CNIL (Commission Nationale Informatique et Libertés) toute violation de données personnelles – sous 72 heures après en avoir eu connaissance.
L’oubli de cette notification est un facteur aggravant les sanctions administratives imposées à l’entreprise – qui peuvent aller jusqu’à 2% du CA annuel.
5. S’assurer de l’application des principes de « privacy by design » et de « privacy by default » dans les projets
Dans l’idéal, la notion de sécurisation doit être imaginée dès la conception des systèmes.
Rôle essentiel du RSSI, la sécurité conçue dès l’architecture du système est en effet plus efficace et moins laborieuse que l’application de « patches » multiples, après coup.
L’utilisateur ne doit pas avoir à activer un système de sécurité : dans la mesure du possible, ce dernier doit être installé et déclenché par défaut – comme un système de chiffrement dit « transparent ».
Le DPO profitera de cette disposition puisque ses utilisateurs de données personnelles bénéficieront également de protection native sans même s’en apercevoir.
6. Piloter, superviser et contrôler les risques
DPO et RSSI sont tous deux concernés par le suivi et le pilotage des risques liés à la mise en œuvre de la politique de protection des données.
Que ce soit d’un transfert, du recours à un sous-traitant ou d’un accès par un tiers, tout maniement des données doit faire l’objet d’une surveillance a priori, voire d’un encadrement.
Cela reste la responsabilité du DPO de vérifier le respect du RGPD par les sous-traitants et prestataires (cabinet comptable et d’audit, cabinets de recrutement, banques,…) Un contrat avec ces tiers doit être établi (ou amendé) et mentionner la sécurisation des données utilisées par chacun en fonction de son accès à des données personnelles issues du client. Il est recommandé d’insérer des clauses de responsabilité et/ou de pénalités si le niveau de sécurité n’est pas optimal.
Il est indispensable d’instaurer des bonnes pratiques à appliquer et de sensibiliser les collaborateurs, voire les former à la sécurité des échanges de données.
Les missions du DPO et du RSSI se complètent et s’enrichissent mutuellement. Ils ne sont pas pour autant interchangeables : le champ d’action du RSSI est plus large et plus technique, celui du DPO est centré sur la donnée personnelle et assorti d’obligations et de responsabilités légales.