Les RSSI (responsable de la sécurité des systèmes d’information) et les délégués à la protection des données personnelles (DPO ou Data Protection Officer), nouveau poste imposé par la RGPD ont des finalités différentes et des objectifs communs.
C’est une des idée force qui ressort de la conférence organisée récemment par le CLUSIF sur la complémentarité des RSSI et des DPO à l’approche de la date fatidique du 25 mai, correspondant à la mise en application de la RGPD. Pour Thierry Chiofalo, membre du conseil d’administration du CLUSIF a « ceux-ci visent des finalités différentes avec des objectifs communs : les premiers protègent les entreprises, les seconds les personnes. Mais les moyens et certains objectifs sont souvent communs ».
Une démarche convergente en matière de sécurité
Les travaux du groupe de travail sur le DPO/RSSI ont montré qu’il n’existait pas de profil type de DPO mais aussi que l’on assistait à une démarche convergente en matière de sécurité. Sur le plan de la réglementation (Loi de Programmation militaire, NIS, RGPD), entre le secteur privé et le secteur public, en ce qui concerne la sécurité opérationnelle et la gestion du risque et de la conformité. « La démarche est désormais cohérente et pluridisciplinaire entre RSSI, CIL, DPO, avocats, juristes, spécialistes techniques », a précisé Thierry Matusiak, membre du groupe de travail qui vient de publier deux livrables. Le premier est une infographie permettant de se préparer à la conformité attendue le 25 mai. Elle peut être téléchargée en français et en anglais sur le site du CLUSIF et a rencontré un vif succès au FIC où elle a été distribuée. Le second livrable « est une foire aux questions (FAQ) qui sera publiée au fil de l’eau, y compris après la date du 25 mai », a indiqué Dominique Soulier.
Selon le groupe de travail « Il y a beaucoup de points communs et de synergies entre RSSI et DPO. Tant sur le plan des compétences, techniques ou juridiques par exemple, qu’en ce qui concerne leur savoir-être (vulgariser, communiquer, avoir un bon relationnel) ».
Le RSSI et le DPO doivent travailler ensemble
Matthieu Grall, représentant la CNIL a évoqué la mise en place d’un Privacy Impact Assessment (PIA) : « Le PIA est un moyen pour se mettre en conformité et de le démontrer ». La démarche passe par une compréhension claire des traitements de données à caractère personnel et du cycle de vie des données, une identification des scénarios de risque pouvant avoir des conséquences sur les personnes concernées, et enfin la définition des mesures de sécurisation permettant de garantir la sécurité des données des personnes. « Cette démarche permettra aussi, en cas d’incident, de mieux déterminer les répercussions sur les personnes concernées et, ainsi, les mesures d’urgence à prendre », poursuit Matthieu Grall. « Le RSSI et le DPO doivent travailler ensemble et associer les métiers de l’entreprise qui sont les plus à même de décrire les traitements ».
Avis est notamment partagé par Robert Eskenazy et Didier Henin, respectivement DSI et RSSI de BUT qui ont œuvré en binôme depuis trois ans pour transformer en profondeur le leader français de l’équipement de la maison. « Il faut que les entreprises évoluent et prennent conscience que les données récoltées auprès des clients doivent être protégées », souligne Robert Eskenazy. BUT a dû évoluer avec l’expansion du e-commerce : partager les données entre magasins et en temps réel, utiliser des progiciels du marché. Tout en ne faisant pas table rase du passé et de l’histoire de l’entreprise.
Pour ce faire, il a fallu affiner la prise en compte de la notion client, mieux le connaître tout en prenant en compte résolument la sécurité des données collectées et leur usage. Cela implique des actions auprès des métiers et des sous-traitants., « Il y a un changement des mentalités à réaliser », considère Robert Eskenazy.
Didier Henin, pour sa part, souligne la nécessaire cartographie des traitements de toutes les données de l’entreprise, la revue des contrats, la mise en place d’exigences dès les appels d’offres, notamment en matière de sécurité des données personnelles. Mais aussi la nécessité de sonder les partenaires pour déterminer où ils se situent en matière de conformité à l’approche du 25 mai. Le RSSI de BUT a enfin estimé que le point le plus délicat était sans doute la sensibilisation du personnel.
Olivier Foret, Correspondants Informatique et Libertés (CIL) de Pages Jaunes rappelle que son groupe avait entamé une profonde mutation après un contrôle de la CNIL. Il a pris la tête d’une équipe pluridisciplinaire composée de juristes et d’un ingénieur sécurité. Il a fallu cartographier les données personnelles réparties au sein du système d’information, les catégoriser. Un RSSI a été embauché et ils travaillent désormais en binôme. Chacun se nourrit des travaux de l’autre et leur complémentarité se traduit par une meilleure information au sein de l’entreprise, y compris au plus haut niveau de management.