DPO et RSSI : comment travailler ensemble ?

RSSI et DPO : définitions et missions

Le Responsable de la Sécurité des Systèmes d’information (RSSI)

Le RSSI a pour mission de définir et de veiller à la mise en œuvre de la politique de sécurité de son entreprise. Il effectue une veille technologique et réglementaire sur son domaine informatique et propose, quand il le juge nécessaire, des évolutions pour garantir la sécurité des systèmes informatiques.

Le RSSI a un rôle de conseil, mais aussi de formation, d’assistance et parfois d’alerte en cas de panne ou d’attaque informatique.

Le Délégué à la Protection des Données (DPO)

Le DPO (“Data Protection Officer” en anglais) doit informer et conseiller son entreprise sur les dispositions à mettre en œuvre pour se conformer à la Règlementation Générale sur la Protection des Données (RGPD) entrée en vigueur le 25 mai 2018.

Tout comme le RSSI, il doit effectuer une veille régulière pour suivre les évolutions de cette règlementation. Le DPO a également un rôle de conseil pour répondre aux questions concernant la RGPD et doit prioriser les actions à mener sur ces trois aspects :

• Droit d’accès aux données.
• Droit à la portabilité des données.
• Droit à la suppression ou à la modification des données.

Collaboration RSSI/DPO : enjeux et bénéfices

Enjeux de la collaboration entre RSSI et DPO

On le voit dans la définition de leurs missions respectives : le DPO et le RSSI ne sont pas concurrents, bien au contraire. En effet, la mission première du DPO est de veiller au respect des données personnelles. Il n’a pas à gérer la sécurité informatique dans son ensemble. Grâce à son rôle, il est plus souvent amené à être en contact avec les collaborateurs et les managers de l’entreprise pour aborder les problématiques de sécurité de leurs données personnelles.

Le RSSI aura, lui aussi, à veiller aux données personnelles, mais plus dans une optique de stratégie de conformité (compliance strategy) afin d’assurer un niveau de sécurité optimal sur la gestion de ces données. DPO et RSSI sont donc complémentaires dans leurs missions et ont comme intérêt commun de garantir à tous les acteurs de l’entreprise de pouvoir travailler sereinement dans un cadre bien sécurisé et conforme au RGPD.

Bénéfices pour l’entreprise et la sécurité des données

En travaillant ensemble, RSSI et DPO peuvent s’assurer que l’entreprise respecte bien ses obligations en matière de sécurité de l’information et RGPD.

C’est également une garantie pour l’entreprise d’éviter des pénalités financières en cas de non-respect de ces obligations. Enfin, cela participe au maintien de la bonne réputation de l’entreprise vis-à-vis de ses clients et de ses fournisseurs.

En ce qui concerne la sécurité des données personnelles, la collaboration RSSI / DPO permet de s’assurer que toutes les mesures de sécurité appropriées sont bien en place. Le RSSI va cibler ses actions sur les mesures techniques et organisationnelles, tandis que le DPO veillera à ce que ces mesures soient conformes aux exigences règlementaires.

Conséquences concrètes du non-respect des exigences règlementaires

Les actions criminelles liées à la cybersécurité sont des faits bien concrets qui apparaissent de plus en plus souvent dans les médias. En voici 3 exemples parmi les plus graves, en raison de leurs répercussions potentielles pour les propriétaires des données personnelles :

Exemple 1 : C-DISCOUNT

En janvier 2021, c’est la société CDISCOUNT qui alerte elle-même la CNIL pour signaler un incident interne dû à un cadre de son entreprise, comme l’indique le site eWatchers.org. Certaines informations de clients de l’entreprise ont été recopiées, probablement pour permettre à ce cadre d’effectuer ses propres démarches commerciales.

Heureusement, le service informatique du site cdiscount.com a rapidement détecté le vol de données et a pu en limiter les conséquences. Les dirigeants se sont portés civils et ont déposé plainte auprès de la brigade de lutte contre la cybercriminalité.

Grâce aux processus mis en place par le RSSI de l’entreprise, les conséquences de cette affaire ont finalement été très limitées et les clients n’ont pas été lésés. Les mesures de cybersécurité de l’entreprise ont ensuite été renforcées pour ne plus permettre ce type de vol.

Exemple 2 : l’affaire Dedalus Biologie

En février 2021, près de 500 000 patients ont vu certaines de leurs données médicales mises en libre accès sur des forums cybercriminels. Leurs noms, mais parfois aussi leurs traitements, leurs maladies, les coordonnées de leur médecin traitant étaient devenues publiques…

Damien Bancal, fondateur du blog de cybersécurité Zataz découvre ce fichier émanant d’un prestataire de santé qui travaillait avec plusieurs dizaines d’hôpitaux français et alerte les autorités. Après enquête, la CNIL infligera une amende record : 1,5 million d’euros, en rapport avec le chiffre d’affaires de ce prestataire.

Il est à noter que c’est grâce à l’existence d’un outil de communication entre spécialistes de la cybersécurité que l’alerte a pu être donnée assez rapidement.

Exemple 3 : l’affaire Discord INC.

Vous connaissez sans doute cette solution de messagerie instantanée qui permet à des utilisateurs de se retrouver dans des salons privés en ligne ? En novembre 2022, la CNIL a infligé une amende de 800 000 € à cette société américaine (voir site de la CNIL).

Comptes inactifs non supprimés, manquement à l’obligation d’information des utilisateurs, manquement à l’obligation d’assurer la confidentialité des données personnelles… Les griefs étaient nombreux lors du contrôle de la CNIL et l’amende aurait pu être encore plus forte si le RSSI de Discord n’avait pas immédiatement procédé à deux analyses d’impact qui ont pu relativiser l’importance du risque pour les droits et libertés des utilisateurs.

Les clés d’une collaboration RSSI / DPO efficace

Dans les exemples précédents, nous avons pu voir les conséquences d’un manque d’efficacité dans la répartition des rôles entre DPO et RSSI. Pour une entreprise dont la responsabilité est engagée, le montant des pénalités infligées par la CNIL, ou les sommes engagées pour les frais judiciaires, peuvent être très élevés. Pour les utilisateurs lésés, par exemple dans le cas de fuite de données de santé, les conséquences peuvent également s’avérer désastreuses.

Les cybercriminels ne se contentent pas de chercher les failles de sécurité d’un système informatique dont la correction est du ressort du RSSI. Ils peuvent aussi tenter de déjouer les processus mis en place par le DPO, par exemple en effectuant une usurpation d’identité, comme le montre l’interview réalisée par notre société auprès d’une filiale d’ALCEN.

À partir de ces exemples, on voit bien que ce sont les deux acteurs, DPO et RSSI, qui doivent concentrer leurs efforts sur les aspects suivants :

Communication et partage d’information

Comme dans tout travail collaboratif, la communication entre les acteurs est essentielle. Elle doit être rapide, afin de pouvoir réagir rapidement en cas de début de crise. Elle doit aussi être régulière afin que DPO et RSSI sachent chacun s’ils respectent bien l’évolution des contraintes légales en vigueur.

Pour reprendre le cas de Discord cité par la CNIL, l’organisme a relevé plusieurs manquements aux obligations de l’entreprise sur la sécurité des données personnelles (en particulier la durée de conservation des comptes personnels sur les serveurs). C’est bien au DPO qu’il incombe de connaître parfaitement les obligations du RGPD et de vérifier à ce qu’elles soient respectées, en communiquant avec le RSSI.

Quant au RSSI, il aurait aussi dû s’informer auprès du DPO si cette durée de conservation était légale et conforme au RGPD. Les conséquences de ces négligences ont coûté 800 000 € à la société Discord !

Coopération et coordination

Ce manque de communication n’est pas spécialement dû à de la mauvaise volonté ou de la négligence volontaire de la part de ces acteurs. C’est simplement le résultat d’un travail effectué sans coopération de part et d’autre. DPO et RSSI doivent cultiver une étroite collaboration pour travailler ensemble. Pour cela, ils peuvent mettre en place des points réguliers au cours desquelles ils pourront échanger sur les mesures de sécurité à prendre pour tel ou tel point spécifique et coordonner leurs efforts.

Cette coordination régulière leur permettra également de prévoir des actions de sensibilisation du personnel et du management aux problématiques de sécurité.

Évaluation et amélioration continue

Pour que toute l’entreprise participe activement à ces efforts de sécurisation des données, DPO et RSSI devront ainsi mettre en œuvre le “Privacy by Design” qui impose de prendre en compte la protection de la vie privée des utilisateurs avant même la conception d’un système impliquant le traitement de données personnelles.

Ainsi, plutôt que d’attendre de réagir en cas de problème avéré, DPO et RSSI peuvent être proactifs en réalisant à intervalles réguliers une évaluation des mesures de sécurité et des processus mis en place dans l’entreprise pour la protection des données personnelles.

Ce travail d’amélioration continue peut-être fait à l’aide d’outils spécifiques proposant des indicateurs précis, tels que :

• La limitation de la collecte aux types de données réellement utiles.
• La réduction des données aux quantités nécessaires.
• L’utilisation des données uniquement selon les autorisations définies par leurs propriétaires.
• La sécurisation des données dans tous leurs cycles de vie (de leur création à leur destruction).

Lors de chaque évaluation, les mesures effectuées sur les indicateurs de ces outils permettront au DPO et au RSSI de mettre en place des actions d’amélioration continue au sein de l’entreprise, tout en faisant prendre conscience à chacun des progrès devant encore être accomplis.

Facteurs de succès et obstacles à surmonter

La communication, la coopération, la sensibilisation des acteurs aux problématiques de sécurité supposent qu’un vocabulaire commun soit compris de tous et correctement utilisé. Pour acculturer l’entreprise à ces réflexes de sécurité, un des facteurs de succès sera donc la formation du personnel (aussi bien les collaborateurs que leurs managers) aux règles imposées par le RGPD.

Ensuite, chaque département, chaque équipe de l’entreprise pourra définir ses besoins spécifiques (ex : partage de données anonymisées, niveaux de sécurité des mots de passe, personnes autorisées à consulter tel type de données…) pour que RSSI et DPO mettent en place des règles communes à toute l’entreprise.

Pour éviter l’apparition d’obstacles liés à une différence de vision ou d’approche entre les différents départements de l’entreprise, la collaboration DPO / RSSI sera primordiale. Les responsables de ces départements devront pouvoir s’appuyer sur l’expertise technique du RSSI et la parfaite connaissance de la règlementation en sécurité des données personnelles du DPO.

Conclusion

On l’a vu au travers de ces différentes affaires de cybercriminalité, la collaboration entre DPO et RSSI est devenue indispensable pour la sécurité de l’information et la RGPD, car les conséquences d’une négligence en sécurité des données personnelles peuvent coûter cher à une entreprise, y compris en termes d’image.

DPO et RSSI doivent avoir conscience de l’importance de leurs rôles respectifs et tout faire pour collaborer dans les meilleures conditions. Les données numériques sont devenues une véritable mine d’or pour les cybercriminels qui ne cessent d’inventer de nouvelles techniques.

L’émergence de l’intelligence artificielle va permettre aux logiciels de s’appuyer sur de vastes bases de connaissances pour améliorer la sécurité des entreprises, mais n’oublions pas que les cybercriminels peuvent, eux aussi, investir dans des outils toujours plus puissants.

C’est donc à l’humain, et en particulier au couple DPO / RSSI d’accorder ses violons pour être capable de faire la différence dans ce nouveau monde toujours plus digitalisé