DPO et RSSI : comment travailler ensemble ?

« Les réglementations successives en matière de protection des données et de cybersécurité ont rendu les synergies inévitables » entre les deux métiers, analyse Aline Alfer, avocat chez Mathias Avocats et DPO externe, en ouverture de la table ronde consacrée à la collaboration entre les délégués à la protection des données et les RSSI.

Un duo inévitable certes, mais qui a besoin de communiquer avec tous les maillons de l’organisation pour garantir une mise en conformité à 360 °. Dans le cadre d’un appel d’offres par exemple, la direction des achats est nécessairement imbriquée dans le projet, explique Amandine Kashani-Poor, DPO chez AFD.

« Parfois, ce n’est pas facile de faire cohabiter les deux », concède l’avocate. » Les rôles sont répartis en amont. « Le RSSI s’intéresse à la protection de l’information dans son ensemble et à la protection des données en particulier ». En tant que DPO, elle s’intéresse au cahier des charges, au respect du principe de privacy by design. « Chacun aura un rôle important ».

Pour l’étape de sélection du prestataire, une véritable discussion s’engage ensuite. La réflexion porte sur les enjeux forts du projet comme la maîtrise des coûts mais les questions de protection des données seront également « intégrées dans l’analyse de la recevabilité ».

« Les achats et la direction juridique sont des parties prenantes », confirme Hervé Fortin, DPO au sein du groupe Servier et membre du CESIN. Il insiste par ailleurs sur la nécessité de « prendre le temps en tant que DPO, d’informer les acteurs de la SSI sur les enjeux, le vocabulaire et les attentes ».

Et l’inverse est valable également. « Il est important qu’on soit lié, qu’on vienne conjointement aux réunions. Même si on ne vient pas à deux, les opérationnels savent qu’on se parle ».

« Définissez les besoins communs, le vocabulaire commun », approuve Benoit Fuzeau, vice-président du CLUSIF et RSSI. Les deux métiers doivent « mieux se comprendre ».  

« Prenez le temps d’expliquer aux équipes », poursuit Hervé Fortin. « Mettez-vous d’accord sur les définitions : données personnelles, données sensibles, etc. ».

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Autre point important : « soyez dans le même discours ». Un discours « commun et cohérent ». Les deux doivent être d’accord en amont du projet : « qui fait quoi, rôles, responsabilités… ». L’objectif est d’éviter de « marcher sur les platebandes de l’autre. C’est presque comme un couple. Pour que ça fonctionne, chacun doit faire des efforts pour aller vers l’autre ».

Mais alors concrètement, comment procéder ? Le RSSI recommande de « mettre en place des points réguliers » et de ne pas oublier les affinités ou les prédispositions de chacun. « Certains salariés iront plus facilement voir le DPO, et d’autres le RSSI. On n’a pas les mêmes relations dans l’entreprise. Ne pas faire forcément ensemble, mais démultiplier ».

On retrouve également ce travail de groupe en cas de crise, et en particulier dans le cadre d’une violation de données personnelles.

« En tant que DPO externe, on a déjà été consulté pour qualifier s’il s’agissait ou non d’une violation de données au sens du RGPD », explique Aline Alfer.

« A quel moment je préviens le DPO ? Comment savoir s’il s’agit d’une fuite de données ? Ce qui nous a aidés, c’est la mise en place d’exercices pour prendre conscience de ces notions et des manquements », ajoute Benoit Fuzeau. « Il y a de plus en plus de violations de données. Je suis persuadé que les exercices favorisent les échanges et la coordination ».

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Pour le RSSI, « la conformité n’est pas égale à la sécurité ». Il préconise de « se mettre en situation, comme dans la vraie vie, en dehors des process ».

Déclarer une violation de données à la CNIL « n’est jamais simple », estime-t-il. « Tout le monde a très peur. Mais l’exercice peut faciliter les choses. Avant d’appuyer sur le bouton, cela demande une certaine réflexion. Quand on partage cette décision, c’est tout de suite plus facile ».

« C’est un travail conjoint permanent », approuve Hervé Fortin. « Je n’attends pas de savoir si c’est un breach pour intervenir dans la discussion ».

Qui contacter en cas de fuite ? Où trouver les coordonnées des personnes à contacter ? « On passe souvent une semaine à trouver un correspondant interne ou externe », regrette Benoit Fuzeau. « Quand les contrats datent de 15 ans, qu’on a changé 3 fois de prestataire, c’est compliqué ».

« Je suis le contact privilégié de la CNIL en cas de violation de données. C’est moi qui notifie, qui qualifie l’incident et les risques aux personnes concernées. Mais la décision intervient au niveau du Comex », conclut Amandine Kashani-Poor.