Les rôles du RSSI et du DPO sont bien distincts et pourtant très complémentaires. Revenons dans cet article sur leurs principales différences et les objectifs communs qui les lient…
Le RSSI, Responsable de la Sécurité des Systèmes d’Information, a pour principales missions :
– de mettre en place et de maintenir la sécurité du système d’information,
– de protéger les atouts de l’organisme,
– de piloter la gestion du risque lié à l’usage du système d’information.
Le DPO, Data Protection Officer, porte des missions similaires :
– il met en place et maintient les mesures de protection des données personnelles,
– il protège les droits et des libertés des personnes concernées,
– il pilote la conformité et veille à une bonne gestion du risque sur les données personnelles.
Leur métier est donc très proche. Leur fonction transverse s’intègre également dans tous les métiers de l’organisme. RSSI et DPO vont donc garantir le respect des principes de disponibilité, d’intégrité et de confidentialité des données. Ils doivent en outre mettre en place des mesures de traçabilité des opérations sur ces données (accès, création, modification, suppression).
Pour réaliser leur mission, RSSI et DPO s’appuient sur des méthodes de gestion des risques ayant les mêmes principes. Une base commune existe donc dans la manière de réaliser leur démarche d’analyse. Ainsi l’évaluation des mesures nécessaires est similaire selon l’approche choisie entre d’une part la méthodologie d’analyse d’impact relative à la protection des données de la CNIL et d’autre part les normes ISO 27001 et 27002, incluant notamment :
- Les mesures de nature juridique : finalité, minimisation des données, qualité des données, durées de conservation, information des personnes, consentement si applicable, droit d’opposition, droit d’accès, droit de rectification, transferts hors Union européenne, formalités préalables
- Les mesures organisationnelles : organisation, politique de protection des données, gestion des risques sur les données, gestion des projets, gestion des incidents et des violations de données, gestion des personnels, relation avec les tiers (partenaires, sous-traitants, clients), maintenance, supervision (audits internes, suivi…), suivi des documents, archivage
- Les mesures de sécurité logique : anonymisation, chiffrement, contrôle d’intégrité, sauvegardes, cloisonnement des données, contrôle des accès, traçabilité, exploitation, surveillance, gestion des postes de travail, lutte contre les codes malveillants, protection des réseaux
- Les mesures de sécurité physique : éloignement et protection des sources de risques non humains (incendie, inondation…), contrôle des accès physiques, sécurité des matériels, sécurité des documents papier
Ces mesures sont identifiées, documentées et mises à jour dans un effort commun de sécurité des actifs immatériels de l’organisme : la bonne gestion des données. RSSI et DPO doivent donc échanger régulièrement sur leur mission respective afin de partager leur analyse et mettre en place des processus communs de protection des données.