Comment faire du RSSI et du DPO un duo gagnant ?
Malgré des métiers bien évidemment différents, les DPO et les RSSI ont de nombreux intérêts et points communs, notamment une approche par les risques et l’obligation d’application de la réglementation.
La 16e université des DPO vient de se tenir à Paris. La manifestation organisée par AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) fut l’occasion d’aborder une thématique de plus en plus prégnante dans les entreprises : celle de la cohabitation entre le RSSI et le DPO. Une table ronde a réuni DPO et RSSI afin de présenter quelques meilleures pratiques à mettre en place pour que cette cohabitation ne se fasse pas aux dépens des métiers et, in fine, de la compétitivité de l’entreprise.
Le RSSI est le gardien du temple de la sécurité de l’entreprise. Il doit assurer la protection de toutes les données, y compris les données personnelles, alors que le DPO doit veiller au respect de la conformité des usages de son entreprise vis-à-vis des réglementations, mais aussi déclarer d’éventuelles fuites de données auprès de la CNIL. Une bonne synergie, mais aussi un discours unique vis-à-vis des métiers, semble indispensable pour éviter toute querelle de clocher et ne pas entraver les projets business, en multipliant les demandes d’informations et les contraintes.
Le cloud renforce le besoin d’une coopération étroite entre RSSI et DPO
Cette intrication des rôles est notamment évidente lorsque les métiers veulent mettre en œuvre une application SaaS. Ce type de projet pose nécessairement la problématique de la protection de l’information, mais intègre des données personnelles, ne serait-ce qu’au niveau des comptes utilisateurs.
Amandine Kashani-PoorDPO, AFD
Amandine Kashani-Poor, DPO à l’AFD (Agence Française du Développement) souligne : « il s’agit alors de fonctionner en trio avec le RSSI et la direction des achats. Nous sommes soumis à divers règlements, dont le RGPD, mais aussi les règles des marchés publics et il n’est pas simple de faire cohabiter l’ensemble. Nous avons cherché à cadrer le risque fournisseur et travaillé ensemble sur les appels d’offres, notamment pour les services de type SaaS. Le RSSI s’intéresse à la protection de l’ensemble des données qui seront confiées aux partenaires, ce qui inclut les données personnelles ».
La DPO pousse son entreprise vers des prestataires engagés dans une démarche « Privacy by Design », mais plutôt que d’intégrer la composante protection des données personnelles parmi les nombreux critères de sélection, elle a obtenu que cette protection soit un prérequis : « nous avons arrêté que la protection des données serait prise en compte dans la recevabilité de l’offre et non pas dans la notation ».
Pour Benoit Fuzeau, vice-président du CLUSIF et RSSI de CASDEN Banque Populaire, dans ce type de projet, le RSSI doit travailler en complément avec le DPO et, pour sa part, en trio avec le service juridique : « il est important de définir un vocabulaire commun. Le RSSI a une vision technique de la protection des données. Il est beaucoup plus porté sur la sécurité opérationnelle que le DPO et le service juridique, mais il est important de tenir un même discours vis-à-vis des métiers. Il est donc important de bien déterminer qui fait quoi pour ne pas marcher sur les platebandes de l’autre et faire cela en amont des rencontres avec les métiers. De même, RSSI et DPO doivent faire des points réguliers de manière à avoir un même niveau de connaissance vis-à-vis des projets en cours ».
DPO et RSSI doivent porter une même voix auprès des métiers
Le RSSI et le DPO doivent avoir un langage commun, mais aussi ne pas transmettre l’accumulation de leurs contraintes aux métiers alors que ces derniers cherchent aujourd’hui à être plus rapides et agiles que leurs concurrents. La cybersécurité ainsi que la conformité sont vues comme les empêcheurs d’avancer et il faut que RSSI et DPO parlent d’une seule voix sans se contredire l’un l’autre.
Hervé Fortin, DPO du groupe Servier et membre du Cesin explique son point de vue : « J’ai longtemps été RSSI moi-même et je pense que sur ces enjeux de vie privée, il est extrêmement important pour le RSSI et le DPO d’aligner leurs discours vis-à-vis des métiers. La communication entre RSSI et DPO doit être constante et si la présence des deux n’est pas nécessaire à chaque réunion avec les métiers, il faut former un duo. RSSI et DPO doivent faire des points de synchronisation sur chaque dossier, savoir quel est son état d’avancement et ce qui a été convenu. Chacun agit dans son domaine, mais dans un dialogue partagé ».
Benoit FuzeauVP CLUSIF et RSSI de Casden Banque Populaire
Outre ce besoin de travailler de concert, les métiers de DPO et de RSSI se joignent sur un point : l’analyse de risque. En termes de méthodologie, pour Benoit Fuzeau, une analyse de risques sur les critères « DICP » (Disponibilité, Intégrité, Confidentialité et Preuve) est une bonne approche : « il faut accompagner les métiers pour qu’ils prennent conscience que leurs exigences en matière de disponibilité du service et de confidentialité des données ont un impact direct sur le coût de leur projet. Avant de mener l’analyse de risque, nous faisons parvenir aux métiers un questionnaire de 25 questions qui sont basées sur le DICP, des questions basiques auxquelles il est possible de répondre en 1 heure, et qui répondent aux interrogations de 4 services : RSSI, DPO, juridique et achats ».
Au sein de la banque française, cette démarche pluridisciplinaire unique permet de faire remonter 6 grands types de risques, liés notamment au RGPD, à la cybersécurité, aux règles anticorruption, à la RSE, la solvabilité des tiers et la criticité du traitement. Le RSSI ajoute : « il faut réfléchir à la place de ce type de questionnaire dans le cadre d’un projet agile. Il faut une coordination parfaite entre le RSSI et le DPO afin de ne pas solliciter 4 fois les métiers avec les mêmes questions : ceux-ci doivent avoir un seul interlocuteur face à eux ».
Dans le même ordre d’idée, le RGPD a instauré une obligation pour les entreprises de mener une analyse d’impact sur la protection des données personnelles, le DPIA (Data Protection Impact Assessment), une analyse d’impact que ne peut mener le DPO seul.
Hervé FortinDPO groupe Servier et membre Cesin
Hervé Fortin explique ainsi : « nous menons des analyses de risque avec 250 DPIA et ce n’est pas un travail auquel le DPO se livre seul. Il est réalisé très en amont sous forme d’un questionnaire simple, pour chaque démarche projet. Cette action a été mise en place avec le RSSI comme point d’entrée, car il prend traditionnellement en charge l’expression de besoin des métiers. S’il apparaît qu’il y a matière à un PIA plus avancé, une démarche spécifique est lancée ».
Le DPO souligne que les mesures de sécurité préconisées lors de ces analyses sont calées sur celles définies par la politique de sécurité du système d’information (PSSI) du RSSI. « Des mesures peuvent être à la fois dictées par la cybersécurité et la conformité au RGPD : c’est là qu’un travail en binôme prend tout son sens. La démarche doit être agile, simplifiée pour les métiers, pour lesquels nous devons nous placer en accompagnement ».
Le duo RSSI/DPO face à l’épreuve de la fuite de données
Lorsque l’équipe de sécurité remonte au RSSI un incident de sécurité pouvant laisser présumer une possible fuite de données, le chronomètre se déclenche. Le DPO dispose d’un délai de 72 heures pour signaler la fuite de données auprès de la CNIL. Là encore, le dialogue doit être transparent et efficace entre le RSSI et le DPO, sachant que quelques minutes après la détection de l’incident de sécurité, il est souvent difficile de savoir si des données ont été effectivement compromises.
Aline Alfer, avocate chez Mathias Avocats et DPO externe, souligne : « dans le cas d’une violation de données personnelles, il faut dans un premier temps qualifier précisément l’incident, savoir s’il y a effectivement violation de données, son type, et une qualification de l’incident par les équipes de sécurité qui ont transmis l’information ».
L’information doit rapidement circuler entre le RSSI, l’équipe de sécurité et le DPO. Amandine Kashani-Poor le souligne : « le DPO doit pouvoir parler le plus vite possible avec le RSSI des remontées d’incidents relatifs à de possibles violations. Nous nous sommes appuyés sur ce que le RSSI avait mis en place dans le cadre de la gestion de crise. Notre enjeu est aujourd’hui de rationaliser les outils qui avaient été mis en place, car ces différentes procédures posent des questions de temporalité, sachant que la notification d’une fuite de données auprès de la CNIL doit avoir lieu dans les 72 heures ».
Benoit FuzeauVP CLUSIF et RSSI de Casden Banque Populaire
Benoit Fuzeau estime que l’entraînement et la simulation doivent permettre d’optimiser ces procédures : « la simulation de ce type d’incident aide énormément à prendre conscience des manquements dans la communication qui peut apparaître dans ce type de crise, notamment savoir à quel moment prévenir le DPO. Cela s’apprend et simuler va aider à favoriser les échanges ».
Le signalement d’une fuite de données exposant l’entreprise à une sanction financière, la déclaration auprès de la CNIL reste un acte important. « Le RSSI doit instaurer une complicité avec le DPO et le juridique. Là, l’entreprise est gagnante. Il n’est jamais simple de devoir faire une déclaration auprès de la CNIL, mais quand on partage cette décision, ça l’est plus », ajoute Benoit Fuzeau, même si la décision finale revient généralement au COMEX.
Quand la sous-traitance ajoute une couche de complexité
Dans la gestion de crise, le moindre grain de sable peut venir gripper la machine, notamment quand le système d’information met en œuvre des briques dans le cloud et que ce sont parfois des centaines de prestataires qui travaillent sur la donnée de l’entreprise. Pour les avocats, la réponse est claire : en cas d’incident, il « suffit » de solliciter le référent indiqué dans le contrat… une vision qui se heurte bien souvent au mur de la réalité.
Hervé FortinDPO du groupe Servier et membre du Cesin
Hervé Fortin explique : « les contrats ne sont pas toujours accessibles facilement au RSSI ou au DPO et, en gestion de crise, on peut être amené à passer par le canal le plus naturel, c’est-à-dire les opérationnels concernés qui sont en contact direct avec le prestataire. Au final, c’est rarement le contact mentionné dans le contrat qui est contacté en premier ». En outre, pour les contrats signés il y a plusieurs années, le référent ne fait souvent plus partie de la société.
Dans le cadre de la mise à jour de son plan de gestion de crise, l’entreprise doit tenir à jour ses fiches de contacts afin de ne pas être prise au dépourvu au plus mauvais moment. L’audit des prestataires est un outil que doivent mettre en œuvre le RSSI et les DPO pour s’assurer que leurs partenaires tiennent leurs engagements vis-à-vis de la protection des données.
Une clause d’audit doit être ajoutée aux contrats cloud afin de l’activer de manière régulière, en cas d’incident ou lorsque l’entreprise commence à avoir des doutes sur l’application des procédures de son sous-traitant. Amandine Kashani-Poor explique ainsi : « Nous avons un programme annuel d’audits, mais si un incident est constaté, le prestataire remonte en priorité dans la liste d’audit ».