Un dessin vaut mieux qu’un long discours ! Dans la perspective du 25 mai, date de l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD), le Club de la sécurité de l’information français (Clusif) tente de souligner la complémentarité qui devrait exister entre les responsables de la sécurité des systèmes d’information (RSSI), peu nombreux dans les organisations, et les délégués à la protection des données personnelles (DPO) – fonction très récente. Les deux métiers « visent des finalités différentes mais avec des objectifs communs », indique en substance Thierry Chiofalo, membre du conseil d’administration du Clusif qui, depuis décembre 2016, anime en son sein le groupe de travail DPO/RSSI. En clair, les RSSI privilégient la protection de l’entreprise, tandis que les DPO se focalisent sur celle des personnes. En revanche, certains de leurs moyens et objectifs sont souvent communs. RSSI, correspondants Informatique et Libertés (CIL), spécialistes techniques, juristes, avocats… la diversité des profils de ce groupe de travail a contribué à de riches partages de connaissances et d’expérience, concrétisés dans une infographie qui tombe à point nommé. Concrètement, elle synthétise tout ce qu’il faut savoir pour se conformer au RGPD.
Convergence des démarches
L’infographie du groupe DPO/RSSI du Clusif fait ressortir qu’il n’y a pas de profil type de DPO. Par ailleurs, elle révèle la convergence de plusieurs démarches. Tout d’abord, au niveau des réglementations avec la Loi de programmation militaire (LPM), la directive européenne Network and Information Security (NIS) et le RGPD, puis au niveau de la sécurité opérationnelle ainsi que la gestion du risque et de la conformité. Aussi bien dans le secteur privé que dans le secteur public. Bref, la sécurité numérique exige désormais une démarche cohérente et pluridisciplinaire « entre RSSI, CIL, DPO, avocats, juristes, spécialistes techniques », estime Thierry Matusiak, membre du groupe de travail DPO/RSSI. Cette convergence se retrouve également sur le terrain, non seulement des compétences techniques ou juridiques, mais aussi sur celui du savoir-être en termes de vulgarisation ou de communication. Par ailleurs, l’infographie devrait être déclinée dans des secteurs spécifiques tels que la santé ou les objets connectés.
Analyse d’impact
Se fondant sur l’analyse d’impact relative à la protection des données [Privacy Impact Assessment (PIA)], l’infographie met en relief le besoin de tenir un registre clair concernant les traitements numériques effectués sur les données à caractère personnel. Il en va de même pour le cycle de vie de ces données – notamment l’effaçage programmé des données personnelles et le droit à l’oubli. Il convient aussi d’évaluer les scenarii des risques susceptibles d’avoir des conséquences sur les éventuelles personnes victimes, en cas de fuite de données personnelles ou de leur exploitation frauduleuse. A cette analyse d’impact, il faut aussi ajouter les mesures de sécurisation pour assurer la sécurité des données des personnes et, en cas d’incident, garantir les mesures d’urgence à prendre. Une chose est sûre : mettre en place ces mécanismes requiert une étroite collaboration entre le RSSI et le DPO. Ce qui n’affranchit pas d’y associer les différents métiers de l’entreprise, lesquels sont les mieux placés pour décortiquer les traitements des données.
Obligation de notification
L’infographie met également en lumière l’obligation généralisée de notifier « dans les meilleurs délais » les personnes concernées par une fuite de données à caractère personnel. On s’en doute, c’est là que le DPO prend toute sa valeur en tant que point de contact. Contrainte réglementaire aujourd’hui, la protection des données personnelles deviendra un droit comme un autre.
Erick Haehnsen
Commentez