Quand un CISO (RSSI) peut-il jouer le rôle d'un DPO?

Georges Ataya
Le nouveau Règlement général européen sur la protection des données (bien communément appelé RGPD) impose, dans certains cas, la nomination d’un Data Protection Officer (DPO), responsable de la protection des données. Les organisations du secteur public et du secteur privé s’efforcent de créer une responsabilité supplémentaire de DPO ou alternativement, d’inclure celle-ci dans la fonction de Chief Information Security Officer (CISO), responsable de la sécurité des systèmes d’information (ou RSSI), que celle-ci existe déjà ou pas.

En réponse aux interrogations en la matière, je conseille régulièrement au demandeur de vérifier trois critères de base pour fusionner ou pas ces deux activités. Le premier critère concerne la disponibilité d’un CISO global, gérant la Sécurité de l’information et la Gestion des risques informatiques. Parfois, il s’agit d’un simple expert chargé de la sécurité informatique et rapportant au département informatique. Dans ce cas, il ne s’agit pas d’un responsable de la sécurité de l’information. Combiner cette fonction technique avec la fonction du DPO me semble à-priori stérile.
Une autorité, des responsabilités adéquates et une indépendance sont pour moi des conditions préalables pour qu’une telle fonction soit pertinente. Le DPO devrait avoir de l’autorité et une responsabilité adéquate. Il devra avoir un contact direct avec les autres directeurs de l’entreprise et devra accomplir une série d’actions avec incidence sur les activités d’ autres départements fonctionnels (ressources humaines, finances, vente, support clientèle, etc.).
En ce qui concerne l’indépendance, le G29 WP, Groupe réunissant toutes les autorités de protection des données européennes, a déclaré dans ses lignes directrices concernant les DPO qu’« en règle générale, les positions conflictuelles au sein de l’organisation peuvent inclure des postes de haute direction (comme le chef de l’exécutif, le chef d’exploitation, le chef financier, le médecin en chef, le responsable du département marketing, le chef des ressources humaines ou le chef des services informatiques), mais aussi d’autres rôles plus bas dans la structure organisationnelle si ces positions ou ces rôles conduisent à la détermination des objectifs et des moyens de traitement ». Il s’agit donc d’une analyse au cas par cas qui doit être effectuée par le management de l’entreprise.
Le deuxième critère implique un conflit potentiel du DPO avec les activités du CISO en ce qui concerne les objectifs internes de l’entreprise dans les trois principaux objectifs de sécurité de l’information (confidentialité, intégrité et disponibilité) axés sur l’intérêt intérieur de l’entreprise. L’activité du DPO consiste plutôt à se concentrer sur la protection des intérêts qui ne correspondent pas nécessairement focalisés sur l’entreprise même (mais bien ses clients, ses employés, ses prospects, ses fournisseurs, etc..), à savoir les intérêts des personnes concernées pour lesquelles des informations personnelles sont détenues. L’article 38 du RGPD mentionne explicitement, d’une part que la fonction « doit fournir des ressources nécessaires mais peut remplir d’autres tâches et devoirs », et aussi que l’on devrait « Se méfier des conflits d’intérêts ».
Le troisième critère comprend les compétences et les capacités du CISO-DPO proposé. Il n’est pas fréquent de trouver des professionnels disposant de compétences qui sont parfois contre-intuitives. Il s’agit de combiner des connaissances rarement retrouvées dans une même formation académique, même activité professionnelle ou même expérience professionnelle. Notre récente formation dédiée aux DPO à la Solvay Brussels School (solvay.edu/gdpr) met en évidence cinq domaines de compétences requis pour accomplir cette activité.
Ces domaines de connaissances à maitriser par une ou plusieurs personnes, voire une équipe, éventuellement assistée par des experts externes, incluent ce qui suit : La première c’est la compréhension de l’aspect régulatoire et juridique ainsi que d’autres exigences en protection de la vie privée du management, nécessaires pour établir les objectifs, le périmètre et la politique de protection des données, ainsi que la stratégie nécessaire pour se mettre en adhérence avec la RGPD. On parle ici aussi de gouvernance de l’activité de la protection des données.
Le deuxième domaine concerne la capacité d’effectuer l’exercice d’étude d’impact sur la vie privée (aussi appelée Data Protection Impact Assessment ou DPIA) qui permet de définir l’écart, les risques, les mesures d’atténuation et les améliorations nécessaires.
Le troisième domaine est lié à la mise en œuvre du processus de transformation pour rendre le changement effectif. Ceci se fera à travers des outils, des applications modifiée ou nouvelles, des services spécifiques, des mécanismes de flux de données et de nouvelles fonctions métiers répondant aux exigences de conformité. Les compétences nécessaires s’apparentent aussi à celles d’un chef de programme de transformation digitale et/ou de changement organisationnel, comme se plaisent à me rappeler mes collègues impliqués dans la mise en place (ictc.eu/gdpr).
Le quatrième domaine implique la sécurité de l’information et le renforcement des capacités de défense en cyber sécurité, en ce qui comprend une gestion des risques, leur priorisation et l’identification de solution d’amélioration.
Le cinquième domaine comporte toutes les fonctionnalités liées à la gestion d’incidents et à la communication requise dans le cas d’une violation de données.
Malgré le fait que les cas obligatoires pour la désignation d’un DPO sont susceptibles de s’appliquer aux petites organisations, celles-ci ne disposent pas en moyenne d’une fonction de CISO non plus. Dans ce cas, Elles sont tentées de placer les deux activités dans une seule fonction qui pourrait être remplie par un appui extérieur. L’article 37 du RGPD mentionne que le DPO pourrait être « un employé, ou (accompli) sur la base d’un contrat de service ».
Il me semble essentiel que les activités du DPO et du CISO soient organisées sous la forme d’une seconde ligne de défense. Cela signifie que les responsables métiers restent le premier concernés par la RGPD et dès lors le dernier ressort en charge de leurs propres risques et de leurs propres activités de protection. La fonction de DPO ne devra pas décharger ces derniers de leur implication directe en la protection de la vie privée au sein de leurs départements fonctionnels.
La fonction de deuxième ligne de défense, celle du DPO dans ce cas, devra alors être en charge de surveiller la conformité, de fournir des conseils et de contrôler les risques.
Pour conclure, les deux activités sont susceptibles d’être combinées dans certains cas.
La publication d’un article similaire à celui-ci sur linkedin (https://www.linkedin.com/pulse/can-ciso-act-dpo-georges-ataya) a suscité beaucoup de réactions contradictoires, voire extrêmes, que j’invite le lecteur à consulter pour son complément d’information. N’hésitez pas au passage à vous connecter à mon profil et/ou à m’envoyer vos commentaires et réactions.
Georges Ataya
• ictc.eu/gdpr
• solvay.edu/gdpr
• linkedin.com/in/ataya