Le CIL (Correspondants Informatique et Libertés) et le RSSI (Responsable de la Sécurité des Systèmes d’Information) ont des problématiques communes sur lesquelles ils arrivent à se comprendre, souligne Mireille Deshayes, CIL Groupe adjointe chez Groupama. « C’est le cas en ce qui concerne les aspects sécurité et confidentialité des informations, au regard des articles 34 et 35 de la Loi Informatique et Libertés, mais aussi d’autres réglementations liées au secret bancaire ou médical... L’entente est également de mise pour tout ce qui touche à la violation des données à caractère personnel. Nous avons d’ailleurs mis en place un système de remontée d’alertes en cas de violation des données à caractère personnel, du RSSI vers le CIL, mais aussi du CIL vers le RSSI », explique-t-elle. Sans compter tout ce qui a trait à la conservation des données (droit à l’oubli, purge des données, etc.)... Le CIL et le RSSI se voient d’ailleurs tous les mois au sein de Groupama. « Nous nous formons mutuellement, sur les aspects techniques et juridiques, grâce à ces rencontres régulières. Le RSSI vient également participer aux journées d’animation du réseau de relais de CIL. Ce dernier participe, quant à lui, à la Commission Sécurité du Groupe ».

La nature des fonctions est quelque peu différente entre le RSSI et le CIL, précise Paul-Olivier Gibert, Président de l’AFCDP. Le RSSI est l’émanation d’une décision de la direction, qui s’inscrit donc dans la stratégie de sécurisation de l’entreprise, tandis que le CIL est une personne nommée par le directeur de l’entreprise, mais en réponse à un texte de Loi.

Chacune des deux fonctions dispose néanmoins, à son niveau, d’avantages de taille, remarque Mireille Deshayes. Le CIL, par exemple, est positionné au plus haut niveau du groupe et a accès aux comités de direction. Ses missions sont fixées par des textes de loi. Il jouit également d’une indépendance pour dire et pour agir. Le RSSI dispose, pour sa part, d’une longueur d’avance au niveau technologique. Il bénéficie, en outre, d’une vision plus internationale du groupe.

Toutefois, tout n’est pas toujours « rose » et idyllique dans cette relation qui unit ces deux fonctions. Du point de vue du CIL, la documentation du RSSI et, plus globalement, de l’informatique s’avère le plus souvent volumineuse, technique, et donc difficile à exploiter pour le CIL. Le RSSI dispose, de plus, d’une vision globale de la sécurité, alors que le CIL s’intéresse uniquement aux données à caractère personnel, ce qui peut parfois entraîner désaccords et incompréhensions… La détection de non-conformités lors d’audits effectués par le CIL peut également être source de tensions. D’autant plus que le CIL n’a aucun pouvoir hiérarchique sur le RSSI...

Double casquette : un scénario idéal ?

Les deux fonctions peuvent, pourtant, être conciliables. Thierry Autret porte, en effet, la double casquette. Il est le RSSI du GIE Carte Bancaire depuis 2005, et occupe également depuis quelques mois la fonction d’Adjoint au CIL. Il est, en outre, Responsable des Plans de Continuité d’Activité (RPCA) depuis 2006. « Le GIE Carte Bancaire a une taille de PME ; il s’avère donc difficile de nommer quelqu’un à temps plein sur chacun des postes, d’où le cumul de mandats », explique-t-il. L’objectif était de trouver un barycentre de compétences. Cette multi-casquette apporte une valeur ajoutée, puisqu’elle permet d’avoir une bonne connaissance des applications et des données traitées dans la structure, mais aussi des métiers. Cependant, gérer la double casquette s’avère parfois difficile. « Cette situation peut, en effet, poser certains problèmes de gestion du temps et nécessite d’apprendre à jongler entre les différentes fonctions. Le CIL doit, par exemple, avoir une indépendance vis-à-vis des autres acteurs de l’entreprise, ce qui est loin d’être évident au départ ». Il apparaît d’autant plus essentiel dans ce cas de figure que les tâches soient clairement définies dans la fiche de poste et de missions.

Cette double casquette connaît aussi ses limites, car, pour lui, « les compétences juridiques et informatiques n’existent pas sur une seule et même tête. Faire du juridique et de la SSI au même niveau de compétences est quasiment impossible. C’est d’ailleurs la Directrice juridique qui a été nommée CIL ». Thierry Autret trouve, cependant, dommageable que l’adjoint au CIL ne soit pas officiellement reconnu par la CNIL…

Le CIL : pivot de la notification des failles de sécurité

Quel que soit le scénario choisi par l’entreprise, ces deux fonctions seront de plus en plus amenées à se côtoyer de manière régulière, notamment en regard des évolutions réglementaires liées à la protection des données à caractère personnel. Le CIL aura, en effet, un rôle pivot dans la notification des failles de sécurité, explique Bruno Rasle, Délégué Général de l’AFCDP. Même si elle n’est pas encore obligatoire en France, elle le sera prochainement, portée par la directive européenne. La question n’est donc plus de savoir si nous allons avoir à notifier, mais quand. Il faut donc s’y préparer. Le groupe de travail « Notification des violations au traitement des données à caractère personnel » de l’AFCDP a d’ailleurs été créé en ce sens. Une fois que la réglementation sera passée, les entreprises auront environ deux ans pour s’y conformer.

Pour Bruno Rasle, il apparaît légitime que ce soit le CIL qui aborde la question dans l’entreprise. Celui-ci aura un rôle pivot dans l’entreprise, avec les différentes directions, le service communication, gestion de crises, des risques, les clients, mais aussi les médias…

L’AFCDP est l’un des membres fondateurs de CEDPO (Confederation of European Data Protection Organizations). Cette organisation regroupe les principales associations européennes de délégués à la protection des données à caractère personnel, et s’avère force de propositions auprès de la Commission européenne. CEDPO propose, par exemple, d’accroître le rôle du CIL joue dans la gestion des éventuelles notifications. L’objectif serait d’éviter, autant que faire ce peut, de submerger les autorités de contrôle. Sans compter le risque de banalisation de la notification…

Les risques de la confidentialité à tout prix…

Eric Grospeiller, FSSI du Ministère de la Santé, met toutefois en garde contre le risque de ne se focaliser que sur la confidentialité, parfois au détriment du reste. En effet, dans le monde de la santé, le risque serait parfois que la confidentialité prime sur la disponibilité, et donc la vie humaine. La CNIL définit un certain nombre d’obligations concernant la sécurité et la confidentialité des informations, et notamment pour tout ce qui touche à la protection des données à caractère personnel. Ces exigences, qui s’accompagnent également de contrôles, voire de sanctions, poussent les entreprises vers une recherche de la confidentialité toujours accrue. Selon le guide établi par la CNIL en 2012, chaque organisation devrait avoir une vision globale, mais cela peut aussi avoir des incidences… Dans 99,9% des cas, c’est effectivement la confidentialité des données médicales qui prime, explique-t-il. « Mais comment faire dans les cas exceptionnels, lorsqu’un patient arrive à l’hôpital dans le coma par exemple ? Est-ce que la confidentialité est toujours la priorité ? Parfois, pour accroître le niveau de disponibilité, nous sommes obligés de réduire le niveau de confidentialité »...

L’analyse de risques au service de la protection de la vie privée

La SSI et la protection de la vie privée sont deux domaines proches, mais qui n’ont effectivement pas la même vision, souligne Amandine Jambert, Ingénieur Expert à la CNIL. La première assure la protection de l’organisme dans son ensemble, tandis que la seconde traite de la protection des données à caractère personnel.

Afin de faciliter la gestion des risques sur la vie privée, la CNIL recommande aux entreprises de se baser sur une méthode d’analyse de risques, reconnue en matière de SSI (Ebios, Mehari…), et de l’adapter aux problématiques liées à la vie privée. Afin d’accompagner les entreprises en ce sens, la CNIL vient de publier deux nouveaux guides sécurité disponibles sur le site de la CNIL.

Pour Amandine Jambert, le RSSI représente une force pour le CIL dans cette démarche, car il dispose déjà d’une méthodologie pour assurer la protection du SI. Cette méthode pourra servir de base et être transposée pour le respect de la vie privée.

Il ne faut pas que le RSSI, CIL… devienne un mouton à cinq pattes !

Pour conclure, Mireille Deshayes estime que la collaboration est de plus en plus proche et renforcée dans le temps entre le CIL et le RSSI. Elle s’avère d’ailleurs indispensable. « Nous ne pouvons pas travailler l’un sans l’autre ». Ces deux fonctions sont complémentaires et, malgré leurs différences, ont le même objectif.

Il s’avère cependant peu probable, pour nos experts, que le RSSI et le CIL ne soient au final plus qu’une seule et même personne pour assurer ces deux rôles. Le juridique et la SSI nécessitent des compétences propres, et concilier les deux au même niveau est quasi impossible. Pour Thierry Autret, personne ne doit, non plus, être forcé à assurer ces missions. Il ne faut pas que le RSSI, CIL… devienne un mouton à cinq pattes !