Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RSSI et DPO : des finalités différentes, des objectifs communs

mai 2018 par CLUSIF

A l’approche de la date fatidique du 25 mai, correspondant à la mise en application du nouveau règlement européen sur la protection des données personnelles (RGPD), le CLUSIF a tenu une conférence jeudi 19 avril sur la complémentarité des Responsables de la Sécurité des Systèmes d’Information (RSSI) et des Délégués à la Protection des Données (DPO). Thierry Chiofalo (membre du conseil d’administration du CLUSIF) a, en introduction, posé un des principes de la relation entre Sécurité de l’Information et RGPD, le fait que « ceux-ci visent des finalités différentes avec des objectifs communs » : « les premiers protègent les entreprises, les seconds les personnes. Mais les moyens et certains objectifs sont souvent communs ».

Une démarche convergente en matière de sécurité

Dominique Soulier et Thierry Matusiak du groupe de travail DPO/RSSI du CLUSIF ont rappelé que le groupe avait réuni jusqu’à 32 participants depuis sa création en décembre 2016. La multiplicité des profils, RSSI, CIL, spécialistes techniques, juristes, avocats, a permis des échanges très riches qui ont abouti à deux livrables. Le premier est une infographie permettant de se préparer à la conformité attendue le 25 mai. Elle peut être téléchargée en français et en anglais sur le site du CLUSIF et a rencontré un vif succès au FIC où elle a été distribuée. Le second livrable « est une foire aux questions (FAQ) qui sera publiée au fil de l’eau, y compris après la date du 25 mai », a indiqué Dominique Soulier.

Les travaux du groupe de travail ont montré qu’il n’existait pas de profil type de DPO mais aussi que l’on assistait à une démarche convergente en matière de sécurité. Sur le plan de la réglementation (LPM, NIS, RGPD), entre le secteur privé et le secteur public, en ce qui concerne la sécurité opérationnelle et la gestion du risque et de la conformité. « La démarche est désormais cohérente et pluridisciplinaire entre RSSI, CIL, DPO, avocats, juristes, spécialistes techniques », a précisé Thierry Matusiak.

Un consensus est apparu au fil des travaux du groupe de travail a estimé Dominique Soulier : « Il y a beaucoup de points communs et de synergies entre RSSI et DPO. Tant sur le plan des compétences, techniques ou juridiques par exemple, qu’en ce qui concerne leur savoir-être (vulgariser, communiquer, avoir un bon relationnel) ».

Le groupe a vocation à survivre à la date du 25 mai. Il faudra notamment prendre en compte la nouvelle loi Informatique et Libertés, par exemple, mais aussi sans doute approfondir l’infographie avec des déclinaisons pour des secteurs particuliers comme celui de la santé ou de l’IoT.

Le RSSI et le DPO doivent travailler ensemble

Matthieu Grall, de la Commission nationale de l’informatique et des libertés (CNIL) a donné des pistes sur la mise en place d’un Privacy Impact Assessment (PIA) : « Le PIA est un moyen pour se mettre en conformité et de le démontrer ». La démarche passe par une compréhension claire des traitements de données à caractère personnel et du cycle de vie des données, une identification des scénarios de risque pouvant avoir des conséquences sur les personnes concernées, et enfin la définition des mesures de sécurisation permettant de garantir la sécurité des données des personnes. Cette démarche permettra aussi, en cas d’incident, de mieux déterminer les répercussions sur les personnes concernées et, ainsi, les mesures d’urgence à prendre, a précisé Matthieu Grall. Pour lui, le RSSI et le DPO d oivent travailler ensemble et associer les métiers de l’entreprise qui sont les plus à même de décrire les traitements.

Cet avis est notamment partagé par Robert Eskenazy et Didier Henin, respectivement directeur des systèmes d’information et RSSI de BUT qui ont œuvré en binôme depuis trois ans pour transformer en profondeur le leader français de l’équipement de la maison. « Il faut que les entreprises évoluent et prennent conscience que les données récoltées auprès des clients doivent être protégées », a souligné Robert Eskenazy. BUT a dû évoluer avec l’expansion du e-commerce : partager les données entre magasins et en temps réel, utiliser des progiciels du marché. Tout en ne faisant pas table rase du passé et de l’histoire de l’entreprise : « il faut un projet de transformation de l’entreprise et des métiers », a indiqué Robert Eskenazy.

Il a fallu affiner la prise en compte de la notion client, mieux le connaître tout en prenant en compte résolument la sécurité des données collectées et leur usage. Cela implique des actions auprès des métiers et des sous-traitants. Pour Robert Eskenazy, « Il y a un changement des mentalités à réaliser ».

Didier Henin a pour sa part souligné la nécessaire cartographie des traitements de toutes les données de l’entreprise, la revue des contrats, la mise en place d’exigences dès les appels d’offres, notamment en matière de sécurité des données personnelles. Mais aussi la nécessité de sonder les partenaires pour déterminer où ils se situent en matière de conformité à l’approche du 25 mai. Le RSSI de BUT a enfin estimé que le point le plus délicat était sans doute la sensibilisation du personnel.

Olivier Foret, CIL de Pages Jaunes a quant à lui rappelé que son groupe avait entamé une profonde mutation après un contrôle de la CNIL. Il a pris la tête d’une équipe pluridisciplinaire composée de juristes et d’un ingénieur sécurité. Il a fallu cartographier les données personnelles réparties au sein du système d’information, les catégoriser. Un RSSI a été embauché et ils travaillent désormais en binôme. Chacun se nourrit des travaux de l’autre et leur complémentarité se traduit par une meilleure information au sein de l’entreprise, y compris au plus haut niveau de management.

Le RGPD face à la maturité des entreprises sur l’application des lois existantes

La conférence s’est achevée avec une table ronde animée par Henri Codron, vice-président du CLUSIF. Celle-ci a permis de faire un point sur les aspects règlementaires.

Valérie Brébant, de Clear Channel, a souligné l’importance d’une volonté portée par les dirigeants de l’entreprise qui doivent soutenir les équipes en charge de la conformité. Clear Channel n’a pour l’instant pas de RSSI ni de DPO, a-t-elle souligné. C’est donc la DSI et le service juridique qui se chargent du projet.

Eric Delisle, de la CNIL a indiqué que l’on allait passer de 5000 correspondants informatique et liberté à plusieurs dizaines de milliers. Ce qui entrainera sans doute un changement du côté de la CNIL. En outre, la Commission réfléchit à un programme de certification des experts RGPD.

Pour Gilles Garnier de Harmonie Technologie, il y a autant de situations que d’entreprises. « On découvre encore trop souvent aujourd’hui qu’il y avait une loi qui existait depuis quarante ans, le RGPD sert de réveil. Il y a tout de même beaucoup d’entreprises qui étaient très matures dans ce domaine. Les petites entreprises découvrent parfois au travers de leurs gros clients les choses qu’elles doivent mettre en place pour continuer à travailler avec eux, a-t-il précisé.

Maître Olivier Iteanu s’est attardé sur l’obligation de notification, qui existait déjà pour certaines entreprises au travers du paquet télécom, mais qui va se généraliser avec le RGPD. Cette obligation concerne aussi les sous-traitants. Le texte est ardu, a précisé Maître Iteanu et le couperet des 72 heures pour déclarer un incident n’est pas figé dans le marbre : il y a obligation de signaler « dans les meilleurs délais ». Mais il faut fournir un point de contact ou le nom du DPO. « Le RGPD est un choix irréversible de défense des personnes, de leurs données personnelles. C’est un début, on construit. Mais demain ce sera un droit comme un autre qui sera pris en compte par tout le monde », a conclu l’avocat.


A propos du Club de la Sécurité de l’Information Français (CLUSIF)
Le CLUSIF est un club professionnel constitué en association indépendante (Association Loi 1901) réunissant les experts en cybersécurité et sécurité des systèmes d’information. Ouvert à toutes les entreprises et collectivités, ce club rassemble des Utilisateurs et Offreurs de solution issus de tous les secteurs de l’économie. L’objectif principal du CLUSIF est de favoriser les échanges d’idées et les retours d’expériences par des groupes de travail, des publications et des conférences thématiques. Les sujets abordés, en relation avec la sécurité de l’information, varient en fonction de l’actualité et des besoins des 700 membres de l’association.


Voir les articles précédents

    

Voir les articles suivants