Dans un monde de plus en plus numérique, la protection des données est devenue une priorité absolue pour les organisations de toutes tailles et de tous secteurs. Avec la montée en puissance des cybermenaces et la multiplication des réglementations en matière de confidentialité des données, la collaboration entre le Responsable de la Sécurité des Systèmes d’Information (RSSI) et le Délégué à la Protection des Données (DPO) est plus essentielle que jamais.
C’est un des sujets qui a été soulevé pendant le Printemps des DPO organisé le 18 juin dernier, notamment au cours d’un panorama rassemblant France Charruyer, présidente de Data Ring, et Alessandro Fiorentino, chargé d’enseignement à l’ISEP – Institut Mines Télécom Business School.
Ces deux métiers sont amenés à se parler puisqu’ils partagent un objectif commun : assurer la sécurité des données au sein d’une organisation. Le RSSI est chargé de protéger les systèmes d’information contre les menaces potentielles, tandis que le DPO veille à ce que les traitements des données personnelles soient respectueux de la vie privée des personnes et que des garanties organisationnelles et techniques soient mises en place pour assurer leur protection. La protection des données personnelles est étroitement liée à la sécurité des systèmes d’information. Une collaboration étroite entre ces deux acteurs clés permet de garantir une approche holistique de la sécurité des données.
Si ces métiers ont un objectif commun, ils ont leur langage propre, une approche distincte et un périmètre différent. La porte d’entrée du DPO est la donnée. Son vocabulaire tourne autour de la confidentialité, de la légitimité du traitement des données personnelles, des droits des individus (comme le droit à l’oubli ou le droit d’accès), et aussi du respect des obligations légales de l’organisation pour la protection des données personnelles. Le RSSI, lui, parle le langage des systèmes. Il s’occupe surtout de la sécurité de l’infrastructure technologique de l’organisation dans son ensemble, ce qui comprend les serveurs, les réseaux, les applications, et d’autres éléments du système d’information.
Se pose alors la question : comment le RSSI et le DPO peuvent ils coordonner leurs rôles et responsabilités pour améliorer la sécurité des données dans les organisations ? Et quels bénéfices ressortir d’un tel partenariat ?
📌 Cet article a été élaboré sur la base d’un exemple précis d’accompagnement effectué auprès d’un de nos clients. Nous sommes intervenus au sein de la Direction des systèmes d’information d’une grande entreprise, et plus précisément de l’équipe cybersécurité où nous occupions les fonctions de DPO externe.
La collaboration du DPO avec les équipes de cybersécurité, référents de projets IT et sécurité peut intervenir aux différentes étapes de la vie d’un projet.
Le processus de gestion des tiers
Dans le processus de gestion des tiers, dès la phase d’enregistrement du prestataire, cette collaboration peut se traduire par l’envoi conjoint des questionnaires RGPD et sécurité.
Elle peut s’étendre aux comités d’architecture où le DPO et équipe de cybersécurité collaborent pour identifier et évaluer les nouveaux projets IT, assurant ainsi une intégration complète de la protection des données dès le début des projets.
Évaluation des risques
Le DPO peut intervenir dans l’évaluation des risques menée par l’équipe de cybersécurité, particulièrement pour des projets complexes comme le déploiement de Data Lakes.
Pour mémoire, un Data Lake c’est un système ou un référentiel de données stockées dans leur format naturel/brut, généralement des blobs d’objets ou des fichiers. Il peut être établi sur un site (dans le centre de données d’une organisation) ou dans le Cloud ( à l’aide d’un service Cloud).
Les équipes de sécurité peuvent ainsi tenir compte de avis du DPO dans l’évaluation des risques.
Le registre de traitement, un début de cartographie des données
La tenue du registre de traitement par le DPO permet d’avoir une cartographie des données à caractère personnel pouvant rejoindre le travail de data classification mené par l’équipe cybersécurité selon les exigences de la norme ISO 27001 (2022).
Gestion des crises et violation de données
Le DPO peut intervenir à différentes étapes : lors de l’identification de l’incident et de son évaluation, dans la définition des actions à mener pour y pallier et dans les mesures à mettre à place auprès des autorités comme l’ANSSI ou la CNIL. Ce processus permet une meilleure évaluation des actions mises en place par l’équipe de cybersécurité, voire la faculté de réviser les actions proposées.
En même temps, le DPO appuyé par l’équipe cybersécurité peut superviser l’envoi d’informations aux personnes concernées.
Dans les opérations de Data Cleansing
La Data Cleansing est le processus de correction ou de suppression des données dans une base de données. La présence du DPO peut se faire dès le lancement d’une opération de purge sur un applicatif donné. Sa participation aux réunions avec l’équipe de projet IT concernée et l’équipe de cybersécurité permet de s’assurer que le niveau de classification des données est respectueux de la sensibilité des données. En miroir, le RSSI veille à ce que les méthodes de nettoyage des données soient sécurisées et adaptées pour minimiser les risques de fuite ou d’accès non autorisé. Cette synergie a garanti la conformité et la sécurité des données tout au long du processus.
En conclusion, la présence du DPO auprès de l’équipe de cybersécurité à ces différentes étapes permet de faciliter la remontée des informations importantes en s’assurant que tout ce qui concerne la protection des données personnelles est vite repéré et réglé.
Ensuite, le travail en étroite collaboration entre le DPO et l’équipe de cybersécurité permet de rassembler les informations, ce qui assure une meilleure cohésion à l’interne et permet une meilleure efficacité. En rendant le processus de mise en conformité avec les lois plus rapide, cette manière de faire favorise une amélioration continue des pratiques en cybersécurité et renforce l’efficacité de l’organisation au total.
La présence du DPO au sein de l’équipe de cybersécurité peut faciliter grandement cette coordination même si elle pose la question de l’indépendance, souvent mentionnée comme un frein à la collaboration. Le Règlement Général sur la Protection des Données (RGPD) rappelle à son article 38 que le DPO travaille de manière indépendante. Cette indépendance à l’égard des autres directions présentes au sein de l’entreprise est nécessaire pour que le DPO puisse surveiller la conformité au RGPD sans être empêché dans son action .
FR 
EN