Le DPD (délégué à la protection des données) et le DSSI (responsable de la sécurité des systèmes d’information) ne sont pas la même fonction. Le premier est défini par une réglementation européenne, qui prévoit une définition juridique claire de ses missions. Le second existe depuis bien plus longtemps, mais presque jamais de manière identique d’une organisation à l’autre. Le DPD doit veiller au respect du RGPD et des droits fondamentaux, tandis que le DSSI doit garantir la confidentialité, l’intégrité et la disponibilité de l’ensemble des actifs d’une organisation.
Bien que l’on puisse continuer à détailler les différences, dans cet article nous nous concentrerons plutôt sur la synergie qui peut et doit exister entre ces deux rôles.
Alignement de la gouvernance et des politiques
Cela commence par aligner les cadres de gouvernance et les politiques. Les deux responsables devraient examiner ensemble les politiques de sécurité existantes, les politiques de protection des données et les procédures de conformité. Toujours rechercher l’efficacité : certaines politiques peuvent se recouper ou offrir des opportunités de fusion. Un ensemble unifié de politiques de « protection de la vie privée et de sécurité », validé par les deux fonctions, donne le ton en matière de conformité au sein de l’organisation.
Inventaire des actifs et des données
« On ne peut pas protéger ce que l’on ne connaît pas. » Un inventaire précis et à jour des actifs informationnels et des activités de traitement des données constitue la base de tout programme de sécurité et de protection de la vie privée. L’équipe du DSSI cartographie généralement les systèmes informatiques, les applications et les flux de données à des fins de cybersécurité, tandis que le DPD supervise la tenue du registre des activités de traitement pour assurer la conformité en matière de protection des données. Plutôt que de mener ces travaux en parallèle, il est très efficace de mettre en place un registre unique et coordonné des actifs et des traitements de données, répondant aux besoins des deux fonctions.
Évaluation et gestion des risques
Le DSSI et le DPD adoptent tous deux des approches fondées sur le risque, mais souvent avec des angles différents : le DSSI évalue les risques pesant sur les opérations et les données de l’organisation, tandis que le DPD évalue les risques pour les droits et la vie privée des personnes. En pratique, ces risques se recoupent et peuvent être gérés conjointement. Il est donc pertinent de mettre en place un processus unifié de gestion des risques intégrant ces deux perspectives. Cela peut inclure l’organisation d’ateliers conjoints d’évaluation des risques, au cours desquels les menaces de sécurité sont analysées en parallèle des risques liés à la protection des données personnelles. Il convient également de développer un registre des risques partagé et de s’accorder sur une méthodologie commune de cotation des risques, ce qui permettra aussi une communication plus efficace.
Sécurité des tiers et de la chaîne d’approvisionnement
Un autre point de départ essentiel concerne la gestion des risques liés aux tiers. Les deux fonctions ont un intérêt direct dans la manière dont les fournisseurs et partenaires traitent les données de l’organisation : le DSSI se préoccupe des attaques de la chaîne d’approvisionnement ou des failles de sécurité chez les prestataires, tandis que le DPD se concentre sur la conformité des sous-traitants au RGPD. En collaborant sur l’évaluation des fournisseurs et la rédaction des contrats, le DSSI et le DPD peuvent s’assurer que les exigences en matière de sécurité et de protection des données sont respectées. Ensemble, ils doivent également définir les modalités de suivi de la conformité des prestataires dans le temps.
Planification de la réponse aux incidents
L’un des points de convergence les plus importants entre les missions du DSSI et du DPD concerne la gestion des incidents et des violations de données. Il est bien plus pertinent de clarifier les rôles avant qu’un incident ne survienne que de devoir improviser en situation de crise. Le DSSI et le DPD devraient élaborer conjointement un plan de réponse aux incidents couvrant à la fois les incidents de cybersécurité et les violations de données à caractère personnel. Il convient de définir à l’avance qui fait quoi : en général, le DSSI pilote le confinement technique, les analyses forensiques et la reprise des activités, tandis que le DPD évalue l’impact sur la vie privée et prend en charge, le cas échéant, les notifications de violation de données auprès de l’autorité de contrôle et/ou des personnes concernées. En résumé, lorsqu’une violation survient, l’organisation présente un front uni, en minimisant à la fois les impacts opérationnels et les risques de non-conformité.
Sensibilisation et formation
La culture de la sécurité et celle de la protection de la vie privée vont de pair. Les collaborateurs doivent recevoir un message cohérent : la protection des données est l’affaire de tous. Il est judicieux de lancer cette collaboration en unissant les efforts en matière de sensibilisation. Plutôt que de proposer des formations distinctes (l’une sur les bonnes pratiques de cybersécurité, l’autre sur le RGPD), il est préférable de concevoir des sessions ou des communications communes couvrant l’ensemble de ces sujets. Lorsque les équipes perçoivent une position unifiée entre le DSSI et le DPD, cela renforce l’importance de ces deux dimensions de la conformité. Par ailleurs, l’équipe du DSSI peut apporter au DPD une formation technique, tandis que le DPD peut initier l’équipe du DSSI aux bases du droit de la protection des données. La formation croisée des deux équipes constitue un levier puissant pour dépasser l’opposition « technique versus juridique » et favoriser une véritable coopération transversale.
Conseils & Bonnes pratiques
Voici quelques conseils et bonnes pratiques pour renforcer la collaboration entre le DPD et le DSSI :
- Participer aux mêmes instances de gouvernance : Mettez en place un conseil, un comité ou une équipe transversale « Protection des données et sécurité » qui se réunit régulièrement pour traiter des sujets liés à la sécurité et à la protection de la vie privée. Des réunions régulières permettent d’échanger sur les projets en cours, les risques émergents, les résultats d’audit et les évolutions réglementaires à venir. Les conclusions doivent être formalisées afin que les responsabilités soient partagées et clairement visibles.
- Définir des responsabilités claires : Prenez le temps d’identifier les zones de recouvrement et de distinction entre les responsabilités du DSSI et celles du DPD. Cela peut se faire en listant les processus clés (gestion des accès, réponse aux incidents, gestion des fournisseurs, etc.) et en précisant explicitement qui est responsable, qui contribue et qui doit être informé pour chacun d’eux (dans une logique de matrice RACI).
- Utiliser des outils et des référentiels documentaires partagés: Il peut s’agir d’un outil de GRC (gouvernance, gestion des risques et conformité), d’un tableau de gestion de projets commun ou encore d’un espace collaboratif tel que SharePoint pour les politiques et procédures.
- Coordonner les évaluations des risques et les audits : Faites de la réalisation conjointe des analyses de risques, des audits et des tests une pratique standard.
- Planifier des formations et des sessions de sensibilisation communes: Comme indiqué précédemment, l’unification des actions de sensibilisation est essentielle. Cela peut couvrir aussi bien les messages de haut niveau que le contenu détaillé des modules d’e-learning ou des ateliers.
- Aligner les indicateurs et la production de rapports: Afin de consolider la collaboration, le DSSI et le DPD devraient définir des indicateurs communs ou des KPI reflétant leurs objectifs respectifs.
