Dans quelle mesure ces deux acteurs devront-ils coopérer pour la conformité au Règlement général sur la protection des données (RGPD) ? Mathias Avocats vous en dit plus.
A compter du 25 mai 2018, le Règlement général sur la protection des données du 27 avril 2016 (règlement 2016/679 ou RGPD) entre en application. Il crée un nouvel acteur destiné à aider responsables de traitements et sous-traitants à respecter leurs obligations : le délégué à la protection des données (DPD), aussi connu sous l’appellation anglophone de Data protection officer (DPO). Toutefois, la conformité à la réglementation relative à la protection des données à caractère personnel nécessite l’implication d’un grand nombre d’acteurs au sein de chaque organisme. Plus précisément, le responsable de la sécurité des systèmes d’information, ou RSSI, est l’un des acteurs existants amené à intervenir quotidiennement dans le cadre de la protection des données à caractère personnel. Grâce à son expertise technique et sa supervision des systèmes d’information de l’organisme, il a en effet un rôle majeur dans la mise en conformité de son entité.
Le DPO, artisan de la conformité
La désignation d’un DPO sera obligatoire dans certains cas de figure. Dans les autres situations, désigner un DPO sera toutefois une bonne pratique. Les missions devant obligatoirement être confiées au DPO sont détaillées à l’article 39 paragraphe 1 du RGPD. Le DPO doit assister et conseiller son organisme sur les contraintes juridiques en matière de protection des données à caractère personnel. Il doit contrôler le respect au sein de l’organisme de la réglementation et des politiques internes relatives à la protection des données. Il est également chargé de sensibiliser, former et informer le personnel sur les questions de protection des données. Il doit de plus assister et conseiller l’organisme dans le cadre d’analyses d’impact relative à la protection des données. Enfin, il devra coopérer avec l’autorité de contrôle le cas échéant, y compris en faisant office de point de contact pour celle-ci pour toute question liée au traitement de données à caractère personnel.
D’autres missions pourront s’ajouter, selon les pratiques spécifiques à chaque organisme. En tout état de cause, le DPO devra être associé à toute question relative à la protection des données à caractère personnel (article 38§1). Le règlement exige qu’il soit désigné sur la base de ses qualités professionnelles, en ce compris ses connaissances spécialisées du droit et sa pratique de la protection des données à caractère personnel.
Cela signifie que le DPO n’aura pas nécessairement les connaissances techniques informatiques nécessaires pour déterminer les mesures techniques adéquates, ou pour saisir les implications techniques des moyens mis en œuvre dans le cadre du traitement de données à caractère personnel. Sur ces aspects, il sera amené à se tourner vers le RSSI, interlocuteur incontournable.
Le RSSI, expert technique incontournable
Le RSSI supervise la sécurité des systèmes d’information de son organisme. C’est lui qui est notamment chargé de mettre en place des processus pour assurer la sécurité, la disponibilité et l’intégrité du système d’information. Certaines de ses missions font écho à celles du DPO : lui aussi doit se charger de former et sensibiliser les collaborateurs, et s’assurer de l’application des règles internes à l’organisme. Ses missions s’exercent cependant dans le domaine informatique, domaine voisin mais distinct de celui de la protection des données à caractère personnel.
En tant qu’expert informatique, le RSSI a à connaître des modalités techniques d’un traitement de données à caractère personnel. Il est le plus à même de déterminer la faisabilité technique d’un traitement ou encore la sécurité des moyens mis en œuvre pour traiter les données à caractère personnel. Il contrôle le déroulement du traitement en supervisant les équipes opérationnelles.
Cette connaissance fine des aspects techniques du traitement de données à caractère personnel fera du RSSI un interlocuteur privilégié du DPO. Celui-ci sera à même d’avoir une vision claire et complète des traitements effectués par l’organisme, sans laquelle il ne lui serait par exemple pas possible d’établir une cartographie des traitements effectués par l’organisme.
Quelle synergie pour le DPO et le RSSI ?
A compter du 25 mai, le DPO et le RSSI devront cultiver une collaboration étroite, sans laquelle il sera difficile d’assurer la conformité de l’organisme.
Rappelons que le responsable du traitement comme le sous-traitant sont tenus de prendre des mesures techniques et organisationnelles visant à garantir la sécurité des données à caractère personnel (RGPD, article 32). Ces mesures de sécurité techniques et organisationnelles devront être définies, puis mises en œuvre, chaque étape devant être documentée dans le cadre de l’accountability (article 5§2). Le responsable du traitement doit en outre pouvoir démontrer, à tout moment, qu’il est en conformité avec la réglementation.
Le DPO, fort de sa vision d’ensemble de la politique de protection des données à caractère personnel, pourra contribuer à la définition de ces mesures organisationnelles en lien avec les équipes métier. Il ne saurait cependant définir des mesures techniques sans avoir recours à l’expertise du RSSI.
Les exemples de situations nécessitant de leur part une coopération ne manquent pas. Par exemple, il ne saurait relever des compétences du seul DPO de trancher sur le mode de chiffrement adopté pour les données, ou sur la technique de pseudonymisation ou d’anonymisation la plus à même de permettre à l’organisme d’être conforme au RGPD. Il aura nécessairement besoin des connaissances et de l’expérience du RSSI pour conseiller efficacement l’organisme sur les mesures appropriées.
De même, si une politique de gestion des accès informatiques doit être mise en place ou renforcée pour satisfaire aux exigences du RGPD ou d’une autorité de contrôle, cela ne pourra être fait qu’après rapprochement du DPO et du RSSI.
La marche à suivre en cas de violation de données doit également faire l’objet d’une réflexion commune. Le RGPD impose en son article 33 que le responsable du traitement notifie toute violation de données à caractère personnel à l’autorité de contrôle compétente sous 72h à compter de sa connaissance, sauf si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Pour assurer la conformité de l’organisme, un processus de gestion de crise spécifique aux violations de données devra être mis en place. Sur le plan technique, le RSSI sera a priori le premier au courant d’un incident de sécurité pouvant résulter en une violation de données. Il sera donc un acteur essentiel de la gestion de cette crise, car il devra s’assurer de l’application de mesures de remédiation à la violation, ainsi que de la remontée rapide et complète de toutes les informations pertinentes au DPO. Ce dernier sera alors en mesure de notifier l’autorité de contrôle voire, le cas échéant, les personnes concernées.