Contribution #20 — Un DPO seul est un DPO en danger

Philippe Gabillault
9 min readJun 26, 2019

--

Un DPO seul ne va pas disposer de la compétence technique nécessaire pour pouvoir expliquer à l’autorité en cas de contrôle, les dysfonctionnements qui ont été rencontrés. Il sera incapable d’agir et en plus il ne sera pas crédible ni pour le management de l’organisation ni pour l’autorité. Le DPO et le RSSI sont non seulement complémentaires mais ils sont aussi les seuls à disposer de la compétence juridique et technique à même de protéger et de valoriser durablement l’organisation.

Une interview en mode “Fast & Curious”, à retrouver sur le blog de SEALD et dans son intégralité ci-dessous.

Retrouvez ci-dessous le transcript complet, en complément de celui mis en ligne sur le blog de SEALD. L’entretien s’est déroulé dans les locaux de la société SEALD, sous la conduite de Stephan Altmuller et de Maxime Huber.

Bonjour Philippe, je suis ravi de vous accueillir aujourd’hui dans nos locaux pour développer une thématique qui nous tient particulièrement à cœur : la collaboration si vitale entre le DPO et le RSSI. Nous la développons d’ailleurs régulièrement dans le cadre de petits-déjeuners et afterworks.

Avant toute chose, pouvez-vous vous présenter en quelques mots ?

UN JURISTE ET UN DPO AYANT PASSÉ 26 ANNÉES DANS UNE ENTREPRISE INTERNATIONALE, QUI PROPOSE DÉSORMAIS SON EXPERTISE AUX DIFFÉRENTES ORGANISATIONS

Après 26 années passées à la Direction Juridique de CARREFOUR, avoir mis en œuvre dans six pays de l’Union Européenne le programme de conformité au RGPD et été désigné DPO France et Groupe de Carrefour, j’ai décidé en octobre 2018 de quitter CARREFOUR pour créer ma propre structure, que j’ai appelé, TOLTEC, en hommage à la culture méso-américaine et aux accords qui la régissait, il y a plus de mille ans.

Avec TOLTEC, nous intervenons comme Conseil d’Entreprises et proposons notamment notre expertise en matière de Protection des Données.

Vous qui l’avez été et continuez à l’être de manière externalisée, pouvez-vous nous décrire ce qu’est un DPO ?

LE DPO EST UNE FONCTION RÉGLEMENTÉE, QUI NÉCESSITE DES COMPÉTENCES DIFFÉRENTES ET COMPLÉMENTAIRES

Il doit intégrer trois compétences différentes et complémentaires, celles de juriste, de technicien des systèmes d’Information et d’expert opérationnel.

Si dans la majorité des cas, il est issu d’une formation juridique, il doit être à même de comprendre les technologies de l’information et les problématiques opérationnelles de l’organisation.

“POLYGLOTTE”

Il doit parler et comprendre plusieurs “langages”:

  • Dire le droit aux différentes fonctions de l’organisation
  • S’exprimer et rendre compte devant l’autorité de régulation (CNIL)
  • Comprendre les différents langages de l’organisation Technologies, Finances & Opérationnels
  • Comprendre l’anglais pour avoir une vision et une veille pertinente sur les publications et communications des grands acteurs, des autorités européennes et les développements technologiques.

CHEF D’ORCHESTRE

Il informe, conseille et contrôle en interne. Il est obligatoire dans un organisme public ou une entreprise dont l’activité de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle.

Même si l’organisation n’est pas dans l’obligation de désigner un DPO, je recommande de désigner un “Garant DATA PRIVACY” disposant de relais internes, chargé de s’assurer de la mise en conformité réglementaire.

Et que fait le RSSI de son côté ?

LE RSSI EST UNE FONCTION INDISPENSABLE, QUI IRRITE LA MAJORITÉ DES COLLABORATEURS PAR LES CONTRAINTES QU’IL IMPOSE, ET DONT LE RATTACHEMENT HIÉRARCHIQUE LIMITE LA LIBERTÉ D’ACTIONS

Souvent rattaché à la DSI, il est un peu le garde du corps de l’informatique. Il connaît par coeur l’architecture des SI de son organisation, en détecte les potentielles vulnérabilités, et s’assure qu’ils sont aussi sécurisés que l’état de l’art le permet.

Très à l’écoute de l’ANSSI, le RSSI est par nature le plus souvent occupé à mettre en place des actions proactives, le réactif étant pour lui (et sa direction) le signe d’un échec. C’est lui qui, par exemple, va forcer ses collaborateurs à changer leurs mots de passe applicatifs tous les mois, s’assurant au passage qu’un mot de passe n’est utilisé qu’une fois, et pour un seul service.

Toutes ces actions menées pour le bien de tous les collaborateurs, mais qui ont le don d’irriter la majorité qui ne se rend pas compte des risques.

Pourquoi ce binôme DPO x RSSI est-il si important ?

UN BINÔME EXPERT POUR CONSTRUIRE LE “BOUCLIER” , QUI SERA UNE PROTECTION MAIS AUSSI UNE ARME POUR L’ORGANISATION

Les problématiques techniques et juridiques sont et seront de plus en plus complexes, seuls un DPO et un RSSI synergiques pourront construire le “BOUCLIER”, dont chaque organisation a besoin pour assurer sa protection, sa pérennité et sa valorisation durable de l’organisation.

Pour illustrer, je vais prendre un exemple qui devrait parler au plus grand nombre, le BOUCLIER de Captain America, personnage des “Avengers”. Captain America n’existe pas sans son BOUCLIER quasi indestructible. un BOUCLIER composé d’un “ALLIAGE” d’acier et du fictif “vibranium”, qu’il utilise comme une protection ainsi que comme une arme.

Aucune organisation ne peut se prétendre à l’abri d’une attaque virale ou d’une faille de sécurité, pour cela chaque organisation se doit de construire son propre BOUCLIER et trouver le bon ALLIAGE.

En cas d’attaque, chaque organisation devra rendre compte à de nombreuses parties prenantes : ses utilisateurs, ses usagers, ses clients, l’autorité, ses actionnaires, sans oublier ses assureurs.

En cas d’attaque si l’organisation n’a rien fait et n’est pas en mesure de démontrer ses actions, l’organisation sera confrontée à une forme de “comparution immédiate” vis à vis de l’opinion avant même le prononcé d’une décision de justice, à l’exemple de l’attaque de ransomware qui a bloqué la ville de Baltimore aux Etats Unis pendant plusieurs jours.

https://www.informatiquenews.fr/une-attaque-de-ransomware-bloque-la-ville-de-baltimore-62062

Pour construire son BOUCLIER, elle aura besoin des compétences réglementaires et techniques, incarnées par le DPO et le RSSI, qui sont non seulement les seuls à même de formaliser les tenants et aboutissants des cadres techniques et réglementaires, mais plus encore à être crédibles vis à vis des équipes opérationnelles et du management.

Qu’est ce qui fait que leur collaboration est plus que jamais d’actualité ?

L’IMPACT SYSTÈMES D’INFORMATION DU RGPD, PARTIE IMMERGÉE, A ÉTÉ PEU TRAITÉ JUSQUE LÀ, AU PROFIT DE LA PARTIE VISIBLE

Plus préoccupées par la partie visible (Conditions Générales d’Utilisation, collecte du consentement, registre des traitements, …) par les utilisateurs, les clients et l’autorité, l’impact Systèmes d’Information du RGPD et notamment le “Privacy by Design” a été souvent appréhendé de manière secondaire dans la mise en conformité des organisations.

L’augmentation constante, voire exponentielle, de la quantité de données collectées, le résultat des études d’impact et des contrôles de conformité, mais surtout les solutions développées par les organisations concurrentes vont rendre nécessaire et urgent une refonte en profondeur de nombreuses applications.

Finalement, que peut faire un DPO seul ?

UN DPO SEUL EST UN DPO EN DANGER, QUI VA METTRE L’ORGANISATION EN DANGER

IL EST EN DANGER : le DPO ne disposera pas de la compétence technique et plus particulièrement des détails de l’architecture technique. Il devra rendre des comptes à l’autorité, rédiger un rapport annuel sans disposer des tenants et des aboutissants.

IL METTRA L’ORGANISATION EN DANGER : En conséquence, le BOUCLIER ne sera pas efficace, il aura été construit par l’IT et le RSSI seuls, sans impliquer le DPO, qui bien évidemment n’est techniquement pas en mesure de le construire seul, à moins qu’il ne soit à la fois RSSI et DPO…

IL SERA INCAPABLE D’AGIR : même s’il dispose du soutien du management et des équipes opérationnelles, il devra se contenter d’incantations sans fondements techniques.

IL SERA PEU CRÉDIBLE dans l’organisation et ne pourra assurer sa mission. Dans ce cas de figure, qui je l’espère est rare, je ne peux que lui conseiller s’il est DPO interne de changer de fonction dans l’organisation ou de m’appeler. En tant que DPO externe, si je me retrouve dans une telle situation, je cesserai la collaboration au plus vite pour ne pas engager la responsabilité civile de mon entreprise.

On voit de plus en plus certaines personnes cumuler les fonctions de DPO et RSSI, qu’en pensez-vous ?

POSSIBLE MAIS PAS SOUHAITABLE DE CUMULER LES FONCTIONS DPO ET RSSI

POSSIBLE : car rien ne l’interdit dans la réglementation, le cumul est souvent guidé par une contrainte économique que je comprends, il est difficile de demander à une PME, une ETI ou une association de recruter deux personnes distinctes.

PAS SOUHAITABLE POUR DEUX RAISONS : D’une part, il est rare que le DPO dispose des compétences techniques et/ou que le RSSI dispose des compétences juridiques. D’autre part, il faut éviter que l’un ou l’autre soit juge et partie. Leur responsabilité vis à vis de l’autorité est différente, et je recommande un rattachement hiérarchique conformément aux règles traditionnelles de la conformité, déjà appliquées dans les établissements réglementés depuis de nombreuses années, qui sépare les fonctions opérationnelles et les fonctions dites du Contrôle Interne.

On parle ici beaucoup des DPO et RSSI qui sont des postes emblématiques de ces sujets, mais qui dans les faits existent surtout dans les grandes entreprises. Les enjeux sont-ils les mêmes pour les plus petites structures ?

DES ENJEUX À NE PAS NÉGLIGER

Si les grandes entreprises l’ont désormais intégré dans leur quotidien, de nombreux dirigeants de PME, ETI, Associations, après le passage de la date du 25 mai 2018, ne consacrent plus qu’une bande passante limitée à la conformité RGPD, considérant à tort et à raison que la CNIL a d’autres priorités que de s’occuper d’eux.

Le message que je souhaite transmettre aux PME, ETI et Associations est de ne pas négliger ses enjeux. En effet, demain plus encore qu’aujourd’hui elles vont utiliser davantage de données, que celles-ci soient personnelles ou non, qui feront l’objet de davantage de régulation.

Si elles ne peuvent recruter faute de moyens financiers, elles doivent envisager la nomination en interne d’un RSSI, d’un DPO ou d’un “Garant Data Privacy” et/ou l’externalisation de tout ou partie des services du DPO ou du RSSI combinée à un rattachement hiérarchique distinct du DPO et du RSSI doit être mise en oeuvre sans tarder.

Quelles seraient vos conseils pour traiter efficacement le sujet de la conformité RGPD, quels que soit la taille et le secteur d’une entreprise ?

DISPOSER D’UNE VISION STRATÉGIQUE À LONG TERME

La première question que je pose à mes clients en débutant une mission “Data Privacy” est :Quelle est la vision stratégique à long terme de votre organisation et quelle y est la place des données ?”

Dans ma pratique, je constate que beaucoup d’organisations sont plus focalisées sur le court terme que le long terme, de ce fait, elle laisse de côté la vision à long terme, qui vont leur permettre de se protéger et de se valoriser durablement.

Qu’est-ce qu’une Vision stratégique à long terme ? Ce n’est pas simplement une vision données personnelles ou sécurité des systèmes d’information, c’est une vision de ce que sera l’organisation dans trois ans, quelle est son ambition ? Cette vision peut tenir en quelques lignes voire en une phrase, mais elle doit pouvoir être comprise par tous, car toutes les actions et investissements de l’entreprise vont en découler.

En sachant qu’aujourd’hui, je ne connais aucune organisation qui ne traite pas de données, en partant de la vision stratégique, il faut ensuite analyser la place des données et des systèmes d’information dans cette vision, et construire le “ bouclier” de l’organisation.

RESTER SIMPLE ET COMPREHENSIBLE

Ce qui se conçoit bien s’énonce clairement. Eviter les usines à gaz, dont la maintenance sera coûteuse et difficile. Éviter d’être dépendant d’un collaborateur ou d’un prestataire, afin de permettre une substitution fluide de celui-ci le cas échéant.

ÊTRE RÉALISTE ET FAIRE EN FONCTION DE CES MOYENS

Rêver c’est bien, mais le retour au réel est parfois douloureux. Ne jamais oublier que ce n’est pas parce que Google et Amazon le font que vous pourrez le faire en quelques clics et à moindre coût.

En conclusion, que diriez-vous pour encourager la collaboration entre les DPO et RSSI ?

IL N’Y A PAS D’ALTERNATIVES CRÉDIBLES POSSIBLES

Le DPO et le RSSI sont deux fonctions cousines et complémentaires, je suis convaincu qu’il n’y a pas d’alternatives crédibles possibles si l’on souhaite protéger, sécuriser et valoriser durablement une organisation.

Des DPO et RSSI complémentaires et synergiques seront capables de :

  • transformer une obligation en opportunité
  • améliorer durablement l’efficacité et la valorisation de l’organisation
  • disposer d’un avantage concurrentiel

--

--

Philippe Gabillault

Co Founder CITIZEN SHIELD | President & Founder TOLTEC | Legal, Compliance & Data Protection | DPO CIPP/E IAPP