La protection des données personnelles depuis l’avènement du RGPD
Depuis l'avènement du RGPD, les organisations gèrent la protection des données personnelles avec une approche souvent disparate et peu harmonisée. Les pratiques varient considérablement d'une structure à l'autre, ce qui entraîne des incohérences et une absence de protection concrète des données personnelles des individus, démontrée par le montant très important des sanctions imposés par les autorités de protection des données en Europe (2,8M€).
Les conséquences néfastes de ces pratiques sont multiples. Les entreprises sont confrontées à des risques accrus en matière de sécurité des données, d'atteintes à la vie privée et de confiance des consommateurs. De plus, la complexité des réglementations en matière de sécurité informatique et de protection des données personnelles rend difficile la mise en place d'un cadre cohérent pour la protection des données. Néanmoins depuis ces 5 années, les entreprises ont été contraintes de revoir leurs pratiques de protection des données et d'adopter une approche plus responsable et transparente. Cette transition a été facilitée par la collaboration entre les délégués à la protection des données (DPO) et les métiers de la donnée, dont en particulier les responsables de la sécurité des systèmes d'information (RSSI).
L’importance d’une bonne collaboration entre DPO et RSSI
En effet, les DPO apportent leur expertise en matière de protection des données, de respect de la vie privée et de conformité réglementaire. Ils sont chargés de garantir que les traitements des données sont effectués dans le respect des droits des individus et des obligations légales. Les RSSI, quant à eux, sont responsables de la sécurité des systèmes d'information et de la prévention des incidents de sécurité.
La sécurité informatique est un des piliers du RGPD. Même si les DPO et les RSSI des domaines de spécialités différentes, en pratique, il leur incombe à tous les deux de vérifier que les mesures de sécurité adéquates sont mis en place sur les traitements de données. Ils ont donc un objectif commun : en travaillant ensemble, ceux-ci peuvent créer un environnement favorable à la protection des données, renforcer la sécurité des systèmes, minimiser les risques et améliorer la conformité aux réglementations. Cette collaboration permet une approche holistique de la protection des données, intégrant à la fois les aspects juridiques et techniques.
Des axes d’améliorations pour les organisations
Cependant, malgré tous ces efforts, les DPO et RSSI ne sont encore que très peu à travailler ensemble de façon satisfaisante. Ainsi, la moitié des RSSI ne considèrent pas qu’ils sont complémentaires au DPO. Il ressort que cette collaboration existante, mais souvent de qualité moyenne, est principalement dû à une gouvernance souvent balbutiante des organisations en interne. Trop de silos demeurent encore entre les équipes DPO et SSI, autant d’un point de vue organisationnel ou technique. Au-delà des bonnes volontés, l’absence d’organisation, de processus continu, d’outil et parfois de moyens empêchent la pérennisation des travaux accomplis et met en péril les résultats de conformité déjà obtenus. Or sans terrain favorable, les organisations sont condamnées à l’échec dans leurs efforts de protection des données.
Pour apporter des solutions efficaces et pallier à ce problème, le livre blanc met en évidence 6 axes de travail pour aider les organisations à s’organiser et propose des recommandations pratiques pour établir une collaboration efficace entre les DPO et les RSSI. En particulier, 6 axes d’améliorations concrets sont dégagés et documentés pour aider les DPO et RSSI à renforcer progressivement la qualité de leur collaboration :
1. Constituer et maintenir à jour le registre des traitements SSI
2. Documenter les mesures de sécurité de tous les traitements
3. Réaliser l’étude des risques sur la sécurité des données dans les analyses d’impact sur la vie privée
4. Constituer et maintenir le registre des violations de données
5. S’assurer de l’application des principes de privacy by design & by default dans les projets
6. Piloter, superviser et contrôler les risques
Pour plus d'informations sur comment mettre en place concrètement ces axes d’amélioration dans votre organisation, consultez le livre blanc "DPO et RSSI, comment collaborer ensemble ?”.
Nos souhaits pour les DPO et les RSSI sur les 5 prochaines années
Alors, que souhaiter aux DPO et RSSI pour les 5 années à venir ? Nous souhaitons simplement que ceux-ci deviennent les meilleurs amis, et soient les premiers à s’appeler sur les questions de protection des données. D’autant qu’à l’avenir, les nouvelles règlementations en cours sur la sécurité de l’information tels que NIS2 s’approcheront du niveau d’exigence du RGPD, voire le dépasseront. Ainsi, comme l’a dit Emmanuel Naëgelen le directeur général adjoint de l’ANSSI à l’Université des DPO 2023 organisé par l’AFCDP, « les « RSSI et les DPO seront enfin dans le même bateau et auront sacrément intérêt à se serrer les coudes » !
Depuis l'avènement du RGPD, les organisations gèrent la protection des données personnelles avec une approche souvent disparate et peu harmonisée. Les pratiques varient considérablement d'une structure à l'autre, ce qui entraîne des incohérences et une absence de protection concrète des données personnelles des individus, démontrée par le montant très important des sanctions imposés par les autorités de protection des données en Europe (2,8M€).
Les conséquences néfastes de ces pratiques sont multiples. Les entreprises sont confrontées à des risques accrus en matière de sécurité des données, d'atteintes à la vie privée et de confiance des consommateurs. De plus, la complexité des réglementations en matière de sécurité informatique et de protection des données personnelles rend difficile la mise en place d'un cadre cohérent pour la protection des données. Néanmoins depuis ces 5 années, les entreprises ont été contraintes de revoir leurs pratiques de protection des données et d'adopter une approche plus responsable et transparente. Cette transition a été facilitée par la collaboration entre les délégués à la protection des données (DPO) et les métiers de la donnée, dont en particulier les responsables de la sécurité des systèmes d'information (RSSI).
L’importance d’une bonne collaboration entre DPO et RSSI
En effet, les DPO apportent leur expertise en matière de protection des données, de respect de la vie privée et de conformité réglementaire. Ils sont chargés de garantir que les traitements des données sont effectués dans le respect des droits des individus et des obligations légales. Les RSSI, quant à eux, sont responsables de la sécurité des systèmes d'information et de la prévention des incidents de sécurité.
La sécurité informatique est un des piliers du RGPD. Même si les DPO et les RSSI des domaines de spécialités différentes, en pratique, il leur incombe à tous les deux de vérifier que les mesures de sécurité adéquates sont mis en place sur les traitements de données. Ils ont donc un objectif commun : en travaillant ensemble, ceux-ci peuvent créer un environnement favorable à la protection des données, renforcer la sécurité des systèmes, minimiser les risques et améliorer la conformité aux réglementations. Cette collaboration permet une approche holistique de la protection des données, intégrant à la fois les aspects juridiques et techniques.
Des axes d’améliorations pour les organisations
Cependant, malgré tous ces efforts, les DPO et RSSI ne sont encore que très peu à travailler ensemble de façon satisfaisante. Ainsi, la moitié des RSSI ne considèrent pas qu’ils sont complémentaires au DPO. Il ressort que cette collaboration existante, mais souvent de qualité moyenne, est principalement dû à une gouvernance souvent balbutiante des organisations en interne. Trop de silos demeurent encore entre les équipes DPO et SSI, autant d’un point de vue organisationnel ou technique. Au-delà des bonnes volontés, l’absence d’organisation, de processus continu, d’outil et parfois de moyens empêchent la pérennisation des travaux accomplis et met en péril les résultats de conformité déjà obtenus. Or sans terrain favorable, les organisations sont condamnées à l’échec dans leurs efforts de protection des données.
Pour apporter des solutions efficaces et pallier à ce problème, le livre blanc met en évidence 6 axes de travail pour aider les organisations à s’organiser et propose des recommandations pratiques pour établir une collaboration efficace entre les DPO et les RSSI. En particulier, 6 axes d’améliorations concrets sont dégagés et documentés pour aider les DPO et RSSI à renforcer progressivement la qualité de leur collaboration :
1. Constituer et maintenir à jour le registre des traitements SSI
2. Documenter les mesures de sécurité de tous les traitements
3. Réaliser l’étude des risques sur la sécurité des données dans les analyses d’impact sur la vie privée
4. Constituer et maintenir le registre des violations de données
5. S’assurer de l’application des principes de privacy by design & by default dans les projets
6. Piloter, superviser et contrôler les risques
Pour plus d'informations sur comment mettre en place concrètement ces axes d’amélioration dans votre organisation, consultez le livre blanc "DPO et RSSI, comment collaborer ensemble ?”.
Nos souhaits pour les DPO et les RSSI sur les 5 prochaines années
Alors, que souhaiter aux DPO et RSSI pour les 5 années à venir ? Nous souhaitons simplement que ceux-ci deviennent les meilleurs amis, et soient les premiers à s’appeler sur les questions de protection des données. D’autant qu’à l’avenir, les nouvelles règlementations en cours sur la sécurité de l’information tels que NIS2 s’approcheront du niveau d’exigence du RGPD, voire le dépasseront. Ainsi, comme l’a dit Emmanuel Naëgelen le directeur général adjoint de l’ANSSI à l’Université des DPO 2023 organisé par l’AFCDP, « les « RSSI et les DPO seront enfin dans le même bateau et auront sacrément intérêt à se serrer les coudes » !