Bien que le Délégué à la protection des données (DPO) soit le seul acteur à désigner dans le cadre de la gouvernance RGPD, il n’est pas seul en charge de la protection des données personnelles. Le Responsable de la sécurité des systèmes d’information (RSSI) joue un rôle primordial dans l’instauration de la compliance strategy au sein de l’entreprise, et doit veiller à ne recourir qu’à des mesures adaptées pour garantir un niveau de sécurité adéquat des données. Certes, son rôle dépasse largement la protection des données personnelles puisque la sécurité concerne l’ensemble du système d’information. Mais les données personnelles en constituent une partie, et en tant que garant de la politique de sécurité de l’information, le RSSI contribue largement à garantir un usage conforme des données personnelles. La cybersécurité est d’ailleurs au cœur de la protection des données personnelles. Plusieurs raisons imposent dès lors une collaboration entre DPO et RSSI.
Pour sécuriser les données personnelles
Le rôle important que joue la sécurité dans la protection des données personnelles est présenté de façon claire dans le RGPD. L’article 32 dudit texte impose la mise en place de mesures techniques et organisationnelles. Tout organisme qui traite des données personnelles a ainsi l’obligation de sécuriser les données en implémentant des mesures appropriées pour assurer un niveau de sécurité suffisant. Cette obligation s’impose à tous les acteurs qui interviennent dans la chaîne de traitement des données personnelles, et est donc à la charge non seulement du responsable de traitement, mais également du sous-traitant.
Ce rôle est d’autant plus essentiel de nos jours où la plupart des traitements de données personnelles se font en recourant à l’informatique. Et du moment où ces techniques sont utilisées, la cybersécurité intervient pour protéger les données. La conformité à la règlementation sur les données personnelles ne peut dès lors être considérée comme étant optimale si les données personnelles ne sont pas en sécurité.
Pour assurer le respect des différentes obligations
La nécessité de collaboration entre DPO et RSSI transparaît dans plusieurs obligations du RGPD. Les actions à effectuer ne peuvent en effet être accomplies sans l’intervention du RSSI, voire de l’équipe sécurité. Il s’agit à titre d’exemple des exigences relatives à la violation des données nécessitant une appréciation du risque pour déterminer s’il existe un risque pour les droits et libertés des personnes et pour connaître son ampleur. Cette évaluation doit être effectuée en collaboration avec le RSSI, et il est important que cet acteur intervienne pour mettre en place les mesures adéquates afin de remédier au manquement de sécurité et réduire l’impact potentiel pour les personnes concernées. Un autre exemple concerne l’externalisation d’un service ou le recours à une nouvelle solution où l’analyse de la conformité du tiers au RGPD inclut également la vérification des mesures de sécurité mises en place.
Cette collaboration est également nécessaire lors de la réalisation de l’analyse d’impact sur la protection des données (PIA), dont notamment pour la partie qui concerne les mesures de sécurité et l’analyse du risque. Elle est aussi indispensable dans le cadre du respect des principes de protection dès la conception et par défaut, pour choisir les mesures adaptées et mettre en place un paramétrage convenable dès la création du produit. De même, l’accountability nécessite que la documentation sur la sécurité soit mise en place afin de démontrer le niveau de sécurité suffisant des données.
Pour éviter les cyberattaques
Les cyberattaques ont considérablement augmenté ces derniers temps et la collaboration entre DPO et RSSI permet de les éviter. En 2021, 5 037 violations de données ont été notifiées à la CNIL. Ceci représente une augmentation de +79 % par rapport à 2020. Ainsi, l’hôpital Corbeil-Essonnes a subi en août 2022 une cyberattaque qui a concerné près de 1,5 million de personnes, dont des patients et des agents de l’hôpital. L’assurance maladie a également connu une attaque en mars 2022 qui a permis à des personnes non autorisées de se connecter à des comptes de professionnels de santé, et cette violation a concerné les données personnelles d’environ 500 000 patients. La société Dedalus a aussi connu une fuite de données médicales en février 2021 de près de 500 000 personnes qui ont été diffusées sur internet en raison de l’absence de chiffrement de données personnelles sur le serveur et la non-imposition de l’authentification pour accéder à la zone publique du serveur. De même, la CNIL a été informée en septembre 2021 de la fuite de données de l’AP-HP concernant 1.4 million de personnes testées contre la Covid-19.
La plupart des données concernées par ces incidents sont considérées comme étant sensibles au sens du RGPD et de telles attaques peuvent entraîner des conséquences graves pour les personnes. Pour y échapper, des mesures de sécurité renforcées doivent être implémentées. Mettre en place l’ensemble des process nécessaires en application du RGPD et conclure les contrats incluant toutes les clauses imposées n’est en effet pas suffisant. Si des mesures de sécurité suffisantes n’ont pas été mises en œuvre, il y a non seulement risque d’attaques, mais aussi risque de sanctions.
Pour se prémunir contre les sanctions
La plupart des sanctions prononcées par la CNIL ces deux dernières années concernent des manquements aux obligations sur la sécurité des données personnelles. Sur les 10 dernières sanctions publiées par la CNIL au sujet de manquements à la règlementation sur les données personnelles, 5 au moins concernent des manquements à la sécurité des données. En effet, la société EDF a été sanctionnée pour entre autres l’absence de mise en place de mesures de sécurisation suffisantes. Les mots de passe d’accès à l’espace client du portail « prime énergie » étaient conservés de manière non sécurisée et ceux permettant d’accéder à l’espace client EDF étaient uniquement hachés, sans recours à des caractères aléatoires avant le hachage. De même pour la société Discord qui a été sanctionnée en raison du non-respect de plusieurs obligations du RGPD, dont l’obligation portant sur la sécurité des données personnelles. La politique de gestion des mots de passe a été considérée comme n’étant pas suffisamment robuste. D’autres sanctions prononcées en 2021 concernent également des manquements à l’obligation sur la sécurité des données, telles que celle de Slimpay ou encore de Free.
Ces exemples ne sont pas exhaustifs mais démontrent que la cybersécurité constitue un pilier de la conformité RGPD et une protection optimale des données personnelles ne peut être assurée sans une étroite collaboration entre DPO et le RSSI.
