Si avoir une connaissance juridique est indispensable à tout DPO, les connaissances de gestion de projets informatiques sont également importantes. Celles-ci permettent, par exemple, au DPO d’intégrer le Privacy by Design ou de pouvoir identifier les failles et les mesures de sécurité adéquates.
Bonne nouvelle, le RSSI n’a pas attendu la mise en place du RGPD pour définir des mesures de sécurité techniques et organisationnelles.
Parmi les projets qui ont sans doute été menés par le RSSI, nous pouvons citer :
- La gestion des accès logiques ou physiques au système d’information
- La cartographie des actifs du SI (applications, données, etc.)
- La gestion des incidents de sécurité et leur notification
- La conduite d’analyse de risque et la définition des besoins de sécurité au sein des projets informatiques
- La sensibilisation et la formation des salariés aux problématiques de sécurité
- Un processus d’audit et de contrôle de la bonne application de la PSSI de l’établissement
Au cours de cet article, nous allons illustrer dans quelle mesure ces travaux sont contribuent à des chantiers de conformité RGPD et comment le DPO peut les utiliser pour accélérer la mise en conformité au RGPD de son organisme.
Le travail du RSSI pour accélérer la construction du registre des activités de traitement
Le RGPD oblige les entreprises à renseigner au sein du registre des traitements un ensemble d’informations portant sur les données personnelles qu’elles manipulent. Notamment,
- Le type de données personnelles et leur niveau de sensibilité ;
- La manière dont elles les ont obtenues ;
- La manière dont elles sont conservées ;
- Leurs destinataires ;
Or, dans le cadre de la formalisation de la PSSI (Politique de Sécurité du Système d’Information) ou du SDSI (Schéma Directeur du Système d’Information) un travail cartographique est généralement mené par le RSSI et le DSI sur leur système d’information.
- Les cartographies fonctionnelles vont permettre au DPO de s’approprier rapidement les activités de l’entreprise.
- Les cartographies des actifs du SI vont permettre au DPO d’identifier les applications, les objets métiers u SI, les responsables de ces actifs et leurs utilisateurs.
Ces deux outils vont donc être des atouts majeurs pour aider le DPO à formaliser le registre des traitements.
Attention toutefois, le savoir ou les connaissances du RSSI ne sont pas suffisants pour constituer le registre. Pour finaliser le registre, les organismes doivent ensuite identifier les fondements juridiques qui les autorisent à collecter, stocker, traiter ou encore manipuler ces données.
C’est l’expertise et les compétences du DPO qui permettront de valider la licéité des traitements et des informations collectées.
Ainsi le travail de cartographique du RSSI et du DSI va clairement permettre d’accélérer le processus de construction du registre d’activités de traitement mais ne suffira pas à le finaliser. Un dialogue avec les directions métiers devra, dans tous les cas, avoir lieu.
Le travail du RSSI pour faciliter la formalisation d’un Politique de protection des données personnelles.
Dans notre précédent article, nous avons évoqué que le DPO, parmi ses missions, devait définir et s’assurer de la mise en place des mesures techniques et organisationnelles visant à garantir la sécurité des données personnelles. Ce qui se traduit le plus souvent par la formalisation d’une Politique de protection des données personnelles.
Or au sein de la PSSI, on retrouve un chapitre sur la sécurisation des actifs, celui-ci aborde :
- la démarche d’identification des actifs et de l’entité responsable,
- la démarche de classification des données sensible du patrimoine informationnel
- les règles de sécurité à appliquer en fonction de leur sensibilité :
Les données personnelles sont des actifs comme les autres. Le DPO va donc pouvoir profiter du travail du RSSI et des règles de sécurisations définies dans la PSSI.
Il arrive souvent que les règles définies dans la PSSI soient suffisantes et qu’aucun travail supplémentaire ne soit nécessaire.
Le Travail du RSSI pour organiser les PIA (AIPD)
L’autre avantage de la formalisation des mesures de sécurité au sein de la PSSI se retrouve au moment de la formalisation des Analyses d’Impact relatives à la Protection des Données (AIPD).
En effet, lors de la réalisation d’une AIPD, le DPO avec l’aide du RSSI doivent identifier les mesures existantes qui permettent de se prémunir des évènements redoutés, c’est-à-dire pour les données personnelles :
- la perte d’intégrité
- la perte de confidentialité
- la perte de disponibilité
Ils doivent ensuite qualifier la vraisemblance d’une menace au vu des mesures de sécurité mise en place.
Ainsi, la PSSI va permettre au DPO d’avoir une vision globale sur les mesures de sécurité et lui éviter le phénomène « de pêche à l’information » qui ralentit ou complexifie les analyses de risques.
Ce n’est pas tout, il est possible que le RSSI, au travers de ses contrôles et audits de sécurité, ait déjà réalisé les distinctions entre les mesures opérationnelles et celles qui ne l’étaient pas. L’AIPD qui découlera de la PSSI n’en sera donc que plus proche de la réalité et donc, plus pertinente.
Le travail du RSSI pour favoriser l’intégration du Privacy by Design
Dans son article 25, le RGPD met en avant le concept de la Privacy by Design. Là encore, les actions du RSSI vont permettre de remplir ces obligations.
Dans le cadre de la PSSI, il y a une rubrique « sur la sécurisation des développements » qui est justement faite pour couvrir ce point. La première règle que l’on y aborde est de « reconnaître la sécurité comme une fonction essentielle, et la prendre en compte dès la conception des projets ».
On retrouve dans ce chapitre des règles pour exprimer ou évaluer ces besoins selon les critères de disponibilité, d’intégrité, de confidentialité et de traçabilité. On y explique quelles règles appliquées dans la gestion du stockage des données, dans le développement d’application (IHM, échange entre poste client/serveur), les règles de validation des développements, les règles de conservation des logs, etc.
Il conviendra de compléter ce chapitre d’autres règles pour les projets manipulant des données personnelles (par exemple l’anonymisation des données pour les environnements de développement, de formation ou de recette, le chiffrement des données en base sans pour autant détruire les performances). Ainsi si la PSSI formalisée par le RSSI aborde bien le chapitre de la sécurisation des développements, la conformité de l’établissement à l’article 25 est grandement engagée.
Le travail du RSSI pour accélérer la formalisation du processus de gestion des violations de données.
Un autre domaine pour lequel le RSSI va pouvoir accélérer la démarche de mise en conformité est celui qui consiste à s’assurer que l’entreprise est prête à faire face aux violations de données. C’est-à-dire à s’assurer que l’entreprise est en mesure de détecter une violation de données, d’en limiter les impacts, et d’informer les individus et les autorités de contrôles comme l’exige le RGPD.
Le RSSI doit avoir mis en place dans la cadre de sa PSSI un processus d’escalade en cas de détection d’incident de sécurité. Celui-ci doit aboutir, en fonction de la gravité de la violation, à une cellule de crise. Pour le DPO, Il convient de compléter ce processus d’une proche afin qu’il soit informé et puisse gérer les notifications.
Pour rappel, le délai de notification de l’autorité de contrôle est fixé à 72h à compter de la prise de connaissance de l’incident. L’expertise du RSSI de ce type de situation peut s’avérer un vrai bénéfice pour le DPO.
Le travail du RSSI pour réduire la charge de travail sur les contrats avec les sous-traitants
La revue des contrats des sous-traitants est un chantier titanesque du projet de mise en conformité.
Retrouver les contrats, les différents avenants et s’assurer que des clauses permettent de couvrir les aspects de sécurité et de protection des données prend beaucoup de temps et de charge aux équipes. D’ailleurs, bon nombre de DPO proposent de définir des clauses standards et d’attendre le renouvellement des contrats pour les inclure au lieu de faire cette revue de contrats.
Gardons tout de même à l’esprit que la revue des contrats permet de clarifier et délimiter les obligations des différents partenaires. Elle est donc importante dans le cadre de l’identification des risques de non-conformité qui pèsent sur l’entreprise.
Sur ce sujet là encore, votre RSSI peut déjà avoir mis en place des clauses au sein des contrats pour permettre de valider que les fournisseurs prennent sérieusement en compte les problématiques de sécurité.
Il est donc possible que vos sous-traitants, ou du moins une partie d’entre eux, répondent déjà aux exigences de l’article 28 et, de surcroît à celles de l’article 32.
En termes de clauses contractuelles, certains RSSI ont formalisé des exigences de sécurité standardisées à intégrer au contrat des sous-traitants.
- des clauses de confidentialité sur les données manipulées.
- des clauses d’audit pour conduire ou mener ses propres contrôles de sécurité.
- des clauses d’attestations régulières de tests d’intrusion
- des preuves du suivi des vulnérabilités des environnements sous-traités.
Si le RSSI a déjà mis en place ce genre d’action, le DPO pourra lors de sa démarche de révision des contrats s’assurer que les clauses sont suffisantes pour couvrir la protection des données personnelles.
Le travail du RSSI pour favoriser la sensibilisation des salariés à la protection des données personnelles.
Le RSSI et le DPO doivent se charger de former et sensibiliser les collaborateurs, et s’assurer de l’application des règles internes à l’organisme. Il est probable que le RSSI ait déjà mis en place des canaux de communication :
- des sessions de sensibilisation aux jeunes arrivants (nouveaux embauchés) ;
- des journées de sensibilisation ;
- des informations sur le site intranet ou une FAQ disponible sur plusieurs supports internes ;
- une plateforme d’e-learning.
Dans l’hypothèse où le RSSI a mis en place ces dispositifs, le DPO pourra également les utiliser pour réaliser ses propres communications ou compléter les discours liés à la sécurité des données.
Avec Adequacy les DPO peuvent aller encore plus loin dans la capitalisation des travaux réalisés par le RSSI.