L’évolution de la fonction CIL vers la fonction DPO – Partie 2/2

Le point marqueur de ce type d’organisation en maturité moyenne est l’engagement relatif du Responsable du Traitement qui réduit la fonction du CIL à la communication interne et externe.

La réalisation d’actions effectives et opérationnelles de protection physique et logique en concertation avec les directions techniques est clairement sous-estimée ou retardée. En bref les actions sont concentrées sur la communication et peu dans les actions opérationnelles. Sans doute les actions effectives et concrètes corrélées à la protection de la vie privée font peur au Responsable du Traitement qui voit les principes de la protection plus comme des contraintes que comme des exigences. Il pressent ces contraintes comme allant à l’encontre des objectifs d’efficacité et performance.

La relation entre le CIL et le RSSI, s’il existe, est rarement fluide, surtout si le CIL a un profil technique faible ou une connaissance peu approfondie de la maîtrise des risques. Ils ont du mal à se comprendre, aussi dans ce cas le CIL se concentre essentiellement sur les actions de communication et de constitution du registre et du bilan.

5.3 Les organismes en maturité effective

Les CIL de ces organismes ont su alerter et surtout convaincre les Responsables de Traitement de mettre en place une gouvernance où chacun a un rôle déterminant à jouer, entre le Responsable du Traitement, les directions métiers, les utilisateurs, la Direction des systèmes d’information, le Responsable sécurité d’information et le CIL.

La ligne conductrice n’est plus la communication interne ou externe et la constitution d’un registre ou du bilan, mais la protection effective de la vie privée par la sécurité des traitements des données à caractère personnel.

L’approche est donc beaucoup plus structurante pour l’organisme. Il s’agit donc de définir :

– des textes de référence montrant l’engagement de la direction pour la protection de la vie privée, une politique de protection des données à caractère personnel plus particulièrement destinée aux directions métiers, une politique de sécurité système d’information destinée à la DSI ou sa transcription contextuelle dans un Plan d’Assurance Sécurité destinée à un sous-traitant ;

– les processus et les acteurs permettant aux directions métiers de définir par les directions les exigences juridiques et fonctionnelles liées à la sensibilité des traitements de données à caractère personnel et aux menaces et risques associés ;

– les règles opérationnelles structurées par la DSI ou le sous-traitant pour la mise en application des règles fonctionnelles définies par le RSSI ;

– les principes du contrôle réalisé par le RSSI pour audit de la mise en conformité opérationnelle du SI avec le Référentiel.

Il est important de noter l’absence de contrôle direct du CIL et donc de la difficulté à fournir une preuve de la mise en œuvre opérationnelle et effective de mesures concrètes pour la protection de la vie privée.

Les contrôles réalisés dans ces types de structure sont essentiellement des contrôles techniques réalisés par le RSSI sur le SI pour vérifier la bonne intégration des règles fonctionnelles du référentiel SSI, aussi les contrôles « informatique et libertés » de conformité juridique ou d’adéquation techniques au regard des évènements redoutés sont clairement sous-estimés.

Il est probable que le G29 a bien pris conscience de cette situation et va bien insister notamment dans le document Guidelines on Data Protection Officer du 13 décembre 2016 sur l’objectif de contrôle afin d’être en mesure de démontrer la sécurité effective des données à caractère personnel, la protection de la vie privée, le respect des droits de la personne concernée et la communication et la coopération avec l’autorité de contrôle (la CNIL pour la France), notamment en ce qui concerne la violation éventuelle de données à caractère personnel.

6. La désignation et les missions du DPO

La nouvelle règlementation européenne prévoit différents cas pour lesquels la désignation d’un DPO est obligatoire, article 37 :

  • le Traitement est effectué par une autorité publique ou un organisme public ;
  • les activités de base du Responsable du Traitement ou du Sous-Traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • il s’agit de traitement de catégories particulières (condamnations pénales et infractions et données de santé, convictions religieuses, vie ou orientation sexuelle, données biométriques, données génétiques, origine raciale ethnique, etc.).

À la différence du décret de 2005, le Règlement européen ne prévoit pas de conditions particulières quant à la désignation d’un DPO externe. En d’autres termes, une entreprise chargée de la mise en œuvre d’un traitement peut choisir de désigner un DPO externe.

Le Règlement précise que le Responsable du Traitement ou le sous-traitant (aucune mention dans le Décret) publie les coordonnées du DPO à l’autorité de contrôle.

La règlementation européenne prévoit que le DPO soit désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données.

Elle détaille la fonction du délégué à la protection des données à caractère personnel. Outre les points déjà abordés par le Décret de 2005 :

  • informer et conseiller le Responsable du Traitement ou le sous-traitant ;
  • contrôler le respect du Règlement Européen ;
  • dispenser sur demande des conseils relatifs à l’Étude d’impact sur la vie privée (EIVP) ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement.

Ainsi Il nous semble important de mettre en avant les points suivants :

  • la dispense de conseil en ce qui concerne l’EIVP ;
  • la coopération avec l’autorité de contrôle ;
  • faire office de point de contact aussi bien pour les personnes concernées, l’autorité de contrôle ou les sous-traitants ;
  • le contrôle du respect du Règlement européen ;
  • la capacité de démontrer la conformité au Règlement.

La différence fondamentale avec la mission du CIL réside dans la fonction de contrôle afin de pouvoir démontrer la conformité.

Il est donc clair que pour les organismes à maturité naissante ou moyenne, cette fonction n’est que très rarement mise en œuvre.

Les CIL étaient à l’aise pour réaliser des opérations de sensibilisation et de communication. Ces profils de CIL assurent partiellement les fonctions de conseil auprès des directions métiers, rencontrent beaucoup de difficultés pour participer aux EIVP et se sentent très rarement capables techniquement et humainement parlant de réaliser les fonctions de contrôle.

Par contre pour les organismes à forte maturité sécurité, le CIL devient une maîtrise d’ouvrage de sécurité :

  • exprimant des exigences juridiques de protection, des besoins fonctionnels de protection, des évènements redoutés ;
  • identifiant des sources de menaces et de risques ;
  • sous-traitant la fonction de contrôle des mesures techniques de sécurité par le RSSI.

Il faut souligner dans ce cas la nécessité de séparer la fonction CIL de celles du RSSI et du DSI afin d’éviter la confusion entre les fonctions de spécification, de mise en œuvre et de contrôle

7. Les deux interprétations possibles de la mission du DPO

7.1 La reconduction du CIL dans la fonction de DPO

C’est clairement la lecture la plus classique, courante et facile. Elle est rassurante, mais trompeuse, nous alertons le lecteur, que cette interprétation de la fonction de DPO ne peut être réduite qu’à un changement d’acronyme.

Effectivement, la nomination d’un DPO ne pourra être restreinte qu’aux actions de communications ou de gestion des demandes des personnes concernées, mais devra a minima permettre des actions structurantes de sécurité des traitements associés aux données à caractère personnel afin de limiter les risques redoutés et de protéger la vie privée des personnes concernées.

La lecture du point 74 de l’introduction du Règlement insiste clairement sur la nécessité de démontrer la sécurité : « il y a lieu d’instaurer la responsabilité du Responsable du Traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec, le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et les libertés des personnes physiques ».

La capacité de démontrer que les actions de protection sont en adéquation avec le contexte, les enjeux et les risques entraîne une nouvelle compréhension de la fonction de DPO.

Elle nécessite bien entendu la mise en place d’une gouvernance optimale entre les métiers et les maîtres d’œuvre de la protection.

La mise en place de cette gouvernance nécessitera avant tout une nouvelle communication de sensibilisation auprès du Responsable du Traitement.

L’exigence « de démontrer la sécurité » devient certes un levier extrêmement fort pour le RSSI pour récupérer des appuis et des ressources du Responsable du Traitement, mais restera un peu floue pour un grand nombre de DPO qui auraient compris le Règlement uniquement comme un changement d’acronyme de la fonction CIL.

L’organisation à mettre nécessitera une réponse à l’interrogation majeure : comment contrôler la protection effective et comment fournir la preuve de cette sécurité pour les personnes concernées, la vie privée et les autorités de contrôle afin d’assumer les responsabilités du Responsable du Traitement ou du sous-traitant ?

7.2 Le DPO, contrôleur de la mise en conformité

Comme évoqué plus haut, le G29 a formalisé dans le document « Guidelines on Data Protection Officer » le 13/12/2016 les exigences du contrôle afin de démontrer la conformité et c’est bien face à l’obligation de contrôle que cette deuxième lecture de la fonction de DPO, se caractérise.

Le DPO doit être bien plus qu’un CIL. Tout contrôle de conformité s’appuie sur le principe de séparation des devoirs et responsabilités. Il n’est pas possible de s’autocontrôler.

Les organismes matures en sécurité ont bien compris cette exigence dans le lien qui lie le RSSI et le maître d’œuvre, classiquement le DSI. Le RSSI formalise les règles fonctionnelles, le DSI ou le sous-traitant les intègre, ce qui permet au RSSI de contrôler puisque ce n’est pas lui qui les a intégrées. Il est intéressant de noter que ces organismes matures ont été contraints d’atteindre ces exigences de séparation des devoirs (expression de besoins, déclinaisons opérationnelles du besoin et contrôle de conformité) ont été réalisées suite à la formalisation de règlementations telles que Bâle 3, le Sarbanes Oaxley Act ou Solvency 2.

Or dans le contexte de la protection de la vie privée, la fonction de CIL était réduite pour l’essentiel à signer les demandes internes d’autorisation de traitement, alerter les directions métiers, à participer (dans le meilleur des cas) avec le fort appui du RSSI, conformément aux recommandations de la CIL, la méthode EIVP, à formaliser les mesures juridiques liées aux traitements à mettre en œuvre lors des EIVP.

Or, si les organismes matures en SSI ont su gérer la séparation des fonctions dans le SI :

  • les Chefs de projet utilisateur (CPU) représentent les métiers, responsables de l’expression des besoins de sécurité et de l’identification des évènements redoutés ;
  • les chefs de projet informatique (CPI) coresponsables avec les Chefs de projet utilisateur de l’identification des risques ;
  • les CPI sont responsables de la mise en œuvre des solutions techniques pour les réduire ;
  • le RSSI contrôlant la conformité de la solution avec la politique de sécurité système d’information de l’organisme ;
  • le Responsable du Traitement valide, voire homologue le SI, après avoir pris connaissance et acceptation des risques résiduels.

Le problème se pose de manière équivalente pour la protection de la vie privée dans le Règlement.

Le contrôle est fondamental afin de pouvoir fournir la preuve du principe de sécurité. Les organismes soucieux de cette problématique, donc matures en protection des données à caractère personnel, devront désigner un DPO dans une structure d’audit et de contrôle de conformité, interne ou externe.

On peut ainsi imaginer un CIL au sens classique qui met en œuvre avec le RSSI et le DSI ou le sous-traitant la protection de la vie privée et la sécurité des données personnelles et un DPO qui contrôle voire « certifie » afin d’être capable de fournir la preuve de la protection.

Encore une fois la fonction de DPO ne pourra être cumulée avec la fonction de DSI.

Il est important de souligner que les avocats ou les juristes qui se positionnent commercialement en futurs DPO externes sont particulièrement crédibles pour la mise en conformité et le contrôle des exigences juridiques (profondément réduites en termes de déclarations auprès de l’autorité de contrôle), notamment auprès des personnes concernées devront faire un effort réel pour fournir la même crédibilité pour les aspects fonctionnels et techniques de la sécurité notamment pour les EIVP.

Ainsi conformément aux points 2 et 3 de l’article 37 :

« 2 Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.

3 Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille ».

Il est particulièrement probable que les cabinets de conseil juridique se positionnent pour réaliser des missions de DPO orientées contrôle plus que mise en œuvre. Ils devront aussi acquérir la même crédibilité pour les contrôles techniques.

Il devient logique de se poser la question lors de la fusion de la fonction CIL historique classique avec la fusion de RSSI.

Le CIL « évangélisateur » de la protection de la vie privée et les CPU expriment des besoins, les CPI avec la DSI implémentent et intègrent les mesures et les solutions techniques. Le RSSI contrôle l’implémentation des solutions et le respect des politiques de sécurité. Le DPO contrôle l’efficacité de l’ensemble pour la protection de la vie privée et s’assure de la capacité de fournir des preuves de la conformité des mesures et de l’efficacité des solutions pour la protection de la vie privée.

Conclusion

Comme le Règlement européen le rappelle « afin de respecter tous les droits fondamentaux et d’observer les libertés et les principes reconnus par la Charte des droits fondamentaux de l’Union européenne, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des DCP, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et accéder à un tribunal impartial, et la diversité culturelle et religieuse » il est important d’insister sur les connaissances nécessaires spécialisées du droit et des pratiques en matière de protection des données, du DPO.

L’objectif, après la protection des droits de la personne concernée et la mise en conformité juridique est d’être en capacité de fournir la preuve de la protection des données à caractère personnel et des traitements associés.

Il est important de noter que le respect des Codes de conduite (aujourd’hui packs de conformité ou Binding Corporate Rules), la labellisation par exemple pour la gouvernance, puis la certification, sont des outils importants pour démontrer le respect des exigences juridiques.

La CNIL va certainement diffuser dans les 12 à 18 mois qui viennent de nouveaux codes de conduite et de nouvelles directives pour appliquer le règlement.

La mise en place d’un système de management ISO 27001 pour le périmètre des traitements de données à caractère personnel ou l’utilisation de produits certifiés ANSSI ou CNIL constituent d’autres outils pour être en mesure de démontrer une sécurité coordonnée, contrôlée puis optimisée.

La bonne réalisation de la mission de DPO devra nécessiter un plan d’action de sensibilisations juridiques et techniques auprès du Responsable du Traitement et de tout l’encadrement. Le message essentiel étant de gérer la séparation des fonctions de l’expression de besoins, de la déclinaison technique et du contrôle du respect des exigences afin de fournir la preuve de la conformité et de l’adéquation de la solution au contexte. Ce message étant compris (la fourniture des ressources au DPO par le Responsable du Traitement en dépend), la mission de DPO (interne ou externe) véritable certificateur au service du Responsable du Traitement pourra s’effectuer en harmonie avec les autres acteurs.

Denis VIROLE
Directeur des services d’Ageris Group – Gérant de Virole Conseil Formation

Retrouvez cet article (et bien d’autres) dans MISC n°90, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !

Laisser un commentaire