Pour garantir le respect de la vie privée au sein de votre organisation, certains rôles doivent être définis au sein de votre organisation pour traiter cette question. Il s’agit notamment du CISO (chief information security officer) et du DPO (data protection officer). Quel est leur rôle et quelle est la différence entre ces deux fonctions ? Nous l’expliquons dans ce blog.
Qu’est-ce qu’un DPD ?
:
Le délégué à la protection des données (DPD) est la personne qui supervise l’application et le respect du GDPR au sein d’une organisation. Au sein de l’organisation pour laquelle il agit, le DPD veille à ce que les données à caractère personnel du personnel, des clients, des fournisseurs ou d’autres personnes (également appelées “personnes concernées”) soient traitées conformément aux règles applicables en matière de protection des données. Ce faisant, le DPD fait également office de premier point de contact pour l’Autorité de protection des données.
Le DPD fait partie intégrante de l’organisation, ce qui le place dans une position idéale pour garantir la conformité. Néanmoins, le DPD doit être en mesure d’exercer ses fonctions de manière indépendante.
Qu’est-ce qu’un RSSI ?
:
Le responsable de la sécurité de l’information (CISO) joue un rôle crucial dans la gestion de tous les processus opérationnels liés à la sécurité de l’information. Le RSSI sera responsable de la mise en œuvre de la politique de sécurité de l’information et de son suivi. Le RSSI coopère activement avec le conseil d’administration et l’organisation interne.
La personne occupant ce poste doit avoir des connaissances et une expérience dans le domaine de la sécurité de l’information, de l’analyse des risques et des techniques spécialisées de sécurité, ainsi qu’une connaissance de la législation et de la réglementation applicables.
En tant que leader technologique, le RSSI comprend comment les différents aspects de la sécurité sont liés aux systèmes, dispositifs et réseaux informatiques sur lesquels l’entreprise fonctionne et s’appuie.
Un RSSI applique son point de vue unique pour identifier les risques de sécurité et recommander des stratégies pour les gérer. Le RSSI peut également aborder des questions de sécurité complexes et les décrire dans un langage non technique afin que les dirigeants et les autres parties prenantes puissent comprendre les conséquences potentielles de ces problèmes.
Quelle est la différence entre un DPD et un RSSI ?
Le RSSI examinera toujours les risques existants et futurs d’un point de vue financier et opérationnel, tandis que le DPD examinera les mêmes risques d’un point de vue plus axé sur les consommateurs.
Le rôle du RSSI est de gérer les multiples fournisseurs d’une entreprise dans le cadre des réglementations strictes du GDPR. Cela peut s’avérer difficile car, dans presque toutes les entreprises, il y a des fournisseurs et des clients, et certains de ces clients peuvent également être des fournisseurs. Dans ce cas, le RSSI devra s’assurer qu’il dispose de tous les contrats couvrant l’ensemble de ces interactions. Il est donc très important de vérifier et de s’assurer que les fournisseurs de l’entreprise offrent le même niveau de sécurité et de protection des données que l’entreprise elle-même.
Le DPD n’examinera pas les risques pour l’entreprise, mais les risques et la perte d’informations personnelles identifiables pour les personnes concernées.
En outre, un certain nombre d’organisations sont tenues de désigner un DPD. Pour le RSSI, la nomination n’est jamais une obligation légale. La nomination d’un RSSI est un choix libre de l’organisation pour étoffer sa politique de sécurité de l’information.
Les deux fonctions sont-elles compatibles ?
Il est évident qu’il existe un lien entre les deux fonctions et un chevauchement entre les tâches et les responsabilités de chacune d’entre elles. Cela signifie-t-il que vous pouvez nommer la même personne en tant que DPD et RSSI au sein de votre entreprise ? Non, ces pratiques sont même interdites.
La principale différence entre les deux rôles, et la raison pour laquelle une même personne au sein d’une même entreprise ne peut pas remplir les deux rôles, est que le RSSI doit se concentrer sur la sécurité de toutes les informations précieuses de l’organisation, tandis que le DPD doit veiller au respect des réglementations en matière de protection de la vie privée et aider les entreprises à garantir un niveau de sécurité approprié pour les données à caractère personnel des personnes concernées.
L’un travaille donc dans l’intérêt de l’entreprise, tandis que l’autre travaille dans l’intérêt des parties prenantes.
Cela signifie également que le RSSI ne peut jamais être responsable en dernier ressort du respect de la vie privée. Cette responsabilité incombe à la direction d’une organisation. Il peut demander l’aide d’un DPD à cette fin, mais ce dernier doit toujours veiller à son indépendance. En raison de sa position indépendante, le DPD n’a donc jamais à rendre compte à la direction d’une entreprise, alors que le RSSI est tenu de le faire.
Conclusion
Étant donné qu’il est parfois difficile de gérer simultanément deux rôles, DPO associates comprend ces questions complexes et nos spécialistes peuvent fournir ces services directement à votre entreprise, en fonction de vos exigences et de vos besoins.
Contactez-nous dès aujourd’hui pour nommer votre CISO ou DPO.
