Page 34 - revue_N34_juillet_2021
P. 34
personnes concernées. Pour ce lyses de risques, quand le DPO balance d’enjeux opposés. Les
faire, il peut se référer aux bonnes s’intéresse à la protection des mesures de journalisation mises
pratiques en la matière, telles que données des personnes concer- en oeuvre dans les systèmes
relayées notamment dans la docu- nées. Il demeure évident que ces d’information en sont un exemple.
mentation de la Commission na- deux fonctions sont complémen- Celles-ci ont pour objectif d’assu-
tionale de l’informatique et des taires en matière de cybersécuri- rer une traçabilité des accès et
libertés (CNIL) , de l’ANSSI ou de té. Les actions de chacune d’elles des actions des utilisateurs des
3
4
l’Agence européenne de la cyber- oeuvrent à la définition, au systèmes d’information. Cette
sécurité (European Union Agency maintien voire au renforcement traçabilité permet de prévenir
for Cybersecurity – ENISA) . du niveau de sécurité de l’orga- les risques notamment en ma-
5
nisme et, en conséquence, des tière d’intégrité des données.
Le DPO trouve donc dans le do- données qu’il traite. En outre, Plus les enjeux de sécurité sont
maine de la cybersécurité un al- ces deux acteurs enrichissent élevés, plus la granularité de tra-
lié naturel en la fonction de Res- mutuellement leurs pratiques. À çabilité exigible doit être fine.
ponsable de la sécurité de l’infor- titre d’illustration, les constats Pour autant, les traces recueil-
mation (RSSI).
résultant des audits réalisés en lies constituent des données à
protection des données par le caractère personnel dans la me-
II. DPO et RSSI : un pas de DPO peuvent améliorer la vision sure où elles sont associées à
deux cadencé autour de la opérationnelle du RSSI, et inver- des utilisateurs identifiés. Le
cybersécurité sement. Pour autant, si le RSSI traitement de ces traces doit
s’intéresse uniquement à l’effi- donc respecter les grands prin-
Les missions respectives du DPO cacité des mesures de sécurité, cipes de la protection des don-
et du RSSI (responsable de la sé- le DPO va également s’intéresser nées, dont le principe de propor-
curité des systèmes d'informa- à leur proportionnalité, notam- tionnalité.
tion) sont assez proches, dès ment au moyen d’une analyse de
lors qu’elles consistent à con- leur nécessité et des mesures À cet égard, le RGPD souligne
seiller, contrôler et mettre en alternatives existantes. que : « Le traitement de données
place une documentation interne à caractère personnel dans la
associée à leur périmètre d’ac- III. Le DPO au coeur de la mesure strictement nécessaire et
tion. Si ces deux fonctions ren- proportionnée aux fins de garan-
voient à des domaines d’exper- mise en balance entre sé- tir la sécurité du réseau et des
tise voisins, il convient toutefois curité, proportionnalité et informations, c'est-à-dire la ca-
de les distinguer. libertés pacité d'un réseau ou d'un sys-
tème d'information de résister, à
Le RSSI s’assure de la sécurité de Dans la mesure où elle implique un niveau de confiance donné, à
tous types d’informations trai- de prendre en compte les droits et des événements accidentels ou à
tées dans les systèmes d’infor- libertés fondamentaux, la protec- des actions illégales ou malveil-
mations et s’attache ainsi à pro- tion des données personnelles lantes qui compromettent la dis-
téger tous les secrets manipulés suppose nécessairement de ponibilité, l'authenticité, l'inté-
au sein de son organisme. Le mettre en balance des intérêts grité et la confidentialité de don-
DPO se concentre sur la sécurité pouvant être divergents. Le RGPD nées à caractère personnel con-
des données à caractère person- précise ainsi que « (…) Le droit à
servées ou transmises, ainsi que
nel, périmètre d’activité égale- la protection des données à carac- la sécurité des services connexes
ment très étendu en raison de la tère personnel n'est pas un droit offerts ou rendus accessibles via
définition large de la notion de absolu ; il doit être considéré par
« données personnelles ». rapport à sa fonction dans la so- ces réseaux et systèmes, par des
6
autorités publiques, des équipes
ciété et être mis en balance avec
RSSI et DPO travaillent de con- d'intervention en cas d'urgence
cert mais ne partagent pas né- d'autres droits fondamentaux, informatique (CERT), des équipes
cessairement la même perspec- conformément au principe de pro- d'intervention en cas d'incidents
7
tive. Ainsi, le RSSI appréhende-t- portionnalité (…). » de sécurité informatique (CSIRT),
il les impacts pour la personne La cybersécurité ne fait pas ex- des fournisseurs de réseaux et
morale au moyen de ses ana- ception à cet exercice de mise en de services de communications
34
N 34– Juillet 2021
°
