Le Correspondant Informatique et Liberté, nouveau venu dans le paysage de l’entreprise, doit encore trouver sa place. Et il doit notamment se positionner vis-à-vis du responsable de la sécurité des systèmes d’information (RSSI), qui pouvait jusqu’à présent considérer la protection des données nominatives comme étant de son ressort. RSSI et CIL seront-ils des amis ou des ennemis en puissance ? C’était le sujet du sixième petit-déjeuner thématique organisé par SecurityVibes, avec la participation de Bruno Rasle, membre SecurityVibes et (surtout !) Délégué général de l’AFCDP, l’association Française des CIL.

Ces deux professionnels ont beaucoup en commun, ce qui devrait contribuer à les rapprocher. Ils luttent, par exemple, pour être mieux impliqués dans les projets en amont, pour sensibiliser leurs utilisateurs, pour faire appliquer chartes et décisions et même pour valoriser leurs actions, généralement peu visibles. Pire : lorsque tout va bien tous deux sont parfois considérés comme improductifs (un « centre de coût ») ou comme des empecheurs de travailler. Enfin, CIL et RSSI occupent tous deux des fonctions très transversales : de le Direction Générale aux métiers en passant par la IT ou le juridique, leur rôle les amène à cotoyer tous les rouages de l’entreprise.

La position du CIL dans l’entreprise, précisée par décret, semble touteois plus confortable que celle du RSSI : il est directement rattaché au dirigeant (le « responsable de traitement ») et il n’a qu’un rôle consultatif : il conseille, il alerte, il sensibilise, mais il ne saurait être tenu responsable en cas d’échec (ou, dans son cas, de manquement de son entreprise). Le CIL jouit donc d’une liberté organisationnelle (il ne reçoit pas d’instructions) et doit être en mesure d’exercer ses missions de manière indépendante. Une telle liberté a de quoi faire pâlir d’envie bien des RSSI !

CIL et RSSI sont donc proches, mais ils sont aussi complémentaires : alors que le RSSI s’occupe d’infrastructures et de flux, le CIL se charge de processus (les traitements) seulement. Là où le RSSI protège son entreprise, le CIL, lui, défend les individus (collaborateurs ou clients). Enfin, si le RSSI gère des risques essentiellement opérationnels, le CIL, lui, a en charge un risque surtout juridique (celui d’une mise à l’amende par l’autorité de contrôle).

Proches, complémentaires, mais aussi différents : une enquête menée par l’AFCDP auprès de ses membres montre que seulement 40% d’entre eux sont des informaticiens. Le reste est composé de juristes, de qualititiens, de gestionnaires de risque, etc. Une culture, donc, très différente de celle du petit peuple des RSSI, qui reste encore très proche de la IT.

En dépit de cette dfférence de culture, rien n’empêche, en théorie, le RSSI de cumuler la fonction de CIL. C’est d’ailleurs déjà le cas pour certains d’entre eux, et de nombreux autres nous ont avoué que s’il doit y avoir un CIL dans leur entreprise, ce serait eux. Toutefois, selon Bruno Rasle, les différences de périmètres évoquées précédemment rendent l’exercice difficile. Mieux vaut pour l’entreprise recruter un CIL, ou au moins s’offrir les services d’un CIL externe. Car contrairement à la fonction de RSSI, qui s’externalise difficilement, le CIL peut parfaitement être un prestataire externe (y compris un avocat, bien qu’il ne puisse alors être en même temps le conseil régulier de l’entreprise).

Et il y a un autre avantage à séparer ainsi les fonctions de CIL et de RSSI : les deux experts pourront alors mieux bénéficier, chacun, du travail de l’autre. « La sensibilisation à la culture privacy aidera la sensibilisation plus générale à la SSI« , fait ainsi remarquer Bruno Rasle. Mieux : des questions soulevées par le CIL pourront déboucher sur des projets purement SSI, tels que la traçabilité des accès privilégiés, le DLP ou la gestion des identités (IAM). Sous l’impulsion du CIL, l’entreprise évoluera peut-être également vers un modèle de sécurité tourné vers la donnée (classification, mais aussi chiffrement, intelligence économique…) et elle fera peut-être le choix de collecter et conserver moins de données, ce qui ne peut que fluidifier les processus métiers.

Attention cependant à ne pas croire pour autant qu’il suffise de nommer un CIL pour bénéficier de toutes ces synérgies. Il s’agit d’un projet, et non d’une simple embauche, qui doit donc être mené comme tel. L’AFCDP préconise notamment la mise en place d’un comité ad-hoc, qui réunirait des représentants de la Direction Générale, des métiers (les « data owners« , premiers concernés), du juridique, de la DSI et, bien entendu, de la SSI.

Il n’y a cependant pas urgence : la France n’a pas encore adopté définitivement le texte prévoyant l’obligation de la notification des incidents de perte de données personnelles. Mais cela arrivera, et déjà en Europe de nombreux pays ont votés de telles lois (Grande Bretagne, Espagne, Allemagne, Autriche, ainsi que de nombreux pays d’Europe de l’Est). Mieux vaut donc entamer dès aujourd’hui la réflexion nécessaire. En se posant, par exemple, trois questions simples : savez-vous qui héberge, chez vous, des informations à caractère personnel ? Sauriez-vous en détecter le vol ? Sauriez-vous comment réagir ?

(Nous publierons prochainement le support de présentation, très complet, de Bruno Rasle).