En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 26/09/2017
    Salons Solutions 2017

    Les Salons Solutions - ERP, CRM, BI et Big Data, E-achats, Demat', Serveurs & Applications…

    en détail En détail...
  • 04/10/2017
    Convention USF 2017

    L'événement annuel de référence de l’ensemble de l’écosystème SAP français aura lieu cette année les…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site vitrine pour une agence de tourisme
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour une société de formation d'adultes
    < 5 000 €
    > En savoir plus
  • Création d'un site vitrine pour un agriculteur
    <2000 €
    > En savoir plus
SIGMA_Transfo digitale_banniere animée

Le principe de responsabilité imposé au RSSI

kaspersky_attaques ciblees_pave

Dans le cadre des débats sur la proposition de règlement européen qui imposera des sanctions considérables en cas de non-respect des dispositions de la loi Informatique et Libertés, le responsable de la sécurité des systèmes d'information (RSSI) doit prendre la mesure des enjeux juridiques. Parmi les nouvelles obligations qui seraient imposées au responsable du traitement de données à caractère personnel et donc au RSSI, on trouve le principe d'accountability ou de responsabilité à l'article 22 du projet de règlement relatif à la protection des données personnelles.

Le principe d'accountability n'est pas nouveau. Il avait déjà été évoqué dans les Lignes Directrices de l'Organisation de Coopération et de Développement Économiques en 1980 sur la protection de la vie privée et les flux transfrontières de données à caractère personnel. Ce principe était également sous-jacent dans la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données.

Ce n'est pas tant la conformité à la loi qui est visée dans le principe de responsabilité. C'est plutôt l'obligation pour le RSSI de prouver aux autorités de contrôle chargées de la protection des données personnelles ou encore aux personnes concernées par les traitements que son entreprise respecte la législation en vigueur. En d'autres termes, la charge de la preuve du respect par l'entreprise des dispositions Informatique et Libertés repose sur les épaules du RSSI.

Il s'agit donc d'assurer une traçabilité et une transparence au sein de l'entreprise et à l'égard des autorités nationales chargées de la protection des données à caractère personnel. A ces fins, les Etats membres de l'Union européenne, les autorités de contrôle et la Commission européenne sont encouragés à soutenir les entreprises par l'adoption de codes de conduite, par la création de mécanismes de certification et de labels.

La théorie

Il s'agit pour le responsable du traitement de garantir la conformité à la loi par la mise en place de mesures effectives. A première vue, cela peut sembler excessif. Il convient toutefois de préciser les conséquences pratiques de ces dispositions. Le RSSI devra adopter des règles internes et mettre en œuvre les mesures appropriées pour garantir que le traitement des données à caractère personnel est effectué dans le respect du règlement.

La pratique

Sur le plan matériel, le principe de responsabilité se traduit donc par la rédaction d'une documentation interne à l'entreprise ou à l'administration (politiques de respect de la vie privée, politiques contractuelles avec les sous-traitants, principe du besoin d'en connaître, etc.). Les politiques internes devront être organisées selon une hiérarchie bien définie, au sommet de laquelle on trouvera généralement un document comportant les principes fondamentaux que l'entreprise s'engage à respecter à l'occasion des traitements de données à caractère personnel. Au dernier niveau, les exigences en matière de traitement et de protection des données personnelles peuvent être détaillées dans des guides, selon les services ou les métiers par exemple.

A titre d'illustration, voici un classement hiérarchique des politiques internes que l'on peut trouver en entreprise (voir schéma) :

La mise en œuvre de ces règles internes doit se faire notamment selon trois axes :

  • en sensibilisant globalement le personnel grâce à la diffusion des politiques internes décrites précédemment ;
  • en sanctionnant le non-respect de ces politiques dans le cadre de procédures disciplinaires ;
  • en effectuant des audits internes et externes de manière régulière.

Le RSSI aura donc bel et bien un rôle à jouer dans la diffusion de ces politiques internes.

Il devra également veiller à faire réaliser une analyse d'impact relative à la protection des données préalablement à la mise en œuvre de traitements à risque, comme prévu par l'article 33 du projet de règlement. Le RSSI devra également s'assurer de l'acceptation expresse, en toute conscience, du risque résiduel par ses supérieurs hiérarchiques.

Les sanctions

L'article79 du projet de règlement européen prévoit que le défaut de conformité à l'article 22, donc au principe d'accountability, peut donner lieu à des sanctions conséquentes et ce, même en l'absence de violation des droits des personnes dont les données personnelles sont traitées.

La sanction afférente au non-respect de l'article 22 du projet de règlement est d'ailleurs l'une des plus importantes. Il est en effet prévu, dans le projet de règlement tel qu'il est rédigé pour l'instant, une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial, qu'il s'agisse d'un manquement délibéré ou par négligence.

Garance Mathias

GaranceMathias est l'avocat fondateur du Cabinet Mathias, créé il y a plus de 10 ans, pour l'accompagnement des entreprises du secteur des technologies avancées et de l'internet. Elle enseigne et écrit de nombreux articles sur le sujet, notamment sur le blog du Cabinet.  http://www.avocats-mathias.fr

Dossier publié dans Solutions Logiciels N°47

Le principe de responsabilité imposé au RSSI
Notez cet article

Laisser un commentaire

Pénurie de compétences IT ?

Anticipez en formant vos équipes. Trois conseils aux responsables informatiques pour garder une longueur d'avance

Lire le livre blanc Vodeclic

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles ou non : vers un marché numérique unique ?

      Le 13 septembre 2017, la Commission européenne a adopté la proposition de règlement fixant…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - Magie et Test : mêmes combats ?

    Voici une tribune du Comité Français des Tests Logiciels, alias le CFTL, qui permet d'appréhender…

    > En savoir plus...
Etudes/Enquêtes
  • Automatiser les processus RH : l'enjeu majeur des PME et ETI

    Quelles stratégies digitales RH chez les PME et ETI, ces organisations à taille humaine qui ne…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Microsoft_MS experience S1 TRUST_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
Microsoft_MS experience S1 AI_skycraper