En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de miel
    < 1 500 €
    > En savoir plus
  • Création d'un site eCommerce pour une entreprise spécialisée dans le funéraire
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de pneus
    < 4 000 €
    > En savoir plus
NTT secu_Threat Intelligence report_leaderboard

Le principe de responsabilité imposé au RSSI

ITrust_SOC_pave

Dans le cadre des débats sur la proposition de règlement européen qui imposera des sanctions considérables en cas de non-respect des dispositions de la loi Informatique et Libertés, le responsable de la sécurité des systèmes d'information (RSSI) doit prendre la mesure des enjeux juridiques. Parmi les nouvelles obligations qui seraient imposées au responsable du traitement de données à caractère personnel et donc au RSSI, on trouve le principe d'accountability ou de responsabilité à l'article 22 du projet de règlement relatif à la protection des données personnelles.

Le principe d'accountability n'est pas nouveau. Il avait déjà été évoqué dans les Lignes Directrices de l'Organisation de Coopération et de Développement Économiques en 1980 sur la protection de la vie privée et les flux transfrontières de données à caractère personnel. Ce principe était également sous-jacent dans la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données.

Ce n'est pas tant la conformité à la loi qui est visée dans le principe de responsabilité. C'est plutôt l'obligation pour le RSSI de prouver aux autorités de contrôle chargées de la protection des données personnelles ou encore aux personnes concernées par les traitements que son entreprise respecte la législation en vigueur. En d'autres termes, la charge de la preuve du respect par l'entreprise des dispositions Informatique et Libertés repose sur les épaules du RSSI.

Il s'agit donc d'assurer une traçabilité et une transparence au sein de l'entreprise et à l'égard des autorités nationales chargées de la protection des données à caractère personnel. A ces fins, les Etats membres de l'Union européenne, les autorités de contrôle et la Commission européenne sont encouragés à soutenir les entreprises par l'adoption de codes de conduite, par la création de mécanismes de certification et de labels.

La théorie

Il s'agit pour le responsable du traitement de garantir la conformité à la loi par la mise en place de mesures effectives. A première vue, cela peut sembler excessif. Il convient toutefois de préciser les conséquences pratiques de ces dispositions. Le RSSI devra adopter des règles internes et mettre en œuvre les mesures appropriées pour garantir que le traitement des données à caractère personnel est effectué dans le respect du règlement.

La pratique

Sur le plan matériel, le principe de responsabilité se traduit donc par la rédaction d'une documentation interne à l'entreprise ou à l'administration (politiques de respect de la vie privée, politiques contractuelles avec les sous-traitants, principe du besoin d'en connaître, etc.). Les politiques internes devront être organisées selon une hiérarchie bien définie, au sommet de laquelle on trouvera généralement un document comportant les principes fondamentaux que l'entreprise s'engage à respecter à l'occasion des traitements de données à caractère personnel. Au dernier niveau, les exigences en matière de traitement et de protection des données personnelles peuvent être détaillées dans des guides, selon les services ou les métiers par exemple.

A titre d'illustration, voici un classement hiérarchique des politiques internes que l'on peut trouver en entreprise (voir schéma) :

La mise en œuvre de ces règles internes doit se faire notamment selon trois axes :

  • en sensibilisant globalement le personnel grâce à la diffusion des politiques internes décrites précédemment ;
  • en sanctionnant le non-respect de ces politiques dans le cadre de procédures disciplinaires ;
  • en effectuant des audits internes et externes de manière régulière.

Le RSSI aura donc bel et bien un rôle à jouer dans la diffusion de ces politiques internes.

Il devra également veiller à faire réaliser une analyse d'impact relative à la protection des données préalablement à la mise en œuvre de traitements à risque, comme prévu par l'article 33 du projet de règlement. Le RSSI devra également s'assurer de l'acceptation expresse, en toute conscience, du risque résiduel par ses supérieurs hiérarchiques.

Les sanctions

L'article79 du projet de règlement européen prévoit que le défaut de conformité à l'article 22, donc au principe d'accountability, peut donner lieu à des sanctions conséquentes et ce, même en l'absence de violation des droits des personnes dont les données personnelles sont traitées.

La sanction afférente au non-respect de l'article 22 du projet de règlement est d'ailleurs l'une des plus importantes. Il est en effet prévu, dans le projet de règlement tel qu'il est rédigé pour l'instant, une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial, qu'il s'agisse d'un manquement délibéré ou par négligence.

Garance Mathias

GaranceMathias est l'avocat fondateur du Cabinet Mathias, créé il y a plus de 10 ans, pour l'accompagnement des entreprises du secteur des technologies avancées et de l'internet. Elle enseigne et écrit de nombreux articles sur le sujet, notamment sur le blog du Cabinet.  http://www.avocats-mathias.fr

Dossier publié dans Solutions Logiciels N°47

Le principe de responsabilité imposé au RSSI
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

  • La sécurité des données

    Spécial Assises de la sécurité 2017 - DSI et RSSI témoignent Gouvernance des données numériques…

Témoignages
Juridique
  • La justice américaine va examiner la saisie d'emails à l'étranger

    Washington, 16 oct 2017 (AFP) - La Cour suprême des Etats-Unis a annoncé lundi qu'elle…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • SD-WAN : Wan Cloud first et Wan edge à l'honneur en 2018 selon David Hughes, PDG de Silver Peak

    David Hughes, le fondateur et PDG de Silver Peak, livre sa vision pour 2018 du…

    > En savoir plus...
Etudes/Enquêtes
  • Cybersécurité et IA : les Français inquiets pour la sécurité de leurs données personnelles

    Les Français restent préoccupés par l’impact de l’intelligence artificielle sur la sécurité dans leur quotidien.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global K_Data scientist_skycraper
Agenda
livres blancs
Les Livres
Blancs
banniere_FIC2018_skycrapper