Délégué à la protection des données vs Ciso

Ces responsabilités ont évolué au fil du temps, à mesure que la protection des données a pris de l’importance dans l’agenda de l’entreprise, mais il se peut que celle-ci ne dispose pas de son propre bureau de protection des données sur lequel s’appuyer et qu’elle choisisse plutôt d’envoyer son personnel technique suivre une formation à la protection des données. Les responsables de la protection des données relèvent normalement de la fonction de gestion de la conformité, qui est étroitement liée au service juridique de l’avocat général. Ces juristes sont responsables de la protection et de la sécurité des données ainsi que de la conformité et de la sécurité de l’information. Ils sont normalement responsables de la gestion des données, de l’intégrité des données, de la sécurité et de la conformité, de la protection des données et de la gestion de la sécurité. [Sources : 7,15,18,0]

Le directeur de la sécurité de l’information (CISO) représente beaucoup pour de nombreuses personnes, mais il n’est pas supposé que ce poste puisse automatiquement et sans conflit assumer le rôle de délégué à la protection des données. Le responsable de la sécurité de l’information (CISO) ou le responsable de la protection des données peut travailler dans le secteur informatique ou occuper une autre fonction au sein de l’entreprise. Sources : 13]

Gartner définit le champ de responsabilité des CDO et indique qu’ils doivent être associés à la responsabilité de la protection des informations et de la vie privée, tandis qu’IBM indique que la vie privée est un aspect particulier de la maintenance des données. De nombreuses grandes entreprises ont des responsables de la protection des données, il appartient donc à l’expert en sécurité (CISO) de faire le meilleur choix pour assumer cette responsabilité au regard du GDPR et des meilleures pratiques mondiales. La responsabilité du délégué à la protection des données est de définir ce que représentent les données personnelles pour l’entreprise « , indique le rapport de Gartners, un cabinet d’études axé sur la sécurité des données et la confidentialité. Sources : 15,5,2]

Aujourd’hui, la gestion de la cybersécurité des organisations doit être actualisée et maintenue à jour face à la multiplication des failles de sécurité et de protection des données. Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne le 25 mai 2018, la différence entre conformité et sécurité peut sembler opaque pour de nombreuses entreprises, mais il pourrait être dangereux de la négliger. Le délégué à la protection des données doit non seulement comprendre la sécurité des données au plus haut niveau, mais il est également nécessaire qu’il s’assure que l’entreprise protège les données. Sources : 13,9,3]

La conformité au GDPR est exigée pour certaines entreprises par le rôle de direction de l’entreprise et dans certains cas, la nomination d’un contrôleur de la protection des données (DPO) a été appliquée. Celui-ci a pour mission de contrôler la gestion de la protection des données et de veiller à ce que l’entreprise se conforme aux exigences du GDPR. En plus de son rôle de responsable de la sécurité de l’information (CISO), un DPO doit également gérer la protection des données organisationnelles. Sources : 19,9,6]

Le délégué à la protection des données est responsable de la gestion des politiques de protection des données et de la vie privée de l’organisation. Étant donné que les organisations détiennent des données qui relèvent d’un nombre croissant de règles en matière de données et de vie privée, ses responsabilités se concentrent sur le contrôle de la stratégie de protection des données et de sa mise en œuvre. Sources : 2,6]

Le GDPR stipule également que le contrôleur de la protection des données doit avoir accès à toutes les informations nécessaires pour garantir que l’organisation se conforme à la directive européenne sur la protection des données. Le délégué à la protection des données effectue des évaluations internes de la protection des données et veille à ce que les autres questions relatives à la protection des données soient à jour. Les délégués à la protection des données vous tiendront informés des lois et pratiques en matière de protection des données. Sources : 12,2]

Ils veillent de manière indépendante à ce que l’organisation applique de manière appropriée les lois protégeant les données personnelles. Vos responsabilités vont au-delà des rôles traditionnels de l’informatique en matière de droit et de sécurité pour fournir à votre organisation les informations les plus récentes sur les lois et les pratiques en matière de protection des données. Vous êtes chargé d’être informé et d’assurer la liaison entre vous et d’autres autorités externes qui pourraient avoir besoin de vous informer d’incidents impliquant des données personnelles, tels que des enquêtes, des investigations ou des enquêtes sur un incident impliquant vos données personnelles. Sources : 2,8,6]

Il existe certains domaines dans lesquels il peut y avoir des chevauchements et parfois de la confusion, mais les délégués à la protection des données n’ont pas de conflits d’intérêts, ce qui signifie que le contrôleur de la protection des données ne doit pas être placé dans une position qui entre en conflit avec d’autres chefs d’entreprise ou de service qui souhaitent stocker ou utiliser les données des clients pour des besoins commerciaux susceptibles de violer les exigences en matière de protection des données. Cela signifie qu’un OPR pourrait potentiellement être en mesure de contacter d’autres personnes au sein de votre entreprise, de votre département ou de votre responsable qui souhaitent stocker ou utiliser des informations ou des données sur les clients dans le cadre d’un besoin commercial susceptible de violer les exigences en matière de protection des données, par exemple à des fins de marketing ou à d’autres fins commerciales. Cela signifie que le RPO ou le délégué à la protection des données et le CISO ne peuvent avoir d’obligations ou de responsabilités actuelles incompatibles avec leur rôle actuel de surveillance de la confidentialité de vos données personnelles et de celles des autres employés. Sources : 16,2,14]

Sources :

• [0] : https://m.acc.com/docket/articles/cpo-ciso-evolving-roles-of-privacy-security.cfm
• 1] : https://www.securitymagazine.com/articles/91653-the-changing-role-of-the-ciso
• [2] : https://searchdatamanagement.techtarget.com/feature/Data-protection-officer-responsibilities-and-role-importance
• [3] : https://www.forbes.com/sites/ciocentral/2018/07/20/dont-confuse-gdpr-compliance-with-security/
• [4] : https://portswigger.net/daily-swig/how-to-become-a-ciso-your-guide-to-climbing-to-the-top-of-the-enterprise-security-ladder
• [5] : https://www.coriniumintelligence.com/insights/cdo-ciso-a-match-made-in-heaven-or-hell
• [6] : https://cybersecurityguide.org/careers/data-protection-officer/
• [7] : https://cloud.netapp.com/blog/cvo-blg-data-protection-officer-vs-chief-privacy-officer
• [8] : https://www.washington.edu/admin/rules/policies/APS/02.04.html
• [9] : https://blog.eccouncil.org/ciso-and-dpo-is-this-a-dual-role-of-a-security-officer/
• [10] : https://www.endpointprotector.com/blog/dpo-vs-cpo-compliance-roles-at-glance/
• [11] : https://rasoolirfan.com/2020/06/28/ciso-should-redefine-corporate-security-strategy/
• [12] : https://www.investopedia.com/terms/d/data-protection-officer-dpo.asp
• [13] : https://consent.guide/who-should-the-dpo-be/
• [14] : https://en.wikipedia.org/wiki/Chief_privacy_officer
• [15] : https://www.cxotoday.com/news-analysis/data-protection-law-shifts-spotlight-on-cisos/
• [16] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
• [17] : https://www.bmc.com/blogs/ciso-chief-information-security-officer/
• [18] : https://apexassembly.com/attention-ceos-the-great-ciso-renaissance-is-coming/
• [19] : https://www.dpoacademy.gr/l/can-a-ciso-act-as-a-dpo/

• LinkedIn
• Twitter