DPO bientôt soumis à NIS 2 ? Rapprochez-vous d'urgence de votre RSSI
Par Bruno RASLE • 25 mars 2025 • LinkedIn
Si vous êtes désigné DPO pour l'une des (très) nombreuses entités qui, prochainement, va être soumise àNIS2-Network and Information Security 2- (et que vous n'étiez pas soumis à NIS1 au préalable), rapprochez-vous rapidement de votre RSSI - avant même que le Parlement transpose (enfin !) le texte dans notre droit national.
La raison ?
Avant NIS2, votre responsable de traitement ne devait réaliser qu'une seule notification, auprès de la CNIL, quand un incident de sécurité touchant des données à caractère personnelle était susceptible d'entraîner des risques pour les personnes concernées. Pour pouvoir formaliser votre analyse et porter conseil à votre responsable de traitement (qui décide au final), vous coopériez avec votre RSSI (entre autres), mais c'est bien vous, en votre qualité de DPO, que votre dirigeant recevait et écoutait [Je mets de côté les organismes qui, déjà, étaient soumis à des notifications multiples, comme dans le secteur Santé].
Avec NIS2, dès le premier incident de sécurité, il risque d'y avoir une "course à l'échalote" entre vous en tant que DPO et votre RSSI : c'est à celui qui sera reçu (et entendu) le premier par la direction… et il n'est pas certain que vous formuliez le même conseil (L'un considérant, par exemple, qu'il n'y a pas lieu de notifier à la CNIL, mais l'autre insistant pour que l'ANSSI soit informée - ou inversement). Le thème étant ici celui de la sécurité, il y a de fortes chances pour que le responsable de traitement ne souhaite recevoir que l'avis du RSSI.
Aussi, aujourd'hui encore plus qu'avant, il est crucial pour tout DPO de se rapprocher de son RSSI pour créer la meilleure synergie possible. Sans attendre la transposition de NIS2, vous pouvez d'ores et déjà ressortir vos procédures respectives (gestion des violations de données et gestion des incidents de sécurité) pour éventuellement les revoir ou mieux les articuler (si cela n'a pas déjà été fait). Aurez-vous la même façon de qualifier la gravité d'un incident/d'une violation ? Risquez vous d'émettre des recommandations diamétralement opposées ?
Deux autres conseils dans ce contexte très particulier
Si vous êtes un DPO "éloigné" des aspects techniques (et donc très/trop dépendant de votre service informatique et/ou de votre RSSI), il vous reste peu de temps pour combler votre manque de connaissances et parvenir à un niveau où vous serez plus pertinent, plus incisif. Sinon vous risquez fort de n'être qu'un spectateur.
Enfin, NIS2 imposant la réalisation d'analyse de risques, on entend déjà de multiples pressions pour que le DPO s'oblige à adopter la méthode qu'auront retenu les RSSI pour piloter les analyses d'impact (au sens du RGPD). Si cela fait sens d'étudier sereinement cela lors des travaux préparatoires à NIS2 entre DPO et RSSI, pourquoi les DPO devraient-ils se tordre le bras et abandonner la méthode qu'ils avaient forgée pour réaliser les PIA ?
