En cette rentrée septembre 2017, beaucoup de conférences évoquent peu ou prou le RGPD, règlement général pour la protection des données (personnelles). Le RSSI, l’homme (la femme) de la sécurité, en est un des acteurs incontournables. Mais beaucoup disent aussi que le RSSI, surtout dans les entreprises de taille moyenne, est l’homme (la femme) à tout faire de la sécurité au sens large. A la croisée des chemins, entre le COMEX et les collaborateurs, entre la DSI et les fournisseurs externes, entre les hackers et l’ANSSI, entre la RH, le juridique et les délégués du personnels (DP, IRP, DUP). C’est bien souvent vers lui que se retournent les questions embarrassantes. Et pourtant, combien de RSSI en poste ont suivi une formation juridique ?
– … Allo, ici Thierry Autret [le RSSI].
– Oui c’est la DSI, c’est pour te dire que demain on met en prod les outils de scan réseau et le filtre d’URL, ça devrait être transparent pour les utilisateurs.
– Ah oui mais non, si on lance ces outils sans prévenir les instances du personnel, ça va me retomber dessus ! J’en parle à la DRH pour inscrire ce point à la prochaine réunion de la DUP.
Que ce soit en situation calme ou par temps de crise, le juridique occupe une place importante dans les missions du RSSI. L’exemple cité n’est qu’un cas d’école, mais on va voir qu’il y en a beaucoup d’autres. Le CESIN a consacré un de ses récents groupes de travail sur les réflexes juridiques que les RSSI doivent avoir pour mener à bien leurs missions au quotidien.
Evoquons tout d’abord la partie émergée de l’iceberg, la protection des données personnelles, sous la forme aujourd’hui du RGPD. Le rôle du RSSI est de protéger le patrimoine informationnel de l’entreprise et parmi cela les données personnelles, des employés, des clients, des fournisseurs, etc. Le RGPD n’est pas une révolution en France puisque nous étions déjà soumis à la loi de 1976, dite loi Informatique et libertés. Inutile de dire que le RSSI, même s’il n’est pas censé être le chef de ce projet, sera fortement impliqué.
Parlons plutôt de la partie immergée, celle qui ne saute pas aux yeux et qui pourtant peut fortement perturber le travail du RSSI.
Rédaction de documents
Le RSSI doit s’entourer de compétences juridiques dès qu’il impose des restrictions ou des obligations dans ses écrits. Deux exemples éclairent parfaitement ce cas, le premier est la rédaction de chartes, le second est dans la rédaction de contrats.
Dans le cas des chartes, les restrictions portent par exemple sur les droits d’utilisation des ressources informatiques ou télécom, dans le respect de la loi. Le 5 septembre 2017, un arrêt de la CEDH (cour européenne des droits de l’homme) a traité[1] le cas du licenciement abusif d’un salarié roumain suite à la consultation par l’employeur de mails privés. D’autres jurisprudences[2] récentes en France doivent être suivies de près (voir ci-dessous).
Pour la rédaction des contrats d’achat d’outils ou de prestations, il est clair que les subtilités juridiques doivent être contrôlées et validées par des professionnels, par exemple pour les clauses d’audit. Encore plus s’il s’agit d’utilisation de solutions d’externalisation anglo-saxonnes (cloud).
Notification de failles, dépôt de plainte et cyberassurance
Encore mal utilisé par les entreprises qui se font attaquer, le dépôt de plainte devrait être un outil à mettre en œuvre dans les cas importants de vols de données ou de pertes d’exploitation de l’outil informatique. A cela s’ajoute la mise à niveau des contrats d’assurance pour refléter la forte dépendance qui existe aujourd’hui entre la force de travail d’une entreprise et son outil informatique. Encore peu utilisée aujourd’hui la réflexion autour de la cyberassurance et par la suite sa mise en place éventuelle doit être un projet commun entre le juridique et le RSSI.
Dans le cas de la notification de faille de sécurité (LPM) ou de violation de données à caractère personnel (RGPD) il est essentiel que le RSSI et la Direction Générale, dont le juridique, travaillent main dans la main et en amont d’un tel événement.
Transformation digitale et nouvelles formes de données
La démarche inéluctable de transformation digitale des entreprises implique de nombreuses attentions quant au respect des règles de recueil de données, et du consentement, de l’archivage de données et de leur effacement éventuel. Des compétences pointues vont être nécessaires pour déterminer les parts de responsabilité dans l’utilisation d’outils encore nouveaux comme l’open-data, le big-data, la blockchain, le bug bounty, les IOT, et autres véhicules/robots intelligents et autonomes à terme.
A qui le RSSI doit faire appel ?
En premier lieu au service juridique interne, c’est un point de passage obligé. Mais ce n’est peut-être pas lui qui vous apportera la solution. En effet les juristes internes connaissent bien les aspects de rédaction de contrats standards ou de propriété intellectuelle, mais peut-être pas les subtilités d’un contrat de prestation cloud. Si possible avec leur accord, il est important de tisser des liens avec des cabinets spécialisés en technologies de l’information et de la communication qui connaîtront le métier du RSSI et de la DSI.
Il est également important d’anticiper ces relations car ce n’est pas le jour où une attaque sera avérée qu’il faudra aller chercher ces compétences mais bien en amont pour justement limiter les effets juridiques d’une telle attaque. Le RSSI doit donc apprendre à intégrer naturellement les aspects juridiques dans son travail quotidien et ses missions au long terme.
MAINTENANT C’EST À VOUS ET VOICI QUELQUES RECOMMANDATIONS PRATIQUES QUI ONT FAIT LEURS PREUVES
- Considérer que les aspects juridiques sont une partie intégrante du métier du RSSI, ne pas les négliger et les utiliser à son profit ;
- Nul n’est compétent sur les domaines qu’il ignore : cela veut dire qu’il est important de se faire un « vernis » sur les différents domaines juridiques qui touchent notre métier, et savoir à quel moment il est important de faire appel aux bonnes compétences ;
- Identifier les compétences : un dialogue en amont doit être établi avec le service juridique interne et aussi avec des experts juridiques externes et spécialisés en TIC ;
- Penser qu’un bon verrouillage juridique sera un gain de temps et une diminution des risques d’un projet ;
- Anticiper et organiser des scénarios de crise afin de ne pas se trouver au dépourvu face à des juristes de la partie adverse ;
- Se dire que ça ne fait que commencer : les attaques juridiques envers une entreprise vont devenir monnaie courante – les anglo-saxons le savent bien – y compris pour avoir accès à tous les éléments du dossier et ainsi à des données stratégiques de l’entreprise.
[1] Arrêt de la CEDH, affaire Bărbulescu c. Roumanie, 5 septembre 2017.
[2] Arrêt cour de cassation du 1er juin 2017 : sur l’utilisation de courriels issus d’une messagerie n’ayant pas fait l’objet d’une déclaration préalable à la CNIL.
> Retrouvez cette chronique dans l’extrait sécurité du Numérique en Pratique.
A lire aussi :