En France, cela fait plus de 45 ans que la question de la donnée personnelle est dans le débat public avec le projet SAFARI. Depuis plus d’un an, le RGPD est au cœur de nombreuses préoccupations au sein des entreprises. Il a comme effets principaux de doter la CNIL de pouvoirs de sanctions plus importants et de renverser la situation en obligeant les entreprises à fournir la preuve du bon traitement de la donnée personnelle.


La conformité de ce règlement concerne plusieurs acteurs au sein même d’une organisation. On retrouve le DPO (Data Protection Officer) qui est le garant de la bonne application du règlement. Celui-ci doit s’accorder avec le RSSI (Responsable de la sécurité du SI) pour permettre la mise en œuvre des mesures à adopter et sécuriser l’entreprise. Nous avons voulu explorer cette coopération entre RSSI et DPO avec Philippe Gabillault, ancien Directeur Juridique Commercial et DPO du Groupe Carrefour ainsi que conseiller en conformité RGPD. Il nous a fait l’honneur de répondre à nos interrogations sur la relation qui unit ces deux acteurs.

Pouvez-vous vous présenter ?

Philippe Gabillault : Ancien directeur juridique, ancien DPO d’un grand groupe international, j’ai mis en place le RGPD dans 6 pays de l’Union Européenne.

Pouvez-vous nous décrire ce qu’est un DPO ?

PG : Le DPO c’est une fonction réglementée d’abord. C’est dans l’organisation le chef d’orchestre, obligatoire dans certains cas. Il doit parler toutes les langues de l’organisation à la fois opérationnelle, à la fois technique mais aussi le langage de l’autorité. Et bien évidemment, il doit dire le droit.

Et que fait le RSSI de son côté ?

PG : Si le DPO est le chef d’orchestre de l’organisation sur la protection des données, le RSSI est lui le garde du corps de l’organisation et c’est lui qui va connaître le mieux le système d’information et qui va pouvoir proposer les mesures adéquates pour sensibiliser et sécuriser l’organisation.

Pourquoi le binôme DPO x RSSI est-il si important ?

PG : Le DPO et le RSSI sont non seulement complémentaires mais ils sont aussi les seuls à disposer de la compétence juridique et technique à même de protéger et de valoriser durablement l’organisation.

Qu’est-ce qui fait que leur collaboration est plus que jamais d’actualité ?

PG : Leur collaboration est de plus en plus d’actualité car l’environnement réglementaire et technique est de plus en plus complexe. En 2018 pour l’entrée en application du règlement, les organisations se sont concentrées sur la partie visible de l’iceberg, à savoir tout ce qui touchait l’utilisateur. Mais aujourd’hui il est nécessaire de s’attaquer à la partie la plus complexe. C’est-à-dire, la sécurisation et la protection du système d’information.

Finalement, que peut faire un DPO seul ?

PG : Un DPO seul est un DPO en danger, il ne va pas disposer de la compétence technique nécessaire pour pouvoir expliquer à l’autorité en cas de contrôle, les dysfonctionnements qui ont été rencontrés. Il sera incapable d’agir et en plus il ne sera pas crédible ni pour le management de l’organisation ni pour l’autorité.

Certaines personnes cumulent les fonctions de DPO et RSSI, qu’en pensez-vous ?

PG : Cumuler les fonctions de DPO et de RSSI sur le plan réglementaire c'est possible mais ce n’est pas souhaitable car il faut éviter de se trouver dans une situation où le DPO et le RSSI en étant une seule et même personne "sont juge et partie ». Le DPO doit rendre compte à la CNIL alors que le RSSI est plus, lui, engagé vis-à-vis de l’ANSSI. Donc pour cette raison, il est préférable de bien séparer les deux fonctions.

Quelles seraient vos conseils pour traiter efficacement le sujet de la conformité RGPD, quel que soit la taille et le secteur d’une entreprise ?

PG : La première question que je pose à mes clients est quelle est votre vision stratégique et quelle y est la place des données ? Trop souvent les organisations ont une vision uniquement à court terme et insuffisamment à long terme. Le conseil : minimiser la collecte des données et plus particulièrement des données sensibles car les données sensibles sont celles qui sont les plus complexes et celles qui génèrent le plus d’obligations. En sachant que, aujourd’hui, je ne connais aucune organisation qui ne traite pas de données.

Découvrez Seald !