Episode 36: où placer le DPO (sans casser son indépendance) ? | Compliance Without coma

Description

Êtes-vous conscient que la collaboration entre le Délégué à la Protection des Données (DPO) et le Responsable de la Sécurité des Systèmes d'Information (CISO) est cruciale pour garantir la sécurité des données dans votre organisation ? Dans cet épisode de "Compliance Without Coma", Fabrice De Paepe plonge au cœur de cette dynamique essentielle. À travers une métaphore évocatrice de rivière, il illustre comment le CISO, tel un courant puissant, et le DPO, comme un contre-courant, doivent naviguer ensemble pour atteindre des objectifs communs en matière de sécurité et de protection des données.

Fabrice met en lumière les distinctions clés entre leurs rôles et responsabilités. Bien que le DPO et le CISO partagent le même objectif de protéger les données, il est crucial de comprendre que le DPO doit rester indépendant, conformément à l'article 38 du RGPD. Cette indépendance est non seulement une obligation légale, mais aussi un gage d'efficacité pour la gouvernance des données au sein de l'organisation. En effet, pour que le DPO puisse jouer son rôle de conseiller stratégique, il est impératif qu'il occupe une position suffisamment élevée pour avoir un accès direct à la direction.

Dans cet épisode, Fabrice souligne également les défis auxquels le DPO peut être confronté s'il se laisse enfermer dans un rôle de simple gestionnaire de conformité. La conformité ne doit pas devenir une fin en soi, mais plutôt un moyen d'assurer une gouvernance des données efficace et proactive. En gardant son esprit critique et son indépendance, le DPO peut véritablement influencer la culture de la sécurité au sein de l'entreprise.

Rejoignez-nous pour une discussion qui vous aidera à mieux comprendre l'importance de la collaboration entre le DPO et le CISO et comment cette relation peut transformer votre approche de la conformité et de la sécurité des données. Ne manquez pas cette occasion d'apprendre comment naviguer dans les eaux parfois tumultueuses de la conformité sans sombrer dans le coma administratif. Écoutez maintenant "Compliance Without Coma" et découvrez comment garantir une protection des données efficace tout en préservant l'indépendance nécessaire du DPO.

Et pour les playlists C'est par ici

https://podcast.ausha.co/compliance-without-coma

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que le DPO doit-il être dans le même lit que le CISO ? Attends. Avant que tout le monde s'emballe, je parle du lit d'une rivière, évidemment. Même si pour l'organigramme, la confusion est fréquente. Et si tu pensais du lit où on dort, rassure-toi, ces deux-là ne dorment pas beaucoup de toute façon. Ils se croisent, ils se parlent, ils se comprennent, parfois. Mais dormir, non. Aujourd'hui, on s'attaque à un grand flou artistique. Où placer le DPO ? Dans la compliance ? Dans l'advisory ? Dans la RH ? à l'IT ou au coin café ? Spoiler, ça dépend, mais pas tant que ça. Abonne-toi et n'oublie pas de mettre 5 étoiles, voire de commenter. Bienvenue dans Compliance Without Coma, le podcast où on parle cybersécurité, gouvernance et leadership. Sans jargon, enfin j'essaye, et surtout sans anesthésie. Je suis Fabrice De Paepe et aujourd'hui je te compare ma vision de la relation entre le CISO et le DPO. Au fil des épisodes, j'ai structuré le podcast en playlist, parce que clairement, on n'aime pas tous les mêmes sujets. Et il y en a 10. On a les incidents réels, les conseils d'audit, la philo, la mythologie et les biais cognitifs. Nous avons également la géopolitique, avec l'analyse de risque, les outils, framework et cadre de référence. la boîte à outils, ISO et pratiques du terrain, le top 5 des épisodes les plus écoutés, et ça c'est revu tous les dimanches, on a les guests, les specials et les livres. Va jeter un oeil, il y a probablement une trame qui te parle. Le lien est en commentaire sur Ausha. Et si tu veux me dire que tu es passé, mets juste playlist en commentaire. Le DPO c'est qui ? Le DPO, ou Data Protection Officer, ou délégué à la protection des données, son rôle est de veiller au respect du RGPD. Et non, ce n'est pas celui qui met les amendes, ni celui qui valide les pop-up cookies. C'est celui qui documente, alerte, conseille. Et dort mal quand tu collectes trop de données. Imagine un fleuve. Le CISO, c'est le courant principal. Il trace la trajectoire, il évite les rochers, il gère les rapides. Le DPO, c'est le contre-courant. Indépendant, parfois contrariant, mais indispensable. Indispensable pourquoi ? Pour éviter que la rivière ne déborde sur tes données personnelles. Ils partagent le même lit, mais jamais exactement la même direction. Et c'est normal. Mieux, c'est même sain. Sortons de l'eau. Dans la vraie vie, c'est un tandem. Le CISO est devant. Il tient le guidon. Il oriente la stratégie. Le DPO pédale. Aussi. Mais il regarde ailleurs. Et surtout, il reporte à la direction. Et parfois, il crie. Attention ! Tu vas violer le RGPD. Donc, dans les faits, même mission. Protéger les données. Responsabilité différente. Indépendance obligatoire. Et la question classique ? Incident de sécurité ? Data breach ? Ou les deux ? Ajoute NIS2 à l'équation et tu comprends pourquoi ils doivent se parler souvent. Alors, on le met où le DPO ? Pas sous le CISO. Même si le CISO est au comex, il ne représente pas toute la direction. Et là, je cite l'article 38. Le DPO ne reçoit aucune instruction dans l'exercice de ses tâches et rend directement compte au plus haut niveau de direction. Une petite traduction concrète s'impose. Ça veut dire quoi ? Ça veut dire une indépendance fonctionnelle, une protection contre les sanctions et un accès direct à la direction. Donc non, pas de caméra sans lui demander son avis, pas de photo d'employé sur le site web en mode YOLO, pas de placement discret sous la compliance. Et sûrement à gauche du modèle des trois lignes de défense, tu vas me dire. Alors je te fais un petit rappel express du modèle des trois lignes de défense, sinon tu peux retourner écouter ou découvrir l'épisode numéro 20. La première ligne, elle est opérationnelle, les métiers font les traitements. La deuxième ligne, c'est là où il y a le contrôle et l'expertise, donc tu as les risques, compliance, sécurité. La troisième ligne, c'est l'audit interne, et il vérifie que 1 et 2 fonctionnent. Donc, où se situent les DPO exactement dans ce modèle ? Eh bien, pas en première ligne, le DPO ne décide pas et n'exécute pas. Pas vraiment en deuxième ligne non plus. La deuxième ligne définit les règles, impose des contrôles et peut bloquer. Or, le DPO, conseille, recommande, alerte, mais ne décide pas. Il est proche de la deuxième ligne, c'est vrai, mais il doit en rester indépendant. Et pas en troisième ligne non plus. Le DPO n'est pas un auditeur. L'audit peut auditer la fonction de DPO, pas l'inverse. Donc la tentation de la compliance, elle est un peu ironique, soyons honnêtes. RGPD égale réglementation, réglementation égale conformité, donc compliance, c'est logique, non ? Sauf que là... Le DPO devient un scribe, un gestionnaire d'Excel, un chasseur de registres. Et sa parole, une formalité, grave erreur. Le DPO n'est pas un sticker privacy OK, c'est un conseiller indépendant. Et côté advisory alors ? Côté advisory, ça commence à devenir intéressant. Pourquoi ? Analyse de risque, accompagnement de projet, conseil à la direction. Mais attention, s'il conseille trop, il risque de contrôler ce qu'il a fait lui-même, ou ce qu'il a aidé à construire. Donc advisory oui, mais avec une ligne claire. Il n'exécute pas. pas les traitements, il n'arbitre pas le business, il observe, alerte et documente. Et si tu veux mon avis, pour moi, le DPO est un pilier de la gouvernance de la donnée. Sa place idéale, elle est auprès du CISO, du Risk Manager, du Legal. Dans une cellule GRC, gouvernance, risque, conformité, si elle existe. Rattachée à un niveau hiérarchique suffisamment haut. Et surtout, pas dans l'IT, pas dans la prod et pas dans l'ombre. Et la position correcte du DPO... C'est une fonction transversale indépendante, donc elle doit être attachée au CEO, au COMEX ou au BOARD, avec un accès direct au top management, un droit d'alerte et une liberté de dire non. Le CISO et le DPO peuvent partager le même lit de rivière, mais jamais la même hiérarchie. L'un trace le courant, l'autre garantit qu'il reste dans les limites. Et de toute façon, aucun des deux ne dort beaucoup. Alors dis-moi ton DPO, il en est où ? En advisory, en compliance ou en train de faire des affiches RGPD à la cantine ? Passe sur LinkedIn ou Insta, raconte-moi. Et si cet épisode t'a fait sourire, te questionne ou te fait grincer des dents, partage-le et n'oublie pas les 5 étoiles. Et vendredi prochain, on sera après Noël, je verrai si le Père Noël m'a apporté un cadeau. On a deux interviews déjà pliées, une en validation guest et une en montage. A vendredi déjà pour un nouvel épisode de Compliance Without Coma. Merci.

Chapters

Introduction à la relation DPO et CISO
0sec
Définition du rôle du DPO et du CISO
54sec
Indépendance et positionnement du DPO dans l'organisation
1min
Modèle des trois lignes de défense et rôle du DPO
4min
Conclusion et réflexion sur la gouvernance des données
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Et pour les playlists C'est par ici

https://podcast.ausha.co/compliance-without-coma

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que le DPO doit-il être dans le même lit que le CISO ? Attends. Avant que tout le monde s'emballe, je parle du lit d'une rivière, évidemment. Même si pour l'organigramme, la confusion est fréquente. Et si tu pensais du lit où on dort, rassure-toi, ces deux-là ne dorment pas beaucoup de toute façon. Ils se croisent, ils se parlent, ils se comprennent, parfois. Mais dormir, non. Aujourd'hui, on s'attaque à un grand flou artistique. Où placer le DPO ? Dans la compliance ? Dans l'advisory ? Dans la RH ? à l'IT ou au coin café ? Spoiler, ça dépend, mais pas tant que ça. Abonne-toi et n'oublie pas de mettre 5 étoiles, voire de commenter. Bienvenue dans Compliance Without Coma, le podcast où on parle cybersécurité, gouvernance et leadership. Sans jargon, enfin j'essaye, et surtout sans anesthésie. Je suis Fabrice De Paepe et aujourd'hui je te compare ma vision de la relation entre le CISO et le DPO. Au fil des épisodes, j'ai structuré le podcast en playlist, parce que clairement, on n'aime pas tous les mêmes sujets. Et il y en a 10. On a les incidents réels, les conseils d'audit, la philo, la mythologie et les biais cognitifs. Nous avons également la géopolitique, avec l'analyse de risque, les outils, framework et cadre de référence. la boîte à outils, ISO et pratiques du terrain, le top 5 des épisodes les plus écoutés, et ça c'est revu tous les dimanches, on a les guests, les specials et les livres. Va jeter un oeil, il y a probablement une trame qui te parle. Le lien est en commentaire sur Ausha. Et si tu veux me dire que tu es passé, mets juste playlist en commentaire. Le DPO c'est qui ? Le DPO, ou Data Protection Officer, ou délégué à la protection des données, son rôle est de veiller au respect du RGPD. Et non, ce n'est pas celui qui met les amendes, ni celui qui valide les pop-up cookies. C'est celui qui documente, alerte, conseille. Et dort mal quand tu collectes trop de données. Imagine un fleuve. Le CISO, c'est le courant principal. Il trace la trajectoire, il évite les rochers, il gère les rapides. Le DPO, c'est le contre-courant. Indépendant, parfois contrariant, mais indispensable. Indispensable pourquoi ? Pour éviter que la rivière ne déborde sur tes données personnelles. Ils partagent le même lit, mais jamais exactement la même direction. Et c'est normal. Mieux, c'est même sain. Sortons de l'eau. Dans la vraie vie, c'est un tandem. Le CISO est devant. Il tient le guidon. Il oriente la stratégie. Le DPO pédale. Aussi. Mais il regarde ailleurs. Et surtout, il reporte à la direction. Et parfois, il crie. Attention ! Tu vas violer le RGPD. Donc, dans les faits, même mission. Protéger les données. Responsabilité différente. Indépendance obligatoire. Et la question classique ? Incident de sécurité ? Data breach ? Ou les deux ? Ajoute NIS2 à l'équation et tu comprends pourquoi ils doivent se parler souvent. Alors, on le met où le DPO ? Pas sous le CISO. Même si le CISO est au comex, il ne représente pas toute la direction. Et là, je cite l'article 38. Le DPO ne reçoit aucune instruction dans l'exercice de ses tâches et rend directement compte au plus haut niveau de direction. Une petite traduction concrète s'impose. Ça veut dire quoi ? Ça veut dire une indépendance fonctionnelle, une protection contre les sanctions et un accès direct à la direction. Donc non, pas de caméra sans lui demander son avis, pas de photo d'employé sur le site web en mode YOLO, pas de placement discret sous la compliance. Et sûrement à gauche du modèle des trois lignes de défense, tu vas me dire. Alors je te fais un petit rappel express du modèle des trois lignes de défense, sinon tu peux retourner écouter ou découvrir l'épisode numéro 20. La première ligne, elle est opérationnelle, les métiers font les traitements. La deuxième ligne, c'est là où il y a le contrôle et l'expertise, donc tu as les risques, compliance, sécurité. La troisième ligne, c'est l'audit interne, et il vérifie que 1 et 2 fonctionnent. Donc, où se situent les DPO exactement dans ce modèle ? Eh bien, pas en première ligne, le DPO ne décide pas et n'exécute pas. Pas vraiment en deuxième ligne non plus. La deuxième ligne définit les règles, impose des contrôles et peut bloquer. Or, le DPO, conseille, recommande, alerte, mais ne décide pas. Il est proche de la deuxième ligne, c'est vrai, mais il doit en rester indépendant. Et pas en troisième ligne non plus. Le DPO n'est pas un auditeur. L'audit peut auditer la fonction de DPO, pas l'inverse. Donc la tentation de la compliance, elle est un peu ironique, soyons honnêtes. RGPD égale réglementation, réglementation égale conformité, donc compliance, c'est logique, non ? Sauf que là... Le DPO devient un scribe, un gestionnaire d'Excel, un chasseur de registres. Et sa parole, une formalité, grave erreur. Le DPO n'est pas un sticker privacy OK, c'est un conseiller indépendant. Et côté advisory alors ? Côté advisory, ça commence à devenir intéressant. Pourquoi ? Analyse de risque, accompagnement de projet, conseil à la direction. Mais attention, s'il conseille trop, il risque de contrôler ce qu'il a fait lui-même, ou ce qu'il a aidé à construire. Donc advisory oui, mais avec une ligne claire. Il n'exécute pas. pas les traitements, il n'arbitre pas le business, il observe, alerte et documente. Et si tu veux mon avis, pour moi, le DPO est un pilier de la gouvernance de la donnée. Sa place idéale, elle est auprès du CISO, du Risk Manager, du Legal. Dans une cellule GRC, gouvernance, risque, conformité, si elle existe. Rattachée à un niveau hiérarchique suffisamment haut. Et surtout, pas dans l'IT, pas dans la prod et pas dans l'ombre. Et la position correcte du DPO... C'est une fonction transversale indépendante, donc elle doit être attachée au CEO, au COMEX ou au BOARD, avec un accès direct au top management, un droit d'alerte et une liberté de dire non. Le CISO et le DPO peuvent partager le même lit de rivière, mais jamais la même hiérarchie. L'un trace le courant, l'autre garantit qu'il reste dans les limites. Et de toute façon, aucun des deux ne dort beaucoup. Alors dis-moi ton DPO, il en est où ? En advisory, en compliance ou en train de faire des affiches RGPD à la cantine ? Passe sur LinkedIn ou Insta, raconte-moi. Et si cet épisode t'a fait sourire, te questionne ou te fait grincer des dents, partage-le et n'oublie pas les 5 étoiles. Et vendredi prochain, on sera après Noël, je verrai si le Père Noël m'a apporté un cadeau. On a deux interviews déjà pliées, une en validation guest et une en montage. A vendredi déjà pour un nouvel épisode de Compliance Without Coma. Merci.

Chapters

Introduction à la relation DPO et CISO
0sec
Définition du rôle du DPO et du CISO
54sec
Indépendance et positionnement du DPO dans l'organisation
1min
Modèle des trois lignes de défense et rôle du DPO
4min
Conclusion et réflexion sur la gouvernance des données
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Introduction à la relation DPO et CISO
0sec
Définition du rôle du DPO et du CISO
54sec
Indépendance et positionnement du DPO dans l'organisation
1min
Modèle des trois lignes de défense et rôle du DPO
4min
Conclusion et réflexion sur la gouvernance des données
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Et pour les playlists C'est par ici

https://podcast.ausha.co/compliance-without-coma

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que le DPO doit-il être dans le même lit que le CISO ? Attends. Avant que tout le monde s'emballe, je parle du lit d'une rivière, évidemment. Même si pour l'organigramme, la confusion est fréquente. Et si tu pensais du lit où on dort, rassure-toi, ces deux-là ne dorment pas beaucoup de toute façon. Ils se croisent, ils se parlent, ils se comprennent, parfois. Mais dormir, non. Aujourd'hui, on s'attaque à un grand flou artistique. Où placer le DPO ? Dans la compliance ? Dans l'advisory ? Dans la RH ? à l'IT ou au coin café ? Spoiler, ça dépend, mais pas tant que ça. Abonne-toi et n'oublie pas de mettre 5 étoiles, voire de commenter. Bienvenue dans Compliance Without Coma, le podcast où on parle cybersécurité, gouvernance et leadership. Sans jargon, enfin j'essaye, et surtout sans anesthésie. Je suis Fabrice De Paepe et aujourd'hui je te compare ma vision de la relation entre le CISO et le DPO. Au fil des épisodes, j'ai structuré le podcast en playlist, parce que clairement, on n'aime pas tous les mêmes sujets. Et il y en a 10. On a les incidents réels, les conseils d'audit, la philo, la mythologie et les biais cognitifs. Nous avons également la géopolitique, avec l'analyse de risque, les outils, framework et cadre de référence. la boîte à outils, ISO et pratiques du terrain, le top 5 des épisodes les plus écoutés, et ça c'est revu tous les dimanches, on a les guests, les specials et les livres. Va jeter un oeil, il y a probablement une trame qui te parle. Le lien est en commentaire sur Ausha. Et si tu veux me dire que tu es passé, mets juste playlist en commentaire. Le DPO c'est qui ? Le DPO, ou Data Protection Officer, ou délégué à la protection des données, son rôle est de veiller au respect du RGPD. Et non, ce n'est pas celui qui met les amendes, ni celui qui valide les pop-up cookies. C'est celui qui documente, alerte, conseille. Et dort mal quand tu collectes trop de données. Imagine un fleuve. Le CISO, c'est le courant principal. Il trace la trajectoire, il évite les rochers, il gère les rapides. Le DPO, c'est le contre-courant. Indépendant, parfois contrariant, mais indispensable. Indispensable pourquoi ? Pour éviter que la rivière ne déborde sur tes données personnelles. Ils partagent le même lit, mais jamais exactement la même direction. Et c'est normal. Mieux, c'est même sain. Sortons de l'eau. Dans la vraie vie, c'est un tandem. Le CISO est devant. Il tient le guidon. Il oriente la stratégie. Le DPO pédale. Aussi. Mais il regarde ailleurs. Et surtout, il reporte à la direction. Et parfois, il crie. Attention ! Tu vas violer le RGPD. Donc, dans les faits, même mission. Protéger les données. Responsabilité différente. Indépendance obligatoire. Et la question classique ? Incident de sécurité ? Data breach ? Ou les deux ? Ajoute NIS2 à l'équation et tu comprends pourquoi ils doivent se parler souvent. Alors, on le met où le DPO ? Pas sous le CISO. Même si le CISO est au comex, il ne représente pas toute la direction. Et là, je cite l'article 38. Le DPO ne reçoit aucune instruction dans l'exercice de ses tâches et rend directement compte au plus haut niveau de direction. Une petite traduction concrète s'impose. Ça veut dire quoi ? Ça veut dire une indépendance fonctionnelle, une protection contre les sanctions et un accès direct à la direction. Donc non, pas de caméra sans lui demander son avis, pas de photo d'employé sur le site web en mode YOLO, pas de placement discret sous la compliance. Et sûrement à gauche du modèle des trois lignes de défense, tu vas me dire. Alors je te fais un petit rappel express du modèle des trois lignes de défense, sinon tu peux retourner écouter ou découvrir l'épisode numéro 20. La première ligne, elle est opérationnelle, les métiers font les traitements. La deuxième ligne, c'est là où il y a le contrôle et l'expertise, donc tu as les risques, compliance, sécurité. La troisième ligne, c'est l'audit interne, et il vérifie que 1 et 2 fonctionnent. Donc, où se situent les DPO exactement dans ce modèle ? Eh bien, pas en première ligne, le DPO ne décide pas et n'exécute pas. Pas vraiment en deuxième ligne non plus. La deuxième ligne définit les règles, impose des contrôles et peut bloquer. Or, le DPO, conseille, recommande, alerte, mais ne décide pas. Il est proche de la deuxième ligne, c'est vrai, mais il doit en rester indépendant. Et pas en troisième ligne non plus. Le DPO n'est pas un auditeur. L'audit peut auditer la fonction de DPO, pas l'inverse. Donc la tentation de la compliance, elle est un peu ironique, soyons honnêtes. RGPD égale réglementation, réglementation égale conformité, donc compliance, c'est logique, non ? Sauf que là... Le DPO devient un scribe, un gestionnaire d'Excel, un chasseur de registres. Et sa parole, une formalité, grave erreur. Le DPO n'est pas un sticker privacy OK, c'est un conseiller indépendant. Et côté advisory alors ? Côté advisory, ça commence à devenir intéressant. Pourquoi ? Analyse de risque, accompagnement de projet, conseil à la direction. Mais attention, s'il conseille trop, il risque de contrôler ce qu'il a fait lui-même, ou ce qu'il a aidé à construire. Donc advisory oui, mais avec une ligne claire. Il n'exécute pas. pas les traitements, il n'arbitre pas le business, il observe, alerte et documente. Et si tu veux mon avis, pour moi, le DPO est un pilier de la gouvernance de la donnée. Sa place idéale, elle est auprès du CISO, du Risk Manager, du Legal. Dans une cellule GRC, gouvernance, risque, conformité, si elle existe. Rattachée à un niveau hiérarchique suffisamment haut. Et surtout, pas dans l'IT, pas dans la prod et pas dans l'ombre. Et la position correcte du DPO... C'est une fonction transversale indépendante, donc elle doit être attachée au CEO, au COMEX ou au BOARD, avec un accès direct au top management, un droit d'alerte et une liberté de dire non. Le CISO et le DPO peuvent partager le même lit de rivière, mais jamais la même hiérarchie. L'un trace le courant, l'autre garantit qu'il reste dans les limites. Et de toute façon, aucun des deux ne dort beaucoup. Alors dis-moi ton DPO, il en est où ? En advisory, en compliance ou en train de faire des affiches RGPD à la cantine ? Passe sur LinkedIn ou Insta, raconte-moi. Et si cet épisode t'a fait sourire, te questionne ou te fait grincer des dents, partage-le et n'oublie pas les 5 étoiles. Et vendredi prochain, on sera après Noël, je verrai si le Père Noël m'a apporté un cadeau. On a deux interviews déjà pliées, une en validation guest et une en montage. A vendredi déjà pour un nouvel épisode de Compliance Without Coma. Merci.

Chapters

Introduction à la relation DPO et CISO
0sec
Définition du rôle du DPO et du CISO
54sec
Indépendance et positionnement du DPO dans l'organisation
1min
Modèle des trois lignes de défense et rôle du DPO
4min
Conclusion et réflexion sur la gouvernance des données
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Introduction à la relation DPO et CISO

Définition du rôle du DPO et du CISO

Indépendance et positionnement du DPO dans l'organisation

Modèle des trois lignes de défense et rôle du DPO

Conclusion et réflexion sur la gouvernance des données

Chapters

Introduction à la relation DPO et CISO

Définition du rôle du DPO et du CISO

Indépendance et positionnement du DPO dans l'organisation

Modèle des trois lignes de défense et rôle du DPO

Conclusion et réflexion sur la gouvernance des données

Chapters

Introduction à la relation DPO et CISO

Définition du rôle du DPO et du CISO

Indépendance et positionnement du DPO dans l'organisation

Modèle des trois lignes de défense et rôle du DPO

Conclusion et réflexion sur la gouvernance des données

Chapters

Introduction à la relation DPO et CISO

Définition du rôle du DPO et du CISO

Indépendance et positionnement du DPO dans l'organisation

Modèle des trois lignes de défense et rôle du DPO

Conclusion et réflexion sur la gouvernance des données