RSSI, DPO... Ces deux acronymes reviennent souvent ensemble, créant parfois la confusion. Pourtant, ce sont deux métiers distincts avec des missions, obligations légales et périmètres différents. Peut-on cumuler les deux rôles ? Comment doivent-ils collaborer ? Qui recruter en priorité ? Décryptage complet.
Définitions : RSSI vs DPO
RSSI : Responsable de la Sécurité des Systèmes d'Information
Mission principale : Protéger l'ensemble du système d'information contre toutes les cybermenaces (hackers, ransomwares, espionnage, sabotage).
Focus : CIA Triad = Confidentialité, Intégrité, Disponibilité des SI
Obligation légale : Non obligatoire sauf secteurs régulés (OIV, NIS2, santé, finance). Fortement recommandé pour toutes les entreprises > 50 salariés.
DPO : Data Protection Officer (Délégué à la Protection des Données)
Mission principale : Garantir la conformité au RGPD et protéger les droits des personnes concernées par les traitements de données personnelles.
Focus : Protection des données personnelles (RGPD)
Obligation légale : Obligatoire pour organismes publics, entreprises traitant données à grande échelle, ou traitements sensibles (santé, justice, RH).
Tableau Comparatif Détaillé
| Critère | RSSI | DPO |
|---|---|---|
| Cadre légal | NIS2, ISO 27001, LPM, DORA (selon secteur) | RGPD (Règlement UE 2016/679) |
| Périmètre | Tout le SI (serveurs, réseaux, applications, data, users) | Uniquement les données personnelles |
| Objectif principal | Sécurité technique et organisationnelle | Conformité RGPD et droits des personnes |
| Autorité de tutelle | ANSSI (+ régulateurs sectoriels) | CNIL |
| Indépendance requise | Non (peut dépendre de la DSI/COMEX) | Oui (indépendance hiérarchique obligatoire) |
| Sanctions non-respect | Jusqu'à 10M€ (NIS2), responsabilité dirigeants | Jusqu'à 20M€ ou 4% CA mondial (RGPD) |
| Certifications types | CISSP, CISM, ISO 27001 Lead Auditor | DPO certifié CNIL, Juriste RGPD |
| Profil type | Ingénieur cybersécurité, expérience technique forte | Juriste ou consultant, connaissance RGPD approfondie |
Missions Respectives : Qui Fait Quoi ?
Missions du RSSI
- Définir et piloter la Politique de Sécurité des SI (PSSI)
- Analyse de risques cyber (EBIOS, ISO 27005)
- Déploiement des solutions techniques (firewall, EDR, SIEM, MFA)
- Gestion des incidents de sécurité et réponse à incident
- Tests d'intrusion, audits de sécurité
- Sensibilisation cybersécurité (phishing, mots de passe, ingénierie sociale)
- Plan de Continuité/Reprise d'Activité (PCA/PRA)
- Conformité NIS2, ISO 27001, certifications sectorielles
Missions du DPO
- Tenir le Registre des traitements de données personnelles
- Réaliser les Analyses d'Impact (PIA/DPIA) sur les traitements à risque
- Conseil aux métiers sur conformité RGPD (nouveaux projets, formulaires, bases clients)
- Point de contact CNIL (déclarations, contrôles)
- Gestion des demandes d'exercice de droits (accès, rectification, suppression, portabilité)
- Notification violations de données à la CNIL (< 72h) et personnes concernées
- Rédaction/mise à jour Politique de confidentialité, CGU/CGV, mentions légales
- Formation RGPD des équipes (marketing, RH, commercial, dev)
- Audit des sous-traitants (contrats DPA, conformité RGPD)
Zone de Recouvrement : Où RSSI et DPO se Rencontrent
Bien que distincts, RSSI et DPO collaborent étroitement sur certains sujets :
Sujets en Commun
1. Sécurité des Données Personnelles
- DPO : Identifie les données personnelles, leur sensibilité, les finalités de traitement
- RSSI : Met en place les mesures techniques de protection (chiffrement, contrôle d'accès, anonymisation)
2. Gestion des Violations de Données (Data Breach)
- RSSI : Détecte la violation, mène l'investigation technique, remédie la faille
- DPO : Évalue l'impact RGPD, notifie la CNIL (< 72h) et les personnes concernées si nécessaire
3. Analyses d'Impact (PIA/DPIA)
- DPO : Pilote l'analyse RGPD (proportionnalité, minimisation, droits des personnes)
- RSSI : Contribue sur le volet sécurité technique (risques cyber, mesures de protection)
4. Contrats Sous-Traitants
- DPO : Vérifie les clauses RGPD (DPA, durées de conservation, localisation données)
- RSSI : Audite la sécurité du sous-traitant (certifications, mesures techniques, SOC2/ISO)
Qui Doit Nommer un DPO ? (Obligation Légale RGPD)
Obligation Légale : 3 Cas
Le RGPD impose la désignation d'un DPO dans 3 situations :
- Organismes publics : Toute autorité publique ou organisme public (État, collectivités, universités, hôpitaux publics) SAUF juridictions.
- Traitements à grande échelle : Suivi régulier et systématique des personnes à grande échelle (ex : géolocalisation, profilage publicitaire, notation clients).
- Données sensibles à grande échelle : Traitement massif de données sensibles (santé, opinions politiques, religion, biométrie, données pénales).
Exemples d'entreprises OBLIGÉES de nommer un DPO :
- Hôpitaux et cliniques (données de santé)
- Banques et assurances (scoring, profiling clients)
- Plateformes e-commerce > 100k clients (suivi comportemental)
- RH/recrutement traitant > 5 000 candidats/an
- Agences marketing avec DMP (Data Management Platform)
Et si je ne suis pas obligé ? Fortement recommandé si vous traitez > 10 000 contacts ou si vous êtes régulièrement confronté à des demandes RGPD (accès, rectification, suppression).
Peut-on Cumuler RSSI et DPO ? (Avantages et Risques)
La question revient souvent dans les PME cherchant à optimiser les coûts : "Notre RSSI peut-il aussi être DPO ?"
Avantages du Cumul
- Économie : Un seul interlocuteur au lieu de deux
- Cohérence : Vision unifiée sécurité + RGPD
- Efficacité : Moins de coordination nécessaire
- Expertise combinée : Le RSSI maîtrise déjà la sécurité technique des données
Risques du Cumul
- Conflit d'intérêts : Le RSSI décide des mesures de sécurité, le DPO doit les auditer indépendamment
- Compétences différentes : RSSI = tech, DPO = juridique/processus. Rare de maîtriser les deux au même niveau
- Charge de travail : Deux rôles exigeants, risque de négliger l'un ou l'autre
- Indépendance DPO compromise : Le RGPD exige l'indépendance du DPO vis-à-vis de la hiérarchie
Recommandation CNIL
La CNIL autorise le cumul RSSI/DPO À CONDITION qu'il n'y ait pas de conflit d'intérêts. En pratique, cela signifie :
- Le RSSI/DPO ne doit pas être celui qui décide seul des moyens et des finalités des traitements
- Il doit avoir un rattachement hiérarchique garantissant son indépendance (COMEX, pas DSI)
- Il doit disposer du temps et des ressources suffisantes pour les deux missions
Verdict : Quand Cumuler, Quand Séparer ?
| Taille/Contexte | Recommandation |
|---|---|
| PME < 50 salariés | Cumul possible si RSSI certifié DPO et temps suffisant (2-3j/sem mini) |
| PME 50-150 salariés | Cumul envisageable mais recommandé de séparer si traitements RGPD complexes |
| ETI 150-500 salariés | Séparation recommandée : charge de travail trop importante pour une seule personne |
| Grande Entreprise > 500 salariés | Séparation obligatoire : RSSI temps plein + DPO temps plein (voire équipe DPO) |
| Secteur santé, finance, tech | Séparation recommandée : enjeux RGPD majeurs nécessitant expertise juridique forte |
Modèles d'Organisation : 4 Scénarios Types
Scénario 1 : RSSI et DPO Externalisés (PME 30-100 salariés)
Configuration :
- RSSI temps partagé : 1j/semaine (900-1200€/j) = 40-50k€/an
- DPO externe : forfait annuel 5-10k€ (selon volume traitements)
Total : 45-60k€/an pour les deux fonctions
Scénario 2 : RSSI Externe + Référent RGPD Interne (PME 100-200 sal)
Configuration :
- RSSI temps partagé : 2j/semaine = 80-100k€/an
- Référent RGPD interne (RH, juriste, DSI) formé DPO : 0,2 ETP
- DPO externe en conseil/audit ponctuel : 5k€/an
Total : ~90k€/an
Scénario 3 : RSSI Interne + DPO Externe (ETI 200-500 sal)
Configuration :
- RSSI interne temps plein : 90-130k€/an (salaire + charges)
- DPO externe temps partagé : 0,5j/semaine = 20-25k€/an
Total : 110-155k€/an
Scénario 4 : RSSI et DPO Internes (GE > 500 sal)
Configuration :
- RSSI interne + équipe cyber (2-5 personnes) : 200-400k€/an
- DPO interne + équipe privacy (1-3 personnes) : 100-200k€/an
Total : 300-600k€/an
Best Practices de Collaboration RSSI-DPO
10 Règles d'Or pour une Collaboration Efficace
- Réunion mensuelle systématique : Point sur incidents, évolutions réglementaires, projets en cours
- Implication DPO dès la conception : Tout nouveau projet/traitement impliquant des données personnelles
- Matrice RACI claire : Qui est Responsable, Approbateur, Consulté, Informé sur chaque sujet
- Procédure data breach commune : Workflow de gestion des violations (qui fait quoi, dans quel délai)
- Tableau de bord partagé : Indicateurs communs (incidents, demandes droits, audits, formation)
- Formation croisée : RSSI formé aux bases du RGPD, DPO sensibilisé aux enjeux cyber
- Participation conjointe aux COMEX : Présentation unifiée des enjeux sécurité + privacy
- Clauses contractuelles harmonisées : Sous-traitants validés par RSSI (sécurité) ET DPO (RGPD)
- Documentation partagée : Registre des traitements accessible au RSSI, PSSI accessible au DPO
- Pas de jeu politique : Objectif commun = protéger l'entreprise et les données, pas défendre son territoire
Conclusion : Deux Métiers Complémentaires, Pas Interchangeables
RSSI et DPO ne sont pas en concurrence mais en complémentarité. Le RSSI protège le SI dans sa globalité, le DPO se concentre sur les données personnelles et les droits des individus. Les deux sont indispensables dans une stratégie cyber complète.
Pour une PME de 50 à 200 salariés, commencer par un RSSI temps partagé est généralement prioritaire (couverture plus large). Le DPO peut être externalisé à moindre coût (5-15k€/an) et intervenir en appui du RSSI. À partir de 200 salariés ou pour les secteurs à fort enjeu RGPD (santé, finance, RH), il devient pertinent de séparer les fonctions.
Besoin d'un RSSI et/ou d'un DPO ?
CIBNET propose les deux expertises : RSSI certifiés (CISSP, ISO 27001) et DPO certifiés CNIL. Nous vous aidons à choisir le modèle adapté à votre organisation.
Discuter de vos besoins