RSSI et DPO : complémentarité ou schizophrénie des fonctions ?
![Image [Route de la surveillance] Épisode 6 - Politiques, lois et réponses : qui régule la surveillance ?](https://incyber.org//wp-content/uploads/2026/02/media-episode-5-885x690.png)
C’est un sujet qui revient périodiquement : les missions des RSSI et des DPO sont-elles très proches ou au contraire sans aucun rapport ? Avant de tenter une réponse à cette question, il faut d’abord factualiser les points communs et les éléments de divergence.
Divergences d’abord, il y a des textes qui régissent l’activité d’un DPO (articles 37, 38 et 39 du RGPD) alors que côté RSSI on ne trouve strictement rien. Strictement, pas tout à fait tout de même, car on trouve des recommandations, des profils de postes qui font autorité et notamment la fiche de mission de l’inoxydable guide du CIGREF sur les métiers de l’IT. Sur ce point, avantage tout de même au DPO, d’autant que les articles susnommés du RGPD garantissent l’indépendance du DPO, qui ne reçoit pas d’instruction dans l’exécution de sa mission. Ce qui tranche définitivement son rattachement, alors que la question du rattachement du RSSI fait encore débat – enfin surtout pour ceux qui n’ont pas compris ce qu’était un RSSI, parce que le RSSI est forcément rattaché au DG, j’arrête de débattre sur ce sujet. Ce qui m’amène au dernier point de divergence : le guide métier du CIGREF fait bien la distinction entre le métier d’expert sécurité et le métier de RSSI (ce qui explique peut-être en partie les débats sur son rattachement), alors que le DPO est seul et unique.
Points communs en revanche, parce que la base du travail de ces deux compères s’articule autour de l’appréciation des risques (nommée EIVP dans le RGPD) et de l’amélioration continue. D’ailleurs, on trouve deux normes qui régissent leurs disciplines (ISO 27001 et ISO 27701) et il est notable de constater que la 27701 est une surcouche de la 27001 : c’est dire à quel point les deux métiers sont liés. D’ailleurs, si l’axe d’analyse n’est plus la base juridique (qui fait apparaître les différences susnommées), mais l’approche normative, alors cela change la donne puisque la 27001 implémente une approche processus, donc la propriété des actifs et des risques par le propriétaire de chaque processus, donc de la fonction d’audit – interne et externe – et de surveillance (exercée par le RSSI la plupart du temps). Et pour en rajouter une couche, il est tout à fait possible d’utiliser la même méthode d’appréciation des risques pour le RSSI et pour le DPO, avec les mêmes échelles : seul l’axe des impacts va différer.
Mais au-delà de ces considérations somme toute factuelles, la question à poser, la seule qui mérite d’être creusée est : on recrute une personne ou deux ? Si nous étions consultant en organisation et que le PDG d’un gros groupe nous demandait de le conseiller sur ce sujet, que lui répondrions-nous ? Les fonctions ont un point commun non évoqué plus haut : l’indépendance de la fonction de contrôle. Le DPO assure des fonctions de sensibilisation, conseil et audit (contrôle) et le CHECK est à la base de la 27001 et de ses dérivées. Tout est donc là pour créer une fonction séparée des processus opérationnels.
Partant de là un seul individu bien cortiqué peut parfaitement assurer la mission, et pour le faire moi-même depuis plusieurs années j’affirme qu’il peut être très difficile, dans la même journée, de dire quel pourcentage du temps j’ai chaussé mes baskets de RSSI ou mes bottes de DPO – ou l’inverse, je ne sais plus.
Mais poussons la réflexion : un individu unique – voire une équipe unique si la taille de l’entreprise le justifie – mais après ? Rattaché à qui ou quoi ? Plusieurs possibilités, excluant toutes évidemment la DSI (interdit pour le DPO, totalement contraire à l’esprit d’indépendance du contrôle pour le RSSI, tiens encore un point commun). Un département conformité pourquoi pas, mais la conformité est surtout statique alors que les normes ISO implémentent un système de management de la qualité qui par essence est dynamique. Un département de contrôle interne est possible÷È, mais on risque de tomber sur la même remarque. Un département juridique possible aussi, mais le RGPD n’en déplaise ce n’est pas du juridique mais un système qualité de type PDCA avec une base juridique, la nuance est de taille. Direction qualité j’aime mieux, cela se marie bien avec l’esprit des deux fonctions. J’ai même vu une fois un rattachement à la direction de la sécurité physique, au motif que..c’était de la sécurité.
Et la réponse est (roulement de tambour) : on s’en fiche. L’important est que ces personnes disposent d’une agilité totale dans l’entreprise, qu’ils puissent se balader dans tous les processus du sol au plafond, que n’importe qui puisse faire appel à leurs services, qu’ils puissent diligenter des audits de façon libre.
Après pour le côté schizophrénique il ne faut pas trop vous inquiéter. Billy Miligan a été diagnostiqué avec 24 personnalités différentes, ça en fait une belle équipe de DPO et RSSI. D’ailleurs qu’est ce qui vous dit si c’est le « moi DPO » ou le « moi RSSI » qui tape sur son clavier à cet instant précis ? D’ailleurs qu’est ce qui vous dit que je suis un agent de mon établissement et pas un patient ?