La vision de Cyber Academy
Le CISO (Chief Information Security Officer) porte la stratégie et le programme de sécurité de l'information. Le DPO (Data Protection Officer) porte la surveillance indépendante, imposée par le GDPR, des traitements de données personnelles. Le RSSI (Responsable de la Sécurité des Systèmes d'Information) est l'équivalent français du CISO. Les trois rôles se recouvrent au niveau du périmètre de la sécurité des données, mais répondent à des mandats différents : le CISO et le RSSI à la direction, le DPO au régulateur.
TL;DR
- 1Le CISO et le RSSI sont le même rôle avec un vocabulaire différent. RSSI est le titre français ; CISO est le titre international. Même périmètre.
- 2Le DPO est indépendant par conception du GDPR, rend compte au plus haut niveau de la direction, ne peut être démis pour l'exercice de son rôle, et constitue le point de contact de l'autorité de contrôle.
- 3Responsabilité du CISO/RSSI : stratégie de sécurité de l'information, registre des risques, réponse aux incidents, reporting au conseil. Mandat issu de la direction.
- 4Responsabilité du DPO : surveillance de la conformité au GDPR, examen des DPIA, droits des personnes concernées, dialogue avec l'autorité de contrôle. Mandat issu du règlement.
- 5Ils se recouvrent sur la sécurité des données (Article 32 du GDPR) et la réponse aux incidents. Une même personne ne devrait pas cumuler les deux rôles dans les organisations d'une certaine taille : le DPO doit rester indépendant des décisions de traitement que le CISO met en oeuvre.
Deux responsabilités, un seul périmètre
La confusion entre ces rôles ne porte pas sur les intitulés de poste. Elle porte sur l'autorité à laquelle chaque personne répond. Le CISO et le RSSI pilotent un programme pour le compte de la direction : ils sont jugés sur la question de savoir si l'organisation est suffisamment sûre pour continuer à fonctionner, et si le conseil comprend le risque résiduel qu'il porte. Le DPO répond à un tout autre maître. Le rôle existe parce que le GDPR a placé une fonction de conformité indépendante au sein de l'organisation, et cette fonction rend compte au plus haut niveau de la direction tout en restant à l'écart des décisions opérationnelles qu'elle doit évaluer. Un côté optimise pour l'entreprise. L'autre côté doit être en mesure de dire à l'entreprise qu'elle a tort.
En termes opérationnels, le CISO et le RSSI construisent et défendent ; le DPO examine et conteste. Lorsqu'une équipe marketing veut enrichir une base clients avec des données tierces, le CISO demande si cela peut être fait de manière sécurisée et le DPO demande si cela devrait être fait, au regard des tests de licéité, de minimisation et de limitation des finalités. Les deux questions sont légitimes. Ce n'est pas la même question, et dès l'instant où vous les réunissez en une seule personne, vous perdez la seconde.
La comparaison qui compte vraiment
La plupart des comparaisons publiées s'arrêtent aux définitions. La distinction qui tranche les conflits d'organigramme, c'est la ligne de reporting et la source du mandat, car c'est ce qui détermine qui peut passer outre qui et qui porte la responsabilité quand quelque chose tourne mal.
| Dimension | CISO | DPO | RSSI |
|---|---|---|---|
| Mandat principal | Stratégie et programme de sécurité de l'information | Surveillance indépendante des traitements de données personnelles | Identique au CISO (titre français) |
| Source de l'autorité | Déléguée par la direction | Imposée et protégée par le GDPR | Déléguée par la direction |
| Rend compte à | CEO, conseil, ou comité des risques | Plus haut niveau de la direction, avec indépendance | Direction générale ou DSI |
| Responsable de | Registre des risques, contrôles, réponse aux incidents, reporting au conseil | Examen des DPIA, droits des personnes concernées, registre des traitements, dialogue avec l'autorité de contrôle | Même périmètre que le CISO, contexte réglementaire français |
| Peut être démis pour avoir fait son travail ? | Oui, comme tout dirigeant | Non, protégé contre la révocation liée à l'exercice du rôle | Oui, comme tout dirigeant |
| Certifications de signalement | CISM, PECB CCISO, Lead Cybersecurity Manager, CRISC | GDPR DPO, CDPSE, ISO 27701 Lead Implementer | Identique au CISO, souvent avec en plus l'ISO 27001 du marché français |
La colonne des certifications est le signal concret que lit un responsable du recrutement. Un profil de leader sécurité se construit sur le CISM pour le titre de niveau management, le PECB Certified CISO pour le cadrage exécutif, et le Lead Cybersecurity Manager pour la construction du programme. Un profil de protection des données se signale par le titre Certified Data Protection Officer et une couche d'ingénierie vie privée comme le CDPSE. Les deux stacks ne sont pas interchangeables, et un CV qui les mélange sans rôle principal clair signale en général quelqu'un qui n'a fait ni l'un ni l'autre en profondeur.
Là où ils se recouvrent réellement : l'Article 32 et les incidents
Le recouvrement est réel, et prétendre le contraire est précisément ce qui amène les organisations à laisser des trous. L'Article 32 du GDPR exige des mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles : chiffrement, résilience, capacité à rétablir la disponibilité, et test régulier de ces mesures. C'est du travail de sécurité. Le CISO porte les contrôles qui le réalisent. Mais le DPO doit être en mesure d'évaluer si ces mesures sont appropriées au risque pour les personnes concernées, ce qui est un angle différent de celui d'appropriées à l'entreprise.
La manière propre de gérer cela : le CISO est responsable de la mise en oeuvre et de l'exploitation des mesures de l'Article 32, et le DPO est responsable de la formation d'une opinion indépendante sur leur adéquation. Le CISO élabore le standard de chiffrement au repos ; le DPO consigne dans la DPIA qu'il est suffisant pour le traitement concerné, ou signale qu'il ne l'est pas. Personne ne valide ses propres devoirs.
L'ISO 27701 se situe exactement sur cette couture. Il étend un ISMS ISO 27001 en un système de management de l'information relative à la vie privée, ce qui donne au CISO et au DPO un cadre de contrôle commun au lieu de deux vocabulaires déconnectés. Le cours ISO 27701 Lead Implementer est la qualification la plus utile pour la personne qui doit faire dialoguer le programme de sécurité et le programme de protection de la vie privée.
La réponse aux incidents est le second recouvrement, et celui qui casse sous la pression. Le CISO pilote la réponse technique : contenir, éradiquer, rétablir. Le DPO pilote l'horloge réglementaire : le GDPR donne 72 heures pour notifier à l'autorité de contrôle une violation de données personnelles, et cette appréciation (est-ce une violation, est-elle notifiable, les personnes concernées sont-elles à risque) relève du DPO, pas du CISO. Si ces deux personnes ne sont pas dans la même pièce dans la première heure d'un incident grave, vous allez soit sur-notifier et brûler votre crédibilité auprès du régulateur, soit sous-notifier et manquer le délai.
Pourquoi une seule personne ne devrait pas cumuler CISO et DPO
La raison est structurelle, pas une question de charge de travail. Le GDPR exige que le DPO soit exempt de tout conflit d'intérêts : le DPO ne peut occuper une fonction qui implique de déterminer les finalités et les moyens du traitement des données personnelles. Un CISO fait exactement cela. Le CISO décide quels logs sont conservés, combien de temps vivent les sauvegardes, quelle surveillance inspecte le trafic des employés, quels prestataires traitent les données. Ce sont des décisions de traitement. Une même personne qui à la fois les prend et est censée les auditer en toute indépendance ne peut faire le second travail, car l'autorité de contrôle n'acceptera pas l'auto-évaluation comme une surveillance indépendante.
Ce n'est pas un avis de Cyber Academy. Des autorités de contrôle européennes ont déjà sanctionné des organisations pour avoir nommé un DPO qui occupait aussi un rôle opérationnel sur le traitement qu'il était censé superviser. Dans une petite organisation, vous pouvez réellement disposer d'une seule personne capable de faire les deux. La réponse n'est pas alors de combiner les rôles ; c'est de faire de cette personne le CISO et de nommer le DPO en externe, ou inversement. Un DPO externe est une solution reconnue et souvent plus propre, précisément parce que l'indépendance y est intégrée par construction.
La réalité de la salle d'audit
Lorsqu'un auditeur ISO 27001 ou une autorité de contrôle examine cela, ils testent une seule chose : pouvez-vous démontrer que les décisions de sécurité et les décisions de vie privée ont été prises par des personnes dotées de la bonne autorité et de la bonne indépendance. La preuve qu'ils attendent est banale et précise.
- Un RACI ou équivalent qui nomme qui est responsable du registre des risques par opposition au registre des traitements, sans qu'aucune personne ne cumule le rôle d'exploitation et le rôle de surveillance pour un même contrôle.
- Des enregistrements d'incidents montrant que le DPO a été mobilisé sur la notifiabilité et le CISO sur le confinement, avec des horodatages qui tiennent dans la fenêtre de 72 heures.
- Des DPIA qui portent une opinion indépendante du DPO sur les mesures de sécurité, et non une validation sécurité réétiquetée en revue de protection de la vie privée.
Les compétences d'audit et d'assurance qui rendent cela démontrable relèvent encore d'un profil distinct. Le CISA construit la discipline d'audit et de preuve, et le CRISC construit le langage de quantification du risque qui permet au CISO de présenter le risque résiduel au conseil dans des termes sur lesquels il peut réellement décider. Ce sont les titres qui transforment une structure défendable en une structure démontrable.
Erreurs courantes à éviter
- Traiter le CISO et le RSSI comme deux rôles à pourvoir séparément. Ce sont le même rôle ; le titre suit la langue et le contexte réglementaire, pas le périmètre.
- Laisser le DPO rendre compte au CISO ou à la fonction informatique. Cela détruit l'indépendance qu'exige le GDPR et constitue un constat facile pour n'importe quel régulateur.
- Supposer que la certification la plus élevée l'emporte. Un titulaire du CISM n'est pas pour autant qualifié comme DPO, et un solide titre de DPO ne fait de personne un leader sécurité. Adaptez le titre au mandat.
- Rédiger un rapport au conseil qui fond le risque de sécurité et le risque de vie privée en un seul chiffre. Le conseil doit voir les deux, parce que les conséquences et les autorités impliquées sont différentes.
Les organisations qui réussissent ceci n'ont pas plus d'effectifs que celles qui échouent. Elles ont une réponse claire à une seule question : pour toute décision portant sur des données personnelles, qui la construit et qui la juge de manière indépendante. Gardez ces deux réponses dans deux personnes différentes, donnez à chacune le titre qui correspond à son mandat, et l'organigramme cesse d'être une source de constats d'audit.
Frequently asked questions
01Une même personne peut-elle être CISO et DPO ?
Techniquement oui dans les petites organisations, mais l'EDPB le déconseille fortement. Le DPO doit rester indépendant des décisions de traitement ; le CISO met en oeuvre ces décisions. Dans une petite structure où la même personne tranche, l'indépendance est fictive.
Dans toute organisation d'une taille significative (plus de 50 ETP traitant un volume significatif de données personnelles), séparez les rôles. Le DPO peut être rattaché à l'équipe juridique, à l'équipe risques, ou rendre compte directement au CEO. Le CISO se situe dans l'organisation technologique ou sécurité.
02Quelles certifications signalent un CISO ?
Le CISM (ISACA) est le titre le plus courant sur un CV de CISO : environ 60 % des offres de CISO en Europe le demandent. Le ISO 27001 Lead Implementer ou Lead Auditor (PECB) vient ensuite. Le CISSP est l'alternative traditionnelle de style américain.
Pour les postes de RSSI français, les qualifications reconnues par l'ANSSI (EBIOS Risk Manager, qualifications via les programmes SecNumCloud ou PASSI) pèsent en complément ou à la place des titres internationaux.
03Quelles certifications signalent un DPO ?
Le Certified Data Protection Officer (CDPO, délivré par PECB, aligné sur le GDPR) est la référence européenne. Le CIPP/E (IAPP) est le titre international alternatif en matière de protection de la vie privée, particulièrement reconnu dans les entreprises ayant une présence aux États-Unis.
Pour les DPO techniques (ingénieurs vie privée opérant au sein de l'équipe sécurité ou à ses côtés), le CDPSE (ISACA) est le complément technique. Le ISO/IEC 27701 Lead Implementer (PECB) est le titre orienté système de management pour les organisations exploitant un ISMS de protection de la vie privée.
04Comment leurs salaires se comparent-ils en Europe ?
Forte variance selon le pays et le secteur. En France en 2026, un CISO/RSSI expérimenté dans une entreprise du CAC 40 perçoit un salaire de base de 130 000 à 220 000 euros. Un DPO expérimenté dans la même entreprise perçoit un salaire de base de 90 000 à 150 000 euros. Dans les services financiers, les deux rôles se situent 20 % à 30 % plus haut. Dans le mid-market, les deux rôles se situent 30 % à 40 % plus bas.
L'écart de rémunération reflète le périmètre : le CISO/RSSI porte le budget, les effectifs, les choix technologiques. Le DPO porte la surveillance, l'indépendance, le contact réglementaire.







