L'APD a la même mission que la CNIL : donner des avis, faire des contrôles, sanctionner. Elle peut contrôler toutes les institutions de sécurité sociale, ainsi que la BCSS. Le CSI, lui, est un comité dont les décisions ont une portée normative sur le plan juridique : il indique dans quelle situation des données peuvent être échangées, à quelles fins et entre quels acteurs. À condition qu'elles ne s'opposent pas à une norme plus élevée comme le RGPD, ses autorisations donnent une base légale aux organismes de sécurité sociale lorsqu'ils échangent des informations.
Prenons le cas de deux organismes – A et B – qui disposent tous les deux d'une base juridique – le RGPD – pour traiter de l'information. S'ils ont besoin de la même information, le rôle du CSI est par exemple d'autoriser l'organisme A à la transmettre à l'organisme B. Il s'agit d'une mesure de protection des données qui va beaucoup plus loin que le RGPD ; elle permet d'effectuer un contrôle en amont pour agir de manière proportionnelle et sécurisée.
Le CSI a donc un pouvoir normatif, alors que l'APD a une mission d'avis, de contrôle et de sanction. Le RGPD décrit d'ailleurs clairement ce qu'une autorité de protection des données peut faire ou ne pas faire. Avant son entrée en vigueur, un certain nombre de membres de l'APD siégeaient au CSI ; ce n'est plus autorisé, et nous avons scindé clairement les deux institutions.