DPO externalisé : une solution viable ?

You are currently viewing DPO externalisé : une solution viable ?

MT : DPO externalisé : les avantages

MD : DPO externalisé : Une solution conseillée en terme de RGPD pour alléger les coûts et gagner du temps. Toutes les données nécessaires en ce qui concerne cette externalisation.

Le DPO ou encore le délégué à la protection des données est un personnage-clé et stratégique de la conformité RGPD au sein d’une entreprise. Depuis l’entrée en vigueur de la politique de protection sur des données à caractère personnel, la nomination de celui-ci a été rendue obligatoire pour les organisations et les institutions publiques qui effectuent des traitements:

  • exigeant  un suivi régulier/systématique à grande échelle
  • portant sur des données sensibles (courant politique, données de santé, orientations sexuelles…)
  • portants sur des individus fragiles (salariés, malades, enfants…).

À la fois crack en informatique et juriste de haut vol, peu d’organisations peuvent se vanter de posséder le profil de DPO au sein de leur équipe. D’où la question de l’externalisation. Zoom sur les principaux avantages du DPO externalisé.

Rappel sur les missions du DPO

Travaillant en étroite collaboration avec le chef d’entreprise, le DPO est chargé de conseiller/informer ce dernier de toutes les questions liées à la protection des données à caractère personnel. Il assure de la relation qu’entretien l’entreprise avec les personnes concernées (notamment les propriétaires des données collectées par l’entreprise), tout en supervisant la bonne application des principes du RGPD. Avec les RSSI, il conçoit des mesures correctives. C’est également lui qui conseille sur les analyses d’impact (PIA). En cas de perte de données, ses points de vue sur toutes les décisions relatives aux données privées peuvent s’avérer très utiles. À noter qu’il est également chargé d’assurer la relation de l’entreprise avec la CNIL (Commission nationale de l’Information et des Libertés).

Le poste de délégué à la protection nécessite des connaissances approfondies dans des domaines qui se trouvent être variés et contradictoires : connaissance juridique du RGPD, maîtrise de la sécurité information, des prérequis en cybersécurité. Il doit en plus avoir un excellent sens de la communication pour pouvoir inoculer les nouvelles obligations des entreprises.

Externaliser son DPO

Faire appel à un DPO externalisé présente bien des avantages. En effet, ce choix offre une plus grande garantie de l’indépendance de l’entreprise. Il limite également les risques de conflit d’intérêts (surtout lorsque le futur DPO possède le statut de salarié).

Opter pour un DPO externalisé, dans une certaine mesure, permet une meilleure maitrise des coûts. Il faut savoir qu’un DPO en interne, au vu de l’importance de son poste, sera très certainement rémunéré au même ordre de grandeur que celui d’un cadre supérieur. Le coût du DPO externalisé quant à lui est plus raisonnable puisqu’il ne travaillera pas à plein temps ; et c’est d’ailleurs en fonction de la charge que sa disponibilité pourra être régulée.

Autres avantages du DPO externalisé : le gain du temps. L’entreprise n’aura pas besoin de recourir à des formations puisque le prestataire externe peut d’ores et déjà travailler avec un expert confirmé (certification DPO exigée). Et lorsqu’il s’agit de remplacer ce dernier, nul besoin de passer par les difficultés de licenciement d’un DPO interne protégé par un statut de salarié et le par le RGPD lui-même, la relation contractuelle est libre.

Il serait intrépide d’affirmer qu’opter pour un DPO externalisé ne présente que des avantages. Le prestataire externe prendrait un petit temps d’adaptation aux rouages de l’entreprise, mais son efficacité n’en reste pas moins garantie.

Désigner ou non un DPO externalisé

Avant de désigner ou un non un DPO externalisé, il convient de déterminer en amont si l’entreprise est obligée ou non d’en disposer un. Le nouveau règlement relatif à la protection des données est resté assez flou sur le sujet. Mais il est certain toutefois que toutes les entreprises qui réalisent des traitements de données sensibles, du profilage, des traitements de données portant sur des personnes fragiles ou encore des traitements de surveillance à grande échelle doivent désigner un DPO externalisé.

Cette liste reste bien évidemment non exhaustive. En cas de doute, designer un DPO externalisé reste une solution préventive. A noter que ce choix est actuellement encouragé par le RGPD (bonne preuve d’ « accountability » d’une entreprise).