fbpx

dpo interne

dpo externe

DPO externe ou interne

DPO externe ou interne 1260 841 Optimex Data

Optimex Data vous propose des solutions sur-mesure de dpo externalisé et d’accompagnement du DPO interne.

dpo externalisé

Depuis l’application du RGPD au 25 mai 2018, un nouveau métier est apparu, le Délégué à la Protection des Données DPD – Data Protection Officer DPO, qui vient remplacer le Correspondant Informatique et Libertés – CIL.

La question se pose alors de choisir entre la désignation d’un délégué à la protection des données externalisé ou la désignation, en interne, d’un salarié dédié au projet de conformité RGPD. Même si les missions restent identiques et que les exigences du RGPD doivent être respectées, les organismes soumis à cette obligation – article 37 du RGPD, devront trouver leur prochain Délégué à la Protection des Données. Alors, sur quels critères se baser pour répondre à cette question ? Quelles sont les avantages et les inconvénients d’un DPD / DPO externe ou interne ?

Les avantages d’un DPD / DPO interne

Un délégué à la protection des données interne a une bonne connaissance de l’environnement de travail dans lequel il opère. Il connait les interlocuteurs, les valeurs de l’organisme, les process métier mis en place, les outils et logiciels utilisés au quotidien … De plus, un DPD / DPO interne sera plus réactif en cas de nécessité d’intervention physique « immédiate ». Etant un salarié de l’organisme, il est sur site, à proximité des collaborateurs au sein des différents services.

Les inconvénients d’un DPD / DPO interne

En revanche, lors de la désignation du délégué à la protection des données parmi les collaborateurs en place, un climat de tension peut apparaitre avant de savoir qui va « récupérer ce dossier supplémentaire ». Une fois la décision prise, le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.

En effet, les coûts d’un DPD / DPO interne sont difficilement chiffrables, puisque le poste se cumule aux missions actuelles du salarié, la plupart du temps sans augmentation significative du salaire. Enfin, le dernier point de vigilance à avoir quand on désigne un DPD / DPO interne est le risque de conflit d’intérêt. En effet, le délégué à la protection des données doit être neutre et indépendant, à aucun moment il ne peut être juge et partie. C’est souvent pour cette raison que le choix de l’externalisation du poste de DPD / DPO est privilégié.

Les avantages d’un DPD / DPO externe

Le premier avantage d’un délégué à la protection des données externalisé est son indépendance. En tant que conseil auprès de l’organisme, le risque de conflit d’intérêt est levé. De part son expertise, il prend en charge la mission de DPD / DPO en apportant son expérience professionnelle acquise sur le terrain. Certains DPO externalisés peuvent également justifier leur expertise par l’obtention d’une certification, attestant de leurs compétences pour exercer dans le domaine de la protection des données.

Également, le DPD / DPO externalisé permet une maitrise du budget conformité RGPD, grâce à une relation contractuelle entre les deux parties. Enfin, en faisant appel à une agence spécialisée en protection des données, l’organisme s’assure d’une disponibilité immédiate (absence de formation), ainsi qu’une disponibilité à la carte en fonction des besoins, d’une année à l’autre. A noter, qu’il est également possible de mutualiser la fonction de DPD / DPO entre organismes appartenant à un même secteur d’activité.

Les inconvénients d’un DPD / DPO externe

Il est souvent reproché à un DPD / DPO externalisé son coût horaire ou son taux journalier. L’autre inconvénient mis en avant, quand un organisme fait appel à un DPD / DPO externalisé, est le temps d’adaptation et la prise de connaissance de l’organisme. Il est inévitable qu’en tant que prestataire conseil, un DPD / DPO externe prenne un temps pour analyser l’existant et se familiariser avec l’environnement et les méthodes de travail de l’organisme.

En conclusion …

Alors, à la question « Doit-on externaliser ou internaliser la fonction de délégué à la protection des données ? », il est impossible d’avoir une réponse binaire. Il convient d’étudier le contexte, les ressources à disposition – ressources financières et humaines, la taille de l’organisme, ainsi que les besoins à court et long terme sur la conformité RGPD.

Faire appel à un DPD / DPO externalisé est courant pour toute la mise en place opérationnelle de la conformité, puis de former en parallèle un DPD / DPO interne pour prendre le relai au niveau du suivi de la conformité RGPD. Puis, ponctuellement, l’organisme refait appel au DPD / DPO externalisé pour la réalisation des analyses d’impact, la sensibilisation du personnel ou tout autre mission à la carte. En revanche, il est important de rappeler que les « plateformes de mise en conformité » ne peuvent pas garantir la conformité au RGPD. Ces solutions métier ne remplacent pas un DPD / DPO compétent, qu’il soit interne ou externalisé.

optimex data, dpo conformité rgpd

Nommer un DPO : Comment bien choisir son DPO ?

Nommer un DPO : Comment bien choisir son DPO ? 1380 920 Optimex Data

Le DPOData Protection Officer ou Délégué à la Protection des Données est un acteur clé dans la mise en conformité des organismes au RGPD (Règlement Général sur la Protection des Données).

Le DPO est obligatoire pour certains secteurs, notamment le secteur public et le domaine de la santé. Il est souvent recommandé dans beaucoup d’activités comme le webmarketing, les organismes en lien avec les particuliers ou les prestataires informatiques. Dès lors qu’une structure traite et stocke des données personnelles, elle doit s’interroger sur l’obligation ou non de désigner un DPO.

Selon le RGPD, les organismes répondant aux 3 critères suivants ont l’obligation de nommer un DPO :

  • Activité de base reposant sur les données: l’organisme peut réaliser ses objectifs en traitant absolument les données personnelles dont elle dispose (comme c’est le cas pour un hôpital qui traite les données médicales de ses patients)
  • Traitement à grande échelle: en fonction du nombre de personnes concernées, le volume de données (ou le spectre des catégories de données), la durée de l’activité de traitement et l’étendue géographique de l’activité permettent d’identifier si le traitement répond au critère de « grande échelle »
  • Suivi régulier: il faut regarder la fréquence du traitement des données, s’il est récurrent ou marginal.

Qui peut être DPO ?

Dès lors qu’un organisme a l’obligation de nommer un DPO, il faudra s’interroger sur « Qui peut prétendre à être désigner DPO ». La nomination du DPO est précisée dans les articles 37 à 39 du Règlement.

Tout d’abord, c’est un nouveau métier qui nécessite différentes compétences : juridiques, organisationnelles et informatiques. La personne désignée en tant que DPO sera le chef d’orchestre de la mise en conformité RGPD de l’entité, avec les missions suivantes :

  • Informer et Conseiller
  • Contrôler le respect du RGPD
  • Etre un point de contact avec la CNIL
  • Encadrer la documentation et les procédures

Ensuite, il faut veiller à désigner en tant que DPO une personne neutre et indépendante, afin de veiller à l’absence de conflit d’intérêt. L’intégrité et l’éthique professionnelle du DPO sont des qualités intrinsèques qui devront caractériser le DPO. Le DPO peut être un membre du personnel ou un prestataire externe.

Comment désigner un DPO ?

Dès lors que l’organisme a choisi son DPO, il convient de s’assurer que le DPO aura à sa disposition les moyens nécessaires pour exercer ses missions, qu’il aura la capacité d’agir en toute indépendance, en plus des compétences requises en expertise juridique, technique et organisationnelle.

La désignation du DPO est faite en ligne, sur le site de la CNIL, à l’aide d’un formulaire à remplir directement depuis le site internet : https://www.cnil.fr/fr/designation-dpo

Depuis ce formulaire en ligne « Désignation DPO », il sera possible de préciser si le DPO est salarié de la structure ou si le DPO est un prestataire externe.