Afin de répondre aux exigences réglementaires en matière de protection des données à caractère personnel, de nombreuses entreprises privées et publiques doivent avoir un Data Protection Officer ou DPO. La nomination d’un employé en internet, à temps plein ou à temps partiel, n’est pas obligatoire. Bien au contraire, le recours à un DPO externalisé présente de multiples avantages.
Comprendre le rôle d’un DPO externalisé
La fonction de Data Protection Officer DPO (ou en français DPD pour Délégué à la Protection des Données) a été introduite par le Règlement Général sur la Protection des Données (RGPD) en 2018. Possédant des compétences techniques, mais également juridiques et relationnelles, ce professionnel est le garant de la conformité de l’entreprise avec l’ensemble des législations et réglementations en vigueur en matière de sécurité des données personnelles.
Les tâches relevant de la fonction de DPO peuvent être confiées à un prestataire tiers. On parle alors de « DPO externalisé » et non de sous-traitance, puisque le DPO travaille directement pour l’entreprise donneuse d’ordre et non pour un prestataire de cette dernière. Cette solution constitue une alternative intéressante à l’embauche d’un expert à plein temps en interne (DPO internalisé).
Pourquoi nommer un DPO externe ?
Les avantages du DPO externe sont multiples :
Profiter d’une expertise pointue
Il dispose d’une expertise identique à celle d’un DPO internalisé. Ses interventions auprès d’organisations de différents types et de différents secteurs lui permettent d’apporter des solutions innovantes. Il ne se cantonne pas à un rôle opérationnel, il fournit du conseil et des recommandations d’ordre stratégique.
Un intervenant indépendant
Totalement indépendant, il fait preuve d’objectivité et d’impartialité dans ses recommandations, ce qui évite les conflits d’intérêts au sein de l’organisation.
Une optimisation des coûts
L’externalisation permet de réduire les coûts, notamment en termes de charges salariales. La facture de prestations est établie en fonction des missions effectuées pour l’entreprise. Cette dernière n’a pas à supporter des dépenses de recrutement ou de formation. Pour référence, un Data Protection Office confirmé perçoit un salaire annuel (hors charge patronale) compris entre 55 000 € et 85 000 €.
Plus de flexibilité
Il permet à l’entreprise de gagner en flexibilité, surtout lorsqu’elle n’a pas besoin de rémunérer un DPO à temps plein. Elle peut solliciter son prestataire pour quelques heures par semaine, ou « à la carte » en cas de demande spécifique.
Quand un DPO est-il obligatoire ?
La présence du DPO est obligatoire dans les organisations répondant aux descriptions suivantes :
- Les autorités publiques ou organismes publics (les ministères, les établissements publics, les collectivités territoriales), en excluant les juridictions administratives et judiciaires.
- Les entreprises dont le métier implique un suivi « à grande échelle, régulier et systématique » de l’activité de personnes : entreprises de vidéosurveillance, banques, assurance, fournisseurs d’accès internet, opérateurs de téléphonie mobile…
- Les entreprises qui traitent des informations sensibles, par exemple sur la situation médicale de personnes, leurs données biométriques, leur origine raciale ou ethnique, leurs convictions religieuses, leurs opinions politiques, l’appartenance syndicale…
- Les entreprises qui gèrent des données concernant des infractions ou des condamnations pénales.
Le non-respect de cette obligation est passible de lourdes sanctions, dont une amende pouvant atteindre 10 millions d’euros.
Même lorsque la nomination d’un DPO est facultative, la CNIL la recommande à toute entreprise traitant des données à caractère personnel. Ce spécialiste assure la conformité avec le RGPD, ce qui rassurer tous les partenaires de l’entreprise, améliorant ainsi son image. Il contribue par ailleurs à la valorisation des données, qui représentent aujourd’hui un actif précieux pour toute organisation.
Les responsabilités clés d’un DPO externalisé
Qu’il soit salarié de l’entreprise ou externe, le DPO remplit les mêmes fonctions. Il garantit le respect par l’entreprise des dispositions qui encadrent le traitement des données à caractère personnel. Outre le Règlement Général sur la Protection des Données (RGPD), il doit notamment maîtriser le contenu de la loi informatique et libertés, ainsi que les directives du Comité Européen relatives à la Protection des Données.
En conséquence, ses missions portent sur trois principaux volets : l’information, le contrôle, et le conseil. Ses attributions peuvent varier en fonction de ses accords avec chaque client.
- Il procède à un audit de conformité RGPD de l’entreprise : identification des données, analyse des traitements et processus, diagnostic de la sécurité des systèmes informatiques, audit des outils (logiciels, bases de données…).
- Il informe toutes les personnes qui manipulent (collecte, traitement, stockage, transfert…) les données à caractère personnel de la réglementation applicable, les sensibilise aux enjeux de la protection de ces informations sensibles.
- Il recommande les mesures à mettre en œuvre pour garantir la conformité des procédures avec la réglementation et assurer une sécurité maximale, des données et du système d’information en général.
- Il réalise les analyses d’impact pour les actions « à risques » qui requièrent des dispositions particulières avant leur déploiement.
- Il contrôle le respect des dispositions légales à toutes les étapes de la gestion de données. En cas de manquement ou de risque détecté, il tire la sonnette d’alarme et pilote la mise en place d’actions correctives.
- Il joue le rôle d’interface entre l’entreprise et la CNIL, qui représente l’autorité de contrôle.