Avec l’arrivée du règlement général sur la protection des données (RGPD), beaucoup d'entreprises sont désormais contraintes de s’appuyer sur un Data Protection Officier (DPO) pour se mettre en conformité avec ce nouveau cadre juridique. Quel est donc le rôle d’un DPO ? Faut-il ou non externaliser cette fonction ?
Gros plan sur le rôle d’un DPO
Le règlement général sur la protection des données, plus connu sous le sigle RGPD, est d’un texte règlementaire européen qui encadre rigoureusement le traitement des données personnelles. Conformément aux articles 37 à 39 de ce nouveau cadre juridique, lorsqu’une entité est établie sur le territoire de l’Union européenne et que celle-ci traite des données à caractère personnel, elle se verra dans l’obligation de désigner un dpo dans la perspective de se mettre en conformité au RGPD.
Plus concrètement, un data protection officier ou délégué à la protection des données est un individu dont la vocation première est de prendre en charge la protection des données personnelles traitées par un organisme. Auprès du responsable de traitement de données ou du sous-traitant, le DPO exerce une mission de conseil, d’avis, de contrôle de la conformité interne. En étant un interlocuteur privilégié de la Commission nationale de l’informatique et des libertés (CNIL), il a aussi pour mission de coopérer avec celle-ci. Par ailleurs, il examine et évalue scrupuleusement l’Analyse d’impact de la protection des données (AIPD) ou Data protection impact Assessment (DPIA). Le but étant de mettre sur pied un plan d’action sans faille permettant à la firme de se conformer au RGPD. Bref, un DPO, tout au long de son intervention, précise à tous les acteurs du traitement ce que ceux-ci se doivent de respecter au regard du RGPD, dont il contrôle et évalue constamment la bonne application. Pour en savoir plus sur le DPO, on n’a qu’à se rendre sur www.dpms.eu.
Fonction de DPO : faut-il ou non l’externaliser ?
Un data protection officier peut être un membre du personnel du sous-traitant ou du responsable du traitement, ou un individu qui exerce ses missions sur la base d’un contrat de service. Dans tous les cas, cette fonction requiert toute une panoplie de connaissances en matière de législation en vigueur et en culture informatique, mais aussi des qualités personnelles et professionnelles qui lui permettront de réaliser ses missions, lesquelles sont précisées dans l’article 39 du RGPD. Ainsi, lorsque l’on s’apprête à se mettre en conformité RGPD, la question peut systématiquement se poser sur le fait d’externaliser ou non la fonction de DPO. Concrètement, chaque cas est spécifique. Une entité ne disposant d’aucun personnel cumulant les qualités d’un DPO aura tout intérêt à solliciter l’expertise de pointe d’un tiers. Il se peut aussi qu’un organisme disposant en interne de toutes les compétences en matière de protection de données et de la sécurisation des systèmes d’information peut prendre la décision de faire appel à un DPO externe, notamment pour des raisons pragmatiques : jouer la carte de la prudence, éviter à tout prix les sanctions en cas de non-conformité.
N.B. Avant de solliciter ou non l’expertise d’un DPO externe, il importe de toujours mesurer le pour le contre de la décision que l’on souhaite prendre. De toute façon, on a besoin d’un personnage clé et stratégique pour se conformer à la RGDP.
Les avantages d’un DPO externalisé
Le fait d’externaliser sa fonction DPO présente en effet de nombreux avantages avérés parmi lesquels figurent principalement la neutralité et l’indépendance du DPO externe. Cela permet en effet de limiter significativement les risques de conflit d’intérêts. Miser sur le DPO externalisé, c’est aussi se permettre de maîtriser les coûts. À noter qu’un DPO interne est toutefois rémunéré au même ordre de grandeur que celui d’un cadre supérieur. Or, en s’orientant vers un prestataire externe, on bénéficie d’une grande flexibilité en matière de coût du fait qu’un DPO externe ne travaille qu’à temps partiel. Le DPO externalisé est aussi synonyme de gain de temps significatif. On peut bien sûr entamer les démarches de mise en conformité RGPD sans que l’on ait à se préoccuper des enjeux règlementaires qui y sont inhérents ainsi que de la formation d’un salarié interne. Cela étant dit, on peut se recentrer sur ses missions stratégiques pendant que l’on s’appuie sur des experts de la protection des données personnelles.