Quelle est l'utilité de nommer un DPO externe ?

En tant que dirigeant d’entreprise, vous souhaitez vous mettre en conformité avec les dispositions du RGPD et vous vous interrogez sur l’intérêt de nommer un DPO externe ? 

1. Qu’est-ce qu’un DPO ?

Le DPO est chargé d’assurer et de mettre en œuvre la conformité au règlement RGPD des traitements des données mis en place par l’entreprise. Il remplace le CIL (Correspondant Informatique et Libertés), dont la désignation par les entreprises était facultative. Le DPO est également l’interlocuteur principal de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Le DPO peut être interne (il est alors membre du personnel du responsable de traitement) ou externe (il exerce ses missions dans le cadre d’un contrat de prestation de services). 

Le RGPD laisse au responsable de traitement le choix entre ces deux possibilités. 

• mettre en oeuvre la conformité des traitements mis en place par l’entreprise au RGPD, notamment au travers d’audit de mise en conformité ; 
• informer et conseiller le responsable du traitement relativement à ses obligations en matière de protection des données personnelles ;
• être le point de contact des personnes concernées par les traitements des données pour répondre aux questions et gérer les réclamations ;
• assurer la liaison avec la CNIL, dont il est l’interlocuteur principal. 

• les entreprises et les organismes publics ;
• les entreprises dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• les entreprises dont les activités les amènent à traiter à grande échelle des données « sensibles » (données de santé, origines, opinions politiques…) ou relatives à des condamnations pénales et des infractions.

Hormis ces cas de désignation obligatoire, la désignation d’un DPO est seulement recommandée. 

Les entreprises restent libres de désigner un délégué interne ou externe, en fonction de leurs besoins et de leurs ressources. 

2. Qui peut être DPO ?  

Fonction transverse, le DPO est aussi bien juriste que technicien. 

Qu’il soit salarié d’une entreprise ou prestataire externe (avocat, juriste spécialisé en droit du numérique…), il dispose d’une solide expertise juridique et technique en matière de protection des données personnelles. Il bénéficie également d’une connaissance profonde de son secteur d’activité et de l’entreprise dans laquelle il exerce, notamment en ce qui concerne les opérations de traitement et les systèmes d’information. A ce titre, l’article 37 du RGPD dispose que le DPO « est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Pour exercer ses fonctions, le DPO ne doit pas se trouver dans une situation de conflit d’intérêt (exemple : cumul de la fonction de DPO avec une autre fonction). Des fonctions de directeur général, de directeur financier, ou encore de directeur du service informatique cumulées avec des fonctions de DPO sont ainsi exclues. Il doit, par ailleurs, avoir la liberté de rendre compte de son action au plus haut niveau de l’entreprise et de s’exprimer sans restrictions. 

Le métier étant nouveau, il n’existe pas de diplôme de DPO. Sa désignation doit s’effectuer sur des critères objectifs, tels que la culture juridique (en particulier concernant la protection des données personnelles et le droit numérique) et les connaissances en informatique. Ainsi, la plupart des DPO ont aujourd’hui une formation juridique. Des formations certifiantes sont par ailleurs disponibles. 

Dans le cas où la fonction de DPO est confiée à un prestataire externe, il est nécessaire de s’assurer que ce dernier remplit toutes les exigences posées par le RGPD (absence de conflit d’intérêts, indépendance, possibilité de s’exprimer librement, etc).

3. Pourquoi nommer un DPO externe et quels sont les avantages et inconvénients ?

Faut-il nommer un DPO interne ou un DPO externe ? Dans l’absolu, aucun choix n’est meilleur qu’un autre : il s’agit avant tout de s’adapter aux besoins spécifiques, aux préférences et aux ressources de l’entreprise. 

Les entreprises de petite et moyenne taille se tourneront assez logiquement vers l’externalisation. Cette formule permet en effet de minimiser les coûts et de conserver une certaine flexibilité, sans avoir à mobiliser un salarié à temps plein sur la fonction de DPO. En effet, les traitements de données à caractère personnel des petites structures ne nécessitent pas forcément le recours à un salarié à temps plein. En faisant appel à un prestataire, l’entreprise peut ainsi prévoir la mobilisation du DPO un à deux jours par semaine, avec des interventions complémentaires en cas d’urgence. Cette solution “à la carte” offre une souplesse intéressante. 

Par ailleurs, le DPO externe présente l’avantage non négligeable d’être indépendant : or, cette indépendance est plus difficile à assurer lorsque le DPO fait partie de l’entreprise. Enfin, sa formation et le maintien de ses connaissances n’ont pas à être assurées par l’entreprise. C’est un avantage qui a ses limites, puisque cela signifie également que l’entreprise n’a pas le contrôle des compétences mobilisées par le DPO dans le cadre de sa mission. 

Le recours à un DPO externe présente aussi des inconvénients. En effet, il a le désavantage de manquer d’une connaissance approfondie de l’environnement de travail dans lequel il opère. Son temps d’adaptation et de prise de connaissance de l’entreprise devront ainsi être pris en compte. C’est une limite certaine par rapport au DPO interne, qui connaît bien l’entreprise pour y exercer au quotidien. 

4. Pourquoi externaliser la fonction de DPO ?

Le recours à un prestataire externe à l’entreprise a plusieurs avantages, auxquels les petites structures seront particulièrement sensibles. 

Ensuite, la nomination d’un DPO externe permet à l’entreprise de réduire ses coûts. Selon l’IAPP (International Association of Privacy Professionals), le salaire moyen des professionnels de la protection des données personnelles était en 2017 de 77 000 euros annuels. Cela représente un montant non négligeable pour l’entreprise, a fortiori lorsque celle-ci ne bénéficie pas de ressources importantes. 

Un DPO externe présente également l’avantage d’être déjà formé à la protection des données personnelles. Il maîtrise la réglementation en la matière, ce qui décharge l’entreprise de la nécessité de former un ou plusieurs salariés en interne. Enfin, la flexibilité qu’il induit est un avantage non négligeable pour les responsables de traitement. En effet, il est possible de ne mobiliser les services d’un DPO externe qu’à certains moments, en fonction des besoins de l’entreprise. A cet égard, une lettre de mission décrivant précisément de quelle manière le DPO exercera ses fonctions devra être conclue entre le prestataire et le responsable de traitement.