Quelle est l'utilité de nommer un DPO externe ?

par
5
Obtenir un devis de Me Lefroy

Sommaire

  1. Qu’est-ce qu’un DPO ?
  2. Qui peut être DPO ?
  3. Pourquoi nommer un DPO externe et quels sont les avantages et inconvénients ?
  4. Pourquoi externaliser la fonction de DPO ?
Obtenir un devis de Me Lefroy
Le Data Protection Officer (DPO), ou délégué à la protection des données en français, est chargé de la protection des données personnelles au sein des entreprises publiques ou privées. Il s’agit d’une nouveauté du Règlement Général sur la Protection des données (RGPD) du 25 mai 2018, qui mentionne la fonction du DPO dans son chapitre IV. Obligatoire dans certains cas et recommandée dans d’autres, la désignation d’un DPO s’avère, pour de nombreuses entreprises, relativement compliquée en raison du coût qu’elle induit. C’est pour cette raison que de plus en plus d’organismes privilégient le recours à un prestataire externe. 

En tant que dirigeant d’entreprise, vous souhaitez vous mettre en conformité avec les dispositions du RGPD et vous vous interrogez sur l’intérêt de nommer un DPO externe ? 

Me Mathilde Lefroy, avocate en droit des nouvelles technologies, répond dans cet article aux questions que vous vous posez sur ce sujet. 

 

1/ Qu’est-ce qu’un DPO ?

 

Le DPO est chargé d’assurer et de mettre en œuvre la conformité au règlement RGPD des traitements des données mis en place par l’entreprise. Il remplace le CIL (Correspondant Informatique et Libertés), dont la désignation par les entreprises était facultative. Le DPO est également l’interlocuteur principal de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Le DPO peut être interne (il est alors membre du personnel du responsable de traitement) ou externe (il exerce ses missions dans le cadre d’un contrat de prestation de services). 

Le RGPD laisse au responsable de traitement le choix entre ces deux possibilités. 

Les missions du DPO sont définies dans le RGPD aux articles 38 et 39. Concrètement, sa fonction consiste à s’assurer du respect des dispositions du RGPD dans son entreprise et à assister et conseiller le responsable du traitement. Il doit ainsi : 
  • mettre en oeuvre la conformité des traitements mis en place par l’entreprise au RGPD, notamment au travers d’audit de mise en conformité ; 
  • informer et conseiller le responsable du traitement relativement à ses obligations en matière de protection des données personnelles ;
  • être le point de contact des personnes concernées par les traitements des données pour répondre aux questions et gérer les réclamations ;
  • assurer la liaison avec la CNIL, dont il est l’interlocuteur principal. 
La désignation d’un DPO est obligatoire pour :
  • les entreprises et les organismes publics ;
  • les entreprises dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • les entreprises dont les activités les amènent à traiter à grande échelle des données « sensibles » (données de santé, origines, opinions politiques…) ou relatives à des condamnations pénales et des infractions.

Hormis ces cas de désignation obligatoire, la désignation d’un DPO est seulement recommandée. 

Les entreprises restent libres de désigner un délégué interne ou externe, en fonction de leurs besoins et de leurs ressources. 

2/ Qui peut être DPO ?  

 

Fonction transverse, le DPO est aussi bien juriste que technicien. 

Qu’il soit salarié d’une entreprise ou prestataire externe (avocat, juriste spécialisé en droit du numérique…), il dispose d’une solide expertise juridique et technique en matière de protection des données personnelles. Il bénéficie également d’une connaissance profonde de son secteur d’activité et de l’entreprise dans laquelle il exerce, notamment en ce qui concerne les opérations de traitement et les systèmes d’information. A ce titre, l’article 37 du RGPD dispose que le DPO « est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Pour exercer ses fonctions, le DPO ne doit pas se trouver dans une situation de conflit d’intérêt (exemple : cumul de la fonction de DPO avec une autre fonction). Des fonctions de directeur général, de directeur financier, ou encore de directeur du service informatique cumulées avec des fonctions de DPO sont ainsi exclues. Il doit, par ailleurs, avoir la liberté de rendre compte de son action au plus haut niveau de l’entreprise et de s’exprimer sans restrictions. 

Le métier étant nouveau, il n’existe pas de diplôme de DPO. Sa désignation doit s’effectuer sur des critères objectifs, tels que la culture juridique (en particulier concernant la protection des données personnelles et le droit numérique) et les connaissances en informatique. Ainsi, la plupart des DPO ont aujourd’hui une formation juridique. Des formations certifiantes sont par ailleurs disponibles. 

Dans le cas où la fonction de DPO est confiée à un prestataire externe, il est nécessaire de s’assurer que ce dernier remplit toutes les exigences posées par le RGPD (absence de conflit d’intérêts, indépendance, possibilité de s’exprimer librement, etc).

 

3/ Pourquoi nommer un DPO externe et quels sont les avantages et inconvénients ?

 

Faut-il nommer un DPO interne ou un DPO externe ? Dans l’absolu, aucun choix n’est meilleur qu’un autre : il s’agit avant tout de s’adapter aux besoins spécifiques, aux préférences et aux ressources de l’entreprise. 

Les entreprises de petite et moyenne taille se tourneront assez logiquement vers l’externalisation. Cette formule permet en effet de minimiser les coûts et de conserver une certaine flexibilité, sans avoir à mobiliser un salarié à temps plein sur la fonction de DPO. En effet, les traitements de données à caractère personnel des petites structures ne nécessitent pas forcément le recours à un salarié à temps plein. En faisant appel à un prestataire, l’entreprise peut ainsi prévoir la mobilisation du DPO un à deux jours par semaine, avec des interventions complémentaires en cas d’urgence. Cette solution “à la carte” offre une souplesse intéressante. 

Par ailleurs, le DPO externe présente l’avantage non négligeable d’être indépendant : or, cette indépendance est plus difficile à assurer lorsque le DPO fait partie de l’entreprise. Enfin, sa formation et le maintien de ses connaissances n’ont pas à être assurées par l’entreprise. C’est un avantage qui a ses limites, puisque cela signifie également que l’entreprise n’a pas le contrôle des compétences mobilisées par le DPO dans le cadre de sa mission. 

Le recours à un DPO externe présente aussi des inconvénients. En effet, il a le désavantage de manquer d’une connaissance approfondie de l’environnement de travail dans lequel il opère. Son temps d’adaptation et de prise de connaissance de l’entreprise devront ainsi être pris en compte. C’est une limite certaine par rapport au DPO interne, qui connaît bien l’entreprise pour y exercer au quotidien. 

 

4/ Pourquoi externaliser la fonction de DPO ?

 

Le recours à un prestataire externe à l’entreprise a plusieurs avantages, auxquels les petites structures seront particulièrement sensibles. 

Tout d’abord, un prestataire est nécessairement neutre et indépendant. Or, ces caractéristiques sont indispensables à l’exercice des fonctions du DPO. 

Ensuite, la nomination d’un DPO externe permet à l’entreprise de réduire ses coûts. Selon l’IAPP (International Association of Privacy Professionals), le salaire moyen des professionnels de la protection des données personnelles était en 2017 de 77 000 euros annuels. Cela représente un montant non négligeable pour l’entreprise, a fortiori lorsque celle-ci ne bénéficie pas de ressources importantes. 

Un DPO externe présente également l’avantage d’être déjà formé à la protection des données personnelles. Il maîtrise la réglementation en la matière, ce qui décharge l’entreprise de la nécessité de former un ou plusieurs salariés en interne. Enfin, la flexibilité qu’il induit est un avantage non négligeable pour les responsables de traitement. En effet, il est possible de ne mobiliser les services d’un DPO externe qu’à certains moments, en fonction des besoins de l’entreprise. A cet égard, une lettre de mission décrivant précisément de quelle manière le DPO exercera ses fonctions devra être conclue entre le prestataire et le responsable de traitement. 

Saviez-vous qu’un avocat peut être désigné comme DPO externe ? Compétent et expérimenté, ce professionnel du droit saura vous accompagner dans la réalisation de votre mise en conformité au RGPD.
Me Mathilde Lefroy

Écrit par

Me Mathilde Lefroy

Me Mathilde Lefroy : Avocate expérimentée, avec un engagement fort pour les entrepreneurs, j’accompagne une clientèle française et internationale de start-up, TPE, PME et groupes internationaux afin de garantir la sécurité juridique de leurs projets. Mes domaines d’expertise comprennent : le Droit des contrats, le Droit de la propriété intellectuelle et des technologies de l’information et de la communication, la protection des données personnelles, et le  secteur des énergies renouvelables. 

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Modèle de contrat SaaS : un pari risqué avec le RGPD ?

Vous êtes en train de développer un tout nouveau logiciel, celui-ci sera exploité en mode Saas. ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier