Externaliser son DPO, un gage de conformité et de confiance

Instauré par le RGPD, le DPO est au centre du dispositif de mise en conformité des organismes.
Son rôle, son statut et ses missions témoignent de l’importance qui lui est accordée par le législateur.
A cet égard, même quand sa désignation n’est pas obligatoire, il reste fortement recommandé d’en désigner un (I) et de l’externaliser auprès d’un cabinet d’expert (II).

1. Il est toujours opportun de nommer un DPO

Nous le savons, même lorsque ce n’est pas obligatoire, le RGPD offre toujours la possibilité aux organismes de désigner un DPO.

Selon nous, cette option laissée à l’appréciation des entreprises doit être vue comme une opportunité à saisir procurant un avantage concurrentiel.

1) Un gage de conformité

Avoir un DPO, c’est avoir en effet l’assurance que l’organisme au sein duquel il exerce ses missions sera en conformité avec le RGPD :

• Expert en protection des données personnelles et en sécurité informatique, il saura mobiliser ses compétences afin de cartographier les traitements de données à caractère personnel et guider l’entreprise dans son programme de mise en conformité
• Facilitateur et chef de projet inné, il n’aura aucun mal à avoir une vision transverse et à déployer ses actions dans le cadre d’une concertation constructive avec les différentes parties prenantes.
• Son expertise enfin, permettront de limiter les risques inhérents aux traitements qui pèsent tant sur les personnes concernées que sur votre entreprise

2) Un gage de confiance

Nommer un DPO est incontestablement un gage de confiance auprès de vos clients et de vos partenaires qui seront assurés que les données qu’ils vous ont confiées seront protégées.

La publication des coordonnées du DPO sur les sites web ainsi que sur votre documentation publicitaire aura donc vocation à rassurer vos interlocuteurs tout en valorisant l’image de votre entreprise.

3) Au service du principe d’accountability et de la pérennité de votre entreprise

Nous le savons, selon le principe d’accountability, il appartient aux organismes de prouver leur conformité non seulement à l’autorité de contrôle mais aussi à leurs partenaires économiques.

En effet, il ne sera désormais plus possible pour les entreprises d’avoir des relations contractuelles avec des organismes qui ne seront pas en conformité avec le RGPD.

Sauf à mettre votre business model en péril, Il sera donc nécessaire de démonter auprès de vos partenaires et de vos clients que vous avez un réel plan d’action afin de pouvoir continuer à leurs vendre des biens et des services.

Pour ce faire, vous devrez être capable de produire un certain nombre de documents, à savoir des procédures, des guides, des grilles de contrôle, des registres….

A l‘instar de ces éléments, la désignation d’un DPO pourra également contribuer à démontrer que votre organisme est en conformité.

2. Les avantages de l’externalisation

Nomination en interne, mutualisation ou externalisation, le RGPD offre un grand nombre de possibilités aux organismes qui doivent ou qui souhaitent avoir recours aux services d’un DPO.

Parmi ces dernières, c’est incontestablement l’externalisation qui a notre faveur.

1) Un gage de compétence et d’indépendance

Le RGPD indique clairement que le DPO doit avoir, lors de sa nomination, les compétences et les connaissances nécessaires pour exercer ses missions. Ce qui nécessitera vraisemblablement une  formation RGPD.

Nous l’avons dit, les qualités dont celui-ci doit faire preuve sont multiples : expert juridique, expert en sécurité informatique, chef de projet, gestionnaire de risque et facilitateur.

Le DPO doit combiner des compétences juridiques et une compréhension suffisante des aspects techniques pour dialoguer efficacement avec les équipes. En pratique, trouver ce profil en interne peut être difficile, là où l’externalisation permet d’accéder à une équipe pluridisciplinaire réunissant ces expertises.

Par définition d’ailleurs, un DPO externe sera de facto indépendant et à l’abri de tout conflit d’intérêt, exigences clairement posées par le règlement européen.

2) Un gage de souplesse et de responsabilisation

Le RGPD impose que le DPO ne puisse être relevé de ses fonctions ou pénalisé par l’organisme pour avoir exercé ses missions (article 38 §3). En pratique, la désignation ou le remplacement du DPO doivent être notifiés à la CNIL, mais il n’existe pas de procédure contraignante de type ‘avis préalable’ comme c’était le cas pour le CIL.

Sur ce point, l’externalisation apporte plus de souplesse dans la mesure où elle permet de changer de DPO plus facilement en dénonçant le contrat de service.

De plus, rappelons que l’entreprise reste pleinement responsable et qu’en aucun cas le DPO ne saurait engager sa responsabilité si l’organisme dans lequel il exerce ses missions s’avère ne pas être en conformité.

La responsabilité de la conformité reste toujours portée par le responsable de traitement. Toutefois, un DPO externe peut voir sa responsabilité contractuelle engagée vis-à-vis de l’organisme si ses prestations ne sont pas exécutées conformément au contrat.

3) Un gage d’économie

Outre les frais de formation que le DPO devra suivre régulièrement, il peut être très couteux pour un organisme de mobiliser à plein temps une ressource en interne.

Quelle que soit la structure de l’entreprise, l’externalisation est incontestablement avantageuse en termes de coûts.

Dans le même thème : Le Master Data Management, un outil indispensable de conformité RGPD

Vous souhaitez externaliser la fonction de DPO ?

Vous ne savez pas comment faire et vous y prendre ?
Notre équipe est à votre écoute pour répondre à vos questions et ensemble mettre en conformité votre entreprise au RGPD.

En savoir plus

Demandez votre devis