Délégué à la Protection des Données (DPO) externalisé
Le délégué à la protection des données (Data protection officer- DPO) est une personne en charge de la protection des données à caractère personnel par un organisme, c'est l’ancêtre du Correspondant informatique et liberté (CIL).
Le Réglement GPD impose à certains organismes de désigner un délégué à la protection des données, vous pouvez nommer une personne au sein de votre entreprise ou bien faire appel à un DPO extenalisé.
Pourquoi ?
Le RGPD impose que le DPO soit indépendant afin d’éviter les éventuels conflits d’intérêt au sein d’un organisme (article 38 du RGPD). Il ne doit en effet recevoir aucun ordre, ni être soumis à aucune sanction. Désigner un DPO externalisé apparait être l’unique solution pour éviter les risques de conflits d’intérêt au sein de l’organisme et garantir l’impartialité légale nécessaire.
Établir une mise en conformité au RGPD n’est pas toujours chose aisée pour un organisme. En effet, cette mise en conformité suppose une documentation précise et détaillée pour chaque pôle d’un organisme (exemple : services ressources humaines ; service informatique ; gestion de la sous-traitance…) ainsi que la rédaction de nombreuses mentions légales afin d’informer les clients et les collaborateurs.
La mise en conformité stricte au RGPD est donc un travail méthodique qui ne tolère aucune approximation. Nommer un DPO externe plutôt qu’un DPO interne (un collaborateur par exemple) permettra d’assurer une mise en conformité en bonne et due forme.
Le DPO va impulser, coordonner les actions de mise en conformité au RGPD. Mais cela nécessite du temps et de la disponibilité. Faire appel à un DPO externe vous permet de gagner du temps et d’obtenir des réponses claires et opérationnelles du fait de son expérience.
Le DPO externalisé est une opportunité à prendre en compte pour les organismes qui ont pris du retard dans leur mise en conformité.
Afin de pouvoir vérifier la conformité d’un organisme aux règlementations en vigueur (RGPD, Loi Informatique et Libertés..), le DPO doit pouvoir mener des audits de conformité auprès de l’organisme concerné.
Le but est d’identifier plusieurs points du processus de traitement (finalités du traitement, destinataires du traitement, durée de conservation…).
Faire appel à un DPO externalisé vous permettra de trouver des solutions adaptées pour conformer le processus de gestion des données personnelles de l’organisme aux normes en vigueur.
Le RGPD impose au DPO d’être soumis au secret professionnel ou à une obligation de confidentialité (article 38.8 du RGPD) dans la mesure où ce dernier, dans l’exercice de ses missions, à accès à un grande nombre d’informations relatives au secteur d’activité de l’organisme.
Faire appel à un DPO externe plutôt qu’à un DPO interne garantira cette obligation de confidentialité du fait de sa neutralité au sein de l’organisme.
Le DPO externe permet à l’organisme de se mettre en conformité au RGPD sans devoir recruter un collaborateur supplémentaire à temps plein, compte tenu des dépenses que cela implique. Un organisme pourra alors recruter un DPO externalisé à temps partiel. De plus, les coûts investis dans la nomination d’un DPO seront toujours inférieurs aux risques que peut présenter un non-respect du RGPD (amende, perte d’image …)
Le DPO doit être désigné sur la base de ses qualités professionnelles et , en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données à caractère personnel, et de sa capacité à accomplir ses missions (article 37.5 du RGPD).
Faire appel à un DPO externe, c’est faire appel à des personnes qui traitent de manière quotidienne des sujets liés aux enjeux de la protection des données à caractère personnel au sein de secteur d’activités variés.
Le DPO est l’interlocuteur privilégié de toutes les personnes concernées par le traitement de leurs données à caractère personnel. Il est nécessaire que ces personnes puissent joindre rapidement et facilement le DPO.
Dans le même sens, le DPO doit être capable d’agir dans l’urgence (exemple : lorsqu’une fuite de données survient, le DPO ne dispose que d’un délai de 72h pour agir).
Avec l’entrée en vigueur du RGPD, les clients ont davantage conscience de la protection de leurs données à caractère personnel. Dès lors, certains menacent très souvent de stopper leur relation commerciale avec les organismes qui ne se conforment pas strictement aux normes imposées par le RGPD.
Désigner un DPO externalisé peut alors apparaître comme une solution pour préserver son chiffre d’affaires, d’autant plus s’il s’agit d’un véritable expert reconnu. L’organisme pourra même bénéficier d’un avantage concurrentiel pour vendre plus en rassurant ses clients potentiels.
Des certifications RGPD existent et permettent de prouver tant aux clients qu’aux collaborateurs le respect strict des normes issues du RGPD. D’une manière générale, un organisme qui souhaite obtenir une certification RGPD devra avoir désigner officiellement un DPO auprès de la CNIL et présenter et prouver le travail de conformité du DPO.
Ainsi, les organismes qui décident de recourir à un expert de qualité leur donnera la certitude d’être certifiés.
Comment ?
Le DPO est le chef d’orchestre de la protection des données à caractère personnel, il doit :
- Informer et conseiller l’organisme, ses partenaires et ses collaborateurs
- Contrôler le respect du RGPD et des dispositions issues du droit national (en France, la Loi « Informatique et Libertés » )
- Conseiller le Responsable de traitement ou le Sous-traitant sur la réalisation d’une analyse d’impact et en vérifier l’exécution
- Conseiller l’organisme en cas de violation de donnés à caractère personnel et notifier l’autorité de contrôle et les personnes concernées
- Coopérer avec l’autorité de contrôle (CNIL)
- Répondre aux demandes des personnes concernées par le traitement
Délégué à la Protection des Données (DPO)
La désignation d’un DPO externalisé permettra à un organisme de rassurer ses partenaires en démontrant sa conformité au RGPD, mais également de tisser un lien de confiance avec sa clientèle en prouvant que leurs données à caractère personnel sont protégées.
Un organisme est libre de choisir un DPO en interne (exemple : un membre du personnel), ou de faire appel à un DPO externe (article 37.6 du RGPD) en fonction de l’approche la plus adaptée à ses besoins, son organisation, et son degré de maturité en matière de conformité au RGPD.
Dans tous les cas, la fonction de DPO requiert de nombreuses connaissances et savoirs en matière de protection des données à caractère personnel, tant au regard de la réglementation en vigueur (européenne et nationale), que de la culture informatique et du secteur d’activité de l’organisme. Toutefois, lorsqu’un organisme s’apprête à se mettre en conformité au RGPD, la question peut naturellement se poser sur le fait d’externaliser ou non la fonction de DPO.
J'ai fondé SecuriTrust en 2016 car l'avenir des actifs digitaux étaient devenus trop incertains. Il était devenu nécessaire de sécuriser les données et les applications des entreprises.
Comment puis-je vous aider ?