DPO externe : 7 avantages pour votre conformité RGPD

LinkedIn
DPO interne vs DPO externe

DPO externe : 7 avantages pour votre organisation

Cette semaine, nous avons fêté les deux ans d'application du RGPD (Règlement Général sur la Protection des Données). Une harmonisation de la protection des données sur le territoire de l'UE est en marche et nous assistons à un effet de cascade sur les règles mondiales de protection de la vie privée dans le même sens que le RGPD. Dans notre précédent article 2 ans d'application du RGPD, nous listons les positionnements et interprétations du RGPD rendus publiques par les autorités de protection des données et des juridictions européennes.

Aujourd’hui, notre attention est portée sur la fonction de DPO externalisé. Quels sont les points abordés dans cet article ? 

  1. les cas où nommer un DPO est obligatoire 
  2. décryptage terrain pour la désignation d’un DPO
  3. les risques en cas de non désignation d’un DPO
  4. les 7 avantages à externaliser la fonction de DPO

Même si deux ans se sont écoulés, certains organismes s’interrogent encore sur l’obligation d’être conforme au RGPD. Certains organismes quant à eux s’interrogent sur la nécessité de nommer un Délégué à la protection des données (ou plus connu sous les sigles “DPO” ou “DPD”) ou de simplement faire appel à un consultant pour obtenir de l'aide lors du traitement des données personnelles. Dans une première section (ancre), nous nous attacherons à vous donner la solution à cette dernière question : dois-je nommer un(e) DPO au sein de mon organisation ?

Petit rappel, vous devrez vous conformer au RGPD si vous disposez d’un établissement localisé au sein de l’Union Européenne (peu importe que le traitement des données à caractère personnel ait lieu dans l'UE ou non). Si vous ne disposez pas d'un établissement au sein de l'UE, mais offrez des biens et services aux résidents de l'UE (ou surveillez leur comportement), alors vous devrez très certainement vous conformer au RGPD. 

L’obligation de nommer un DPO interne ou externe selon le RGPD

Parmi les nombreuses obligations liées au respect du RGPD, une attention particulière doit être accordée à la question suivante. Faut-il désigner un DPO

L’objectif du DPO interne ou externe : surveiller et conseiller sur le respect du RGPD et des politiques et procédures internes en matière de protection des données personnelles. En pratique, le DPO est souvent en charge des tâches opérationnelles associées à la mise en conformité du RGPD au sein de l’organisation (qu’il s’agissent d’une entreprise, collectivité, association, ONG, etc.).

Les responsables de traitement et les sous-traitants doivent, dans les cas suivants, nommer un DPO.

Quatre cas d'obligation d'un DPO :

  1. Si vous êtes une autorité ou un organisme public (à l'exception des instances juridictionnelles agissant dans le cadre judiciaire) ;
  2. Si vous devez traiter des données à caractère personnel pour atteindre vos principaux objectifs commerciaux/associatifs/organisationnels (autrement dit des activités principales) par toute formes de suivi, par voie électronique ou sur papier, dès lors qu'une personne entre en contact avec vous pour bénéficier de vos biens ou services et cela à grande échelle.
  3. Si vos activités principales consistent en un traitement à grande échelle de catégories particulières de données présentant un caractère “sensible” ou de données relatives aux condamnations pénales et aux infractions (cf. décryptage selon les réalités terrain).
  4. Si vous traitez des données personnelles de résidents dont le droit national exige la nomination d’un(e) DPO (exemples : lois nationales de l'Allemagne, de la Croatie, de la Hongrie et de l'Espagne).

Décryptage terrain pour la désignation d’un DPO interne ou externe

Pour mieux comprendre les cas 3 et 4, il convient d'examiner si le traitement des données est effectué à grande échelle par votre organisation. Pour cela, vous pourrez prendre en compte les facteurs ci-dessous, différents selon chaque organisation. 

  1. quel est le nombre de personnes concernées par vos traitements ?
  2. quel est le volume des données à caractère personnel traitées ?
  3. quel est l'éventail des différentes données traitées ?
  4. quelle est l'étendue géographique de l'activité ?
  5. quelle est la durée ou le caractère persistant de l'activité de traitement ?

Précisions relatives au cas numéro 3 : le RGPD et la Loi Informatique et Libertés, viennent préciser les catégories particulières de données présentant un caractère “sensible” ou les données relatives aux condamnations pénales et aux infractions comme des informations concernant :

  1. la prétendue de l'origine raciale ou ethnique, 
  2. les opinions politiques, 
  3. les convictions religieuses ou philosophiques 
  4. l'appartenance syndicale
  5. des données génétiques, des données biométriques permettant d’identifier une personne physique de manière unique, 
  6. des données concernant la santé 
  7. des données concernant la vie sexuelle ou l'orientation sexuelle
  8. des données à caractère personnel relatives aux faits des condamnations pénales et aux infractions
  9. des données concernant les personnes vulnérables

Vous noterez que tout traitement des données concernant les personnes vulnérables dans votre activité principale vous incite à désigner un DPO étant donné la sensibilité de la situation. 

En somme, si vous vous trouvez dans l’un des cas précités, vous êtes dans l’obligation de désigner un DPO pour votre organisme

Dans tout autre cas, vous êtes libre de choisir entre un spécialiste en matière de la protection des données personnelles et un DPO. En tout état de cause, assurez-vous de la consécration d'un membre du personnel à la gestion interne des actions de conformité RGPD, sans affectation officielle de titres de DPO.

Concernant l’obligation de nommer un DPO, l’équipe de Blockproof est là pour accompagner votre réflexion et trouver des réponses à vos interrogations. Pour cela, vous êtes libre de prendre un rendez-vous à l'heure et le jour qui vous conviennent.

Les risques en cas de non désignation d’un DPO interne ou externe

La non désignation d'un DPO, lorsqu'elle est obligatoire, peut entraîner des sanctions financières très importantes prononcées par les Autorités de Protection des Données, comme la CNIL.

Par ailleurs, dans certaines circonstances, la CNIL peut exiger la désignation formelle d'un DPO

En tout état de cause, nous recommandons aux organismes qui choisissent de ne pas nommer de DPO, de documenter les raisons pour lesquelles cette décision a été prise.

DPO interne ou DPO externe ? 

Dans l’hypothèse où vous avez l’obligation de nommer un DPO, la réglementation vous laisse le choix de désigner un DPO interne pour votre organisme ou un DPO externe.

Toutefois, comment choisir entre DPO interne et DPO externe ?

Un DPO a une vaste série de missions et de responsabilités qui exigent une expertise technique approfondie, ainsi qu'un temps de travail important en matière juridique.

Le rôle du DPO est étendu : il fournit des solutions pour améliorer le niveau de conformité, traite les violations de données personnelles et sert de point de contact pour les personnes concernées et les autorités de protection des données. Le succès du DPO repose essentiellement sur son indépendance vis-à-vis de la direction de l'organisation et sur l'adhésion de cette dernière aux activités du délégué.

Tout conflit d'intérêts survenant au sein de l'entreprise ne doit pas empêcher le DPO de mener ses actions, grâce aux dispositions et aux garanties internes prévues à cet effet. C'est la traduction des critères d'indépendance et d'efficacité.

Après étude, nous avons identifié 7 avantages à désigner un DPO externalisé. Quels sont-ils ?

7 avantages à désigner un DPO externalisé

  1. Absence de conflit d’intérêts du DPO externe
  2. Économies de charges
  3. Flexibilité du DPO externe
  4. Rapidité d’exécution d’un DPO et qualité de service
  5. L’implication totale du DPO externe
  6. Le DPO externe est impartial
  7. Le DPO externe a une vision globale sur votre secteur d’activité

1. Absence de conflit d’intérêts du DPO externe

Récemment, l'autorité belge de protection des données a infligé une amende de 50 000 euros à une entreprise qui avait nommé son responsable de la conformité comme DPO. Les autres autorités de protection des données sont certainement sur la même voie pour évaluer la conformité dans la désignation d'un DPO

Pour cette raison, nous affirmons que les personnes qui, au sein d'un organisme, occupent des fonctions de direction ou des fonctions opérationnelles qui les amènent à déterminer les finalités et les moyens dont le traitement est effectué, ne peuvent être nommées DPO.

Nous constatons que de plus en plus d'entreprises hésitent à nommer un de leurs employés comme DPO interne à temps pleins ou à temps partiel. Pourtant, dans ce cas là, il est peut être difficile pour un(e) salarié(e) d’apporter une analyse franche et indépendante, par peur de froisser sa direction.

2. Économies de charges 

Le recours à un DPO externe permet de réaliser des économies importantes par rapport au coût d’un DPO interne qui peut se chiffrer autour de 60 000 € par an.

Il y a trois raisons principales à cela :

Premièrement, en qualité de spécialiste du RGPD, un DPO externe a la capacité d’optimiser ses processus et réaliser des économies d'échelle ; en comparaison notamment du DPO interne qui exerce une double fonction et dont le RGPD n’est pas la spécialité. 

Deuxièmement, votre fournisseur de service de DPO externe peut vous permettre de réduire les coûts en matière RH : réduction des charges sociales, des coûts de recrutement de l'administration des ressources humaines et des salaires, etc.

Troisièmement, vous disposez, à travers votre fournisseur de service de DPO externe, d'un niveau approprié de ressources et de temps affectées à votre projet au coût approprié.

3. Flexibilité du DPO externe

Le choix de l'expertise, de la durée des missions et du budget est laissé à votre discrétion, surtout si la taille de votre organisme ne réclame pas un DPO à temps plein

Par ailleurs, les organismes établis en dehors de l’UE (traitant des données personnelles des résidents de l’UE) peuvent désigner un DPO externe basé dans le pays membre où se trouvent le plus grand nombre de personnes dont les données sont traitées (par l’organisme).

4. Rapidité d’exécution d’un DPO et qualité de service

En sa qualité de spécialiste, le DPO externe délivre un travail de haute qualité, et traite une demande en moyenne plus rapidement qu’un DPO interne non spécialisé, notamment sur la recherche d’informations et à la modélisation de la solution. 

Vous réduisez ainsi le risque d’erreur et augmentez l’efficacité des procédures. 

5. L’implication totale du DPO externe

Un DPO externe se consacre à 100 % à son activité et maintient son niveau d'expertise et de connaissances à jour et approfondi. Les DPO internes ont généralement du mal à consacrer du temps à leur fonction de DPO lorsqu’il occupe une double fonction dans l’entreprise. En effet, les DPO internes sont rarement des spécialistes du RGPD. Accomplir des tâches en lien avec le RGPD peut sembler fastidieux ou douloureux lorsque la compréhension de l’environnement réglementaire est partiel. 

6. Le DPO externe est impartial 

Les DPO externes travaillent à l'extérieur de l’organisme. Ils ne risquent pas d’avoir un regard biaisé sur une situation interne ou n’ont pas d’intérêt à prendre parti. Ils sont neutres et objectifs. Le DPO fait directement remonter les informations à la direction et n'a pas peur de conflits internes. Un DPO interne va davantage hésiter à s'adresser à ses pairs, notamment si le DPO doit leur annoncer un changement de comportement pour être conforme avec le RGPD. 

7. Le DPO a une vision globale sur votre secteur d’activité 

Les DPO externes disposent généralement d’une vision globale sur le traitement des données dans votre secteur d’activité ainsi qu’un approche terrain pragmatique. 

Conclusion : 

Ainsi, les DPO externes mèneront aisément à bien leur mission de sauvegarde de la protection des données personnelles pour assurer votre conformité au RGPD.

Après lecture de cet article, quelque soit votre choix entre DPO interne et DPO externalisé, notez que le poste de DPO au sein de votre organisation est une nomination importante à laquelle il faudra consacrer une attention particulière.

Si vous vous questionnez encore sur le choix entre DPO interne et DPO externe, notre équipe est là pour vous conseiller dans votre choix.

Notre mission est de vous aider à rouver les solutions qui conviennent le mieux à votre organisation et votre budget. Notez que nos offres concernent aussi bien les DPO internes et que les DPO externes. 

Pour nous rencontrer, vous êtes libre de choisir un créneau à l’heure qui vous convient en suivant le lien suivant.