DPO externe : les 7 avantages indiscutables pour votre organisme
Dans le cadre d'une mise en conformité, de plus en plus d'entreprises, associations dans le secteur médico-sociale et établissements publics s'interrogent sur la nomination d'un de leurs employés comme DPO interne à temps pleins ou à temps partiel. Malgré les idées reçues associées à la fonction de DPO, nous avons préparé une petite synthèse des avantages pour vous aider dans votre réflexion. Le présent article a été rédigé en collaboration avec Kumudithe P. en sa qualité de Juriste DPO.
Les 7 avantages à choisir un DPO externe :
- L'absence de conflit d’intérêts du DPO externe
- Le DPO externe vous évite de perdre de l'argent
- Flexibilité du DPO externe
- Réduire le risque d'erreur
- L’implication totale du DPO externe
- Le DPO externe est impartial mais ne décide pas
- Vision globale de votre secteur d’activité
L'absence de conflit d’intérêts du DPO externe
"Ne pas être juge et parti", comme dirait l'adage. Dans le cadre du RGPD, la loi prévoit l'absence de conflit d'intérêt. En somme, le Responsable de traitement ne peut pas être DPO. Pour mémo, le Responsable de Traitement est la personne physique (ou morale) décisionnaire, qui détermine les finalités des informations utilisées et les moyens mis en œuvre dans le traitement de la données.
Récemment, l'autorité belge de protection des données (APD) a infligé une amende de 50 000 euros à une entreprise qui avait nommé son responsable de traitement comme DPO. Il est donc crucial de désigner un délégué qui ne soit pas dans une situation de conflit d'intérêts parmi les membres du personnel. En interne, les salariés qui occupent des fonctions de direction (ou des fonctions opérationnelles qui les amènent à déterminer les finalités et les moyens dont le traitement est effectué), ne peuvent être nommées DPO.
Le premier avantage du DPO externe est d'éviter le conflit d'intérêts, tel que le prévoit la réglementation et les recommandations de la CNIL.
Le DPO externe vous évite de perdre de l'argent
Choisir un DPO externe plutôt qu'un DPO interne permet dans la majorité des cas (hors grands comptes tels que la FNAC, Renault, AirFrance, etc) de réaliser des économies de charge.
Le salaire d'un DPO (Data Protection Office) professionnel va en effet osciller entre 55 000 euros et 85 000 euros par an (hors charge patronale).
En complément, le DPO externe vous apporte une sécurité juridique qui vous permet d'éviter les sanctions (jusqu'à 4% du chiffre d'affaires ou 20 millions d'euros d'amende).
Pourquoi le DPO externe est moins cher ?
Premièrement, en qualité de spécialiste du RGPD, un DPO externe a la capacité d’optimiser ses processus et réaliser des économies d'échelle ; en comparaison notamment du DPO interne qui exerce une double fonction et dont le RGPD n’est pas la spécialité.
Deuxièmement, votre fournisseur de service de DPO externe peut vous permettre de réduire les coûts en matière RH : réduction des charges sociales, des coûts de recrutement, frais administratif, suivi RH, salaires, etc.
Troisièmement, vous disposez, votre fournisseur de services de DPO externe va normalement vous proposer un un niveau approprié de ressources et de temps affectées à votre projet (et au coût approprié). Pour en savoir plus sur les prix, vous pouvez aussi vous rendre sur notre page offre et demandez un devis gratuit.
Flexibilité du DPO externe
Le choix de l'expertise, de la durée des missions et du budget est laissé à votre discrétion, surtout si la taille de votre organisme ne réclame pas un DPD à temps plein. Pour mémo, le sigle "DPD" est la version française de DPO pour Délégué à la Protection des Données.
Par ailleurs, les organismes établis en dehors de l’UE (traitant des données personnelles des résidents de l’UE) peuvent désigner un DPO externe basé dans le pays membre où se trouvent le plus grand nombre de personnes dont les données sont traitées (par l’organisme).
Réduire le risque d'erreur grâce au DPO externe
En sa qualité de spécialiste, le DPO externe délivre un travail de haute qualité, et traite une demande en moyenne plus rapidement qu’un DPD interne non spécialisé, notamment sur la recherche d’informations et la modélisation de la solution.
Vous réduisez ainsi le risque d’erreur et augmentez l’efficacité des procédures.
Attention cependant à privilégier les Délégué à la Protection des Données disposant d'un BAC+5 en droit du numérique ou droit de la santé pour les établissements médico-sociaux éventuellement qui seront Juristes de profession généralement, et parfois avocats.
Etant donné que le Règlement Général sur la Protection des Données est avant tout un métier juridique (et non d'informaticien), le niveau des consultants n'ayant pas réalisé d'étude de droit est plus aléatoire. A vous d'estimer lorsque vous faites le choix d'un DPD.
L’implication totale du DPO externe
Un DPO externe se consacre à 100 % à son activité et maintient son niveau d'expertise et de connaissances à jour et approfondi. Les DPO internes ont généralement du mal à consacrer du temps à leur fonction de DPO lorsqu’il occupe une double fonction dans l’entreprise.
En effet, les DPO internes sont rarement des spécialistes du RGPD. Accomplir des tâches en lien avec le RGPD peut sembler fastidieux ou douloureux lorsque la compréhension de l’environnement réglementaire est partiel.
Si vous vous questionnez sur le choix entre DPO interne et DPO externe, notre équipe est là pour vous conseiller dans votre choix. Rendez-vous sur notre page offre pour obtenir les tarifs.
Le DPO externe est impartial mais ne décide pas
Les DPO externes travaillent "à l'extérieur" de l’organisme. Ils ne risquent pas d’avoir un regard biaisé sur une situation interne et n’ont pas d’intérêt à prendre parti. Ils sont neutres et objectifs. Le DPO fait directement remonter les informations à la direction (responsable des traitements).
Un DPO interne va davantage hésiter à s'adresser à ses pairs, notamment si le DPO doit leur annoncer un changement de comportement pour être conforme avec le RGPD.
Chez Blockproof, nous attachons aussi de l'importance à ce que la mise en conformité soit réalisée dans la facilité pour l'ensemble des équipes.
Le DPO a une vision globale sur votre secteur d’activité
Les DPO externes disposent généralement d’une vision globale sur le traitement des données dans votre secteur d’activité ainsi qu’un approche terrain pragmatique. Les DPO externes mèneront aisément à bien leur mission de sauvegarde de la protection des données personnelles pour assurer votre conformité au RGPD. Quelque soit votre choix entre DPO interne et DPO externalisé, notez que le poste de DPO au sein de votre organisation est une nomination importante à laquelle il faudra consacrer une attention particulière.
Une harmonisation de la protection des données sur le territoire de l'UE est en marche et nous assistons grâce au RGPD, à un effet de cascade sur les règles mondiales de protection de la vie privée. Aujourd’hui, notre attention s'est portée sur la fonction essentielle de DPO externe ou Délégué à la protection des données externalisé. Pour reprendre les éléments clés de la fonction du DPO (définition, désignation, responsabilité, etc.) et approfondir la notion (comment trouver un DPO ? quelle tarification ? quels sont les pièges à éviter ? etc.), consultez notre article : DPO RGPD, le guide ultime pour la Direction.