DPO interne ou DPO externe, comment choisir ?
Le choix d'un DPO est essentiel dans la conduite de la conformité RGPD et recommandé par la CNIL, même lorsque sa désignation est facultative. Dans l’hypothèse où souhaitez désigner un Délégué à la protection des données, la réglementation vous laisse le choix de désigner un DPO interne à votre organisme ou un DPO externe. Toutefois, comment choisir entre DPO interne et DPO externe ?
Si vous consultez cet article, il est très probable que vous sachiez que le RGPD s'applique à votre organisme. Si vous avez encore un doute sur les conditions d'application du RGPD, voici un court mémo : le RGPD s'applique à votre organisme si vous disposez d’un établissement localisé au sein de l’Union Européenne et ce, peu importe que le traitement des données à caractère personnel ait lieu dans l'UE ou non. Si vous ne disposez pas d'un établissement au sein de l'UE, mais proposez des biens et services aux résidents de l'UE (ou surveillez leur comportement), alors vous devrez très certainement vous conformer au RGPD.
DPO interne et DPO externe : 7 étapes pour vous aider à choisir
- valider sa compréhension du RGPD et le rôle du DPO
- identifier ses ressources ETP : appétences juridiques, besoin de formation éventuel, qualité rédactionnelle, vision transversale de votre organisme et absence de conflits d'intérêt
- mesurer la disponibilité de ses ETP
- comprendre les missions opérationnelles à réaliser au sein de son organisme pour réussir la mise en place de la conformité (à ne pas confondre avec la mission de suivi du DPO)
- distinguer travail opérationnel pour la mise en place et mission de suivi du DPO dans l'évaluation de la charge de travail interne
- collecter 2 ou 3 devis pour vous forger une idée sur les prix (formation DPO interne et/ou DPO externe) auprès de prestataires spécialisés comme Blockproof et/ou auprès de confrères avocats et consultants
- intégrer dans son choix la paix sociale pour les équipes (car étant donné que le RGPD n'est pas un sujet qui passionne les foules, il est important de demander à son prestataire quel est concrètement le travail, la charge demandée aux équipes et en quoi le prestataire facilite la mise en place du projet)
Bien entendu, ces éléments sont des pistes de réflexion permettant une première analyse. Vous pouvez aussi identifier en interne des facteurs complémentaires dans le choix d'un DPO interne ou DPO externe.
Rappelez-vous que le Délégué à la Protection des Données a de nombreuses missions et responsabilités qui exigent une expertise technique approfondie, ainsi qu'un temps de travail important en matière juridique. Son rôle de DPO est étendu : il fournit des solutions pour améliorer le niveau de conformité, traite les violations de données personnelles et sert de point de contact pour les personnes concernées et les autorités de protection des données. Le succès du DPO repose essentiellement sur son indépendance vis-à-vis de la direction de l'organisation et sur l'adhésion de cette dernière aux activités du délégué. Tout conflit d'intérêts survenant au sein de l'entreprise ne doit pas empêcher le DPO de mener ses actions, grâce aux dispositions et aux garanties internes prévues à cet effet. C'est la traduction des critères d'indépendance et d'efficacité.
Est-ce intéressant de choisir un DPO interne ?
Choisir un DPO interne n'est pas intéressant pour les structures ne disposant pas d'une ressource interne disposée à assumer cette fonction, et ayant l'indépendance nécessaire pour celle-ci. Généralement, les DPO internes sont d'avantages présents dans les structures de plus 4000 salariés. L'avantage est de pouvoir mettre en place et suivre, en collaboration avec la DSI et la Direction Générale, une stratégie globale en matière de protection des données. Le choix d'un DPO interne dans une grande structures permet aussi de réduire les coûts. Dans une petite structure, il est généralement moins onéreux de choisir un DPO externe plutôt que de recruter un Juriste DPO dont le salaire se situe entre 55 000 et 85 000 euros annuel pour les plus expérimentés.
Choisir un DPO interne et le former
Si vous optez pour le choix d'un DPO interne, qui n'est pas de profession juridique, votre ETP devra être formé (via des formations éligibles Qualiopi par exemple). En effet, la fonction de DPO implique la maîtrise de compétences juridiques essentielles à la sécurité de votre organisme. De plus, votre DPO interne devra disposer du temps nécessaire pour la mise en conformité. Sans cela, la personne désignée DPO ne pourra pas exercer sa fonction.
Choisir un DPO externe : quels avantages ?
- L'absence de conflit d’intérêts du DPO externe
- Économies de charges
- Flexibilité du DPO externe
- Rapidité d’exécution d’un DPO et qualité de service
- L’implication totale du DPO externe
- Le DPO externe est impartial mais ne décide pas
- Le DPO externe a une vision globale sur votre secteur d’activité
Pour affiner votre analyse sur le choix d'un DPO interne ou DPO externe, nous vous proposons de creuser les 7 avantages à désigner un DPO externalisé.
Si vous hésitez encore sur l'obligation de nommer un DPO, découvrez les 4 cas dans lesquels vous êtes dans l'obligation de désigner un DPO.