Faut-il externaliser son DPO ?

Le DPO est un personnage clé et stratégique de la mise en conformité au RGPD d’une entreprise. C’est une perle rare, car il doit à la fois être juriste de haut vol, crack en informatique et pédagogue aguerri. Bref, un profil que peu d’organisation possède. Cela amène à se poser la question : est-il possible d’externaliser cette fonction ?

Le RGPD ne répond pas à la question et affirme simplement que le DPO peut être un membre du personnel ou un prestataire externe. DPMS vient apporter des réponses à une question que beaucoup d’organisations se posent certainement : faut-il externaliser son DPO ?

DPO : missions et profil

Le DPO est le chef d’orchestre de la mise en conformité de l’entreprise avec le Règlement Général à la Protection des Données. En raison de son importance, il travaille en étroite collaboration avec le chef d’entreprise tout en jouissant d’une grande indépendance et d’une large protection (surtout contre le licenciement). Il est notamment chargé de :

  • Conseiller et informer le chef d’entreprise sur toutes questions liées à la protection des données ;
  • Superviser la bonne application des principes du RGPD ;
  • Assurer la relation de l’entreprise avec la CNIL ;
  • Assurer la relation entre l’entreprise et les personnes concernées (les vrais propriétaires des données collectées par l’entreprise) ;
  • Donner son point de vue sur toutes les décisions concernant les données privées ;
  • Conseiller lorsqu’une fuite de données survient ;
  • Conseiller sur les Analyses d’impact (PIA), concevoir avec les RSSI des mesures correctives et en piloterl’exécution.

On comprend assez vite que le poste de DPO est un poste à haute responsabilité nécessitant des connaissances approfondies dans des domaines variés et contradictoires :

  • Une grande maitrise du RGPD (connaissance juridique) ;
  • Une grande maitrise de l’informatique (sécurité informatique) ;
  • Une bonne connaissance de la Cybersécurité ;
  • Un excellent sens de la communication.

Est-ce que vous devez désigner un DPO ?

Avant de se poser la question de savoir s’il faut externaliser son DPO ou pas, il convient déjà de déterminer si vous êtes obligé d’en désigner un. Sur ce point, le RGPD reste assez flou. Ce qui est sûr c’est que le DPO est obligatoire pour les institutions publiques et les organisations privées qui réalisent des traitements exigeant « un suivi régulier ou systématique à grande échelle » ou portant sur des données sensibles (données de santé, orientations sexuelles, courant politique…) ou des individus fragiles (malades, enfants, salariés…).

Si l’on synthétise, une entreprise devra désigner un DPO lorsqu’elle réalise :

  • Des traitements de données sensibles ;
  • Du profilage ;
  • Des traitements portant sur des personnes fragiles ;
  • Des traitements de surveillance à grande échelle;

Bien évidemment, cette liste n’est pas exhaustive. De plus, en cas de doute, il convient toujours de rester prudent en désignant un DPO. D’autant plus que cela est encouragé par le RGPD et une bonne preuve de son ‘accountability’ ou resposabilisation.

Externaliser son DPO : avantages et inconvénients

Il serait osé de dire que l’externalisation de son DPO est la meilleure solution parce cela a ses avantages et ses inconvénients :

Avantages

Confier la fonction de DPO à un prestataire externe a plusieurs avantages. Tout d’abord, cela offre une plus grande garantie d’indépendance et limite les risques de conflit d’intérêts. Chose non évidente si le futur DPO possède le statut de salarié.

Ensuite, dans une certaine mesure, opter pour un prestataire externe permet une meilleure maitrise des coûts. Un DPO interne sera certainement rémunéré au même ordre de grandeur que celui d’un cadre supérieur. Mais le coût d’un DPO externe sera moins important parce qu’il ne travaille pas à plein temps et sa disponibilité pourra être régulée en fonction de la charge.

Enfin, recourir au service d’un prestataire externe vous permet de gagner du temps (pas de formation) et vous garantit de travailler avec un expert confirmé (après vérification bien entendu : certification DPO par le Bureau Veritas). Et surtout, c’est une solution flexible. Remplacer un DPO externe est relativement simple en raison de la relation contractuelle libre. Rien à voir avec la difficulté de licencier un DPO interne protégé par son statut de salarié et par le RGPD lui-même (garantie d’indépendance).

Les inconvénients

Mais opter pour les services d’un DPO externe n’a pas que des avantages. D’une part, il doit prendre le temps de s’adapter aux rouages de l’entreprise. C’est d’autant plus difficile lorsqu’il doit se familiariser avec les différents interlocuteurs. D’autre part, il y a la question du coût. Le coût « à l’heure » d’un DPO externe est plus élevé. Mais en fin de compte, ce sont des inconvénients minimes.

Au regard de tous les éléments précédents, il serait légitime de penser qu’un prestataire externe est le plus apte à assurer la fonction de DPO, désigner un DPO en interne étant une option à plus grand risque et moins flexible. En effet, quoi que l’on dise, avec un DPO interne, difficile de garantir l’expertise (efficacité, disponibilité, compréhension du nouveau monde de la protection des données…), l’indépendance et surtout l’inexistence de conflits d’intérêts.

Il ne peut en effet pas être : DG, DSI, DRH, DAF…ou tout autre fonction ou il serait décideur des moyens mis en œuvre pour les traitements de données personnelles.