Optimex Data vous propose des solutions sur-mesure de dpo externalisé et d’accompagnement du DPO interne.
dpo externalisé
Depuis l’application du RGPD au 25 mai 2018, un nouveau métier est apparu, le Délégué à la Protection des Données DPD – Data Protection Officer DPO, qui vient remplacer le Correspondant Informatique et Libertés – CIL.
La question se pose alors de choisir entre la désignation d’un délégué à la protection des données externalisé ou la désignation, en interne, d’un salarié dédié au projet de conformité RGPD. Même si les missions restent identiques et que les exigences du RGPD doivent être respectées, les organismes soumis à cette obligation – article 37 du RGPD, devront trouver leur prochain Délégué à la Protection des Données. Alors, sur quels critères se baser pour répondre à cette question ? Quelles sont les avantages et les inconvénients d’un DPD / DPO externe ou interne ?
Les avantages d’un DPD / DPO interne
Un délégué à la protection des données interne a une bonne connaissance de l’environnement de travail dans lequel il opère. Il connait les interlocuteurs, les valeurs de l’organisme, les process métier mis en place, les outils et logiciels utilisés au quotidien … De plus, un DPD / DPO interne sera plus réactif en cas de nécessité d’intervention physique « immédiate ». Etant un salarié de l’organisme, il est sur site, à proximité des collaborateurs au sein des différents services.
Les inconvénients d’un DPD / DPO interne
En revanche, lors de la désignation du délégué à la protection des données parmi les collaborateurs en place, un climat de tension peut apparaitre avant de savoir qui va « récupérer ce dossier supplémentaire ». Une fois la décision prise, le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.
En effet, les coûts d’un DPD / DPO interne sont difficilement chiffrables, puisque le poste se cumule aux missions actuelles du salarié, la plupart du temps sans augmentation significative du salaire. Enfin, le dernier point de vigilance à avoir quand on désigne un DPD / DPO interne est le risque de conflit d’intérêt. En effet, le délégué à la protection des données doit être neutre et indépendant, à aucun moment il ne peut être juge et partie. C’est souvent pour cette raison que le choix de l’externalisation du poste de DPD / DPO est privilégié.
Les avantages d’un DPD / DPO externe
Le premier avantage d’un délégué à la protection des données externalisé est son indépendance. En tant que conseil auprès de l’organisme, le risque de conflit d’intérêt est levé. De part son expertise, il prend en charge la mission de DPD / DPO en apportant son expérience professionnelle acquise sur le terrain. Certains DPO externalisés peuvent également justifier leur expertise par l’obtention d’une certification, attestant de leurs compétences pour exercer dans le domaine de la protection des données.
Également, le DPD / DPO externalisé permet une maitrise du budget conformité RGPD, grâce à une relation contractuelle entre les deux parties. Enfin, en faisant appel à une agence spécialisée en protection des données, l’organisme s’assure d’une disponibilité immédiate (absence de formation), ainsi qu’une disponibilité à la carte en fonction des besoins, d’une année à l’autre. A noter, qu’il est également possible de mutualiser la fonction de DPD / DPO entre organismes appartenant à un même secteur d’activité.
Les inconvénients d’un DPD / DPO externe
Il est souvent reproché à un DPD / DPO externalisé son coût horaire ou son taux journalier. L’autre inconvénient mis en avant, quand un organisme fait appel à un DPD / DPO externalisé, est le temps d’adaptation et la prise de connaissance de l’organisme. Il est inévitable qu’en tant que prestataire conseil, un DPD / DPO externe prenne un temps pour analyser l’existant et se familiariser avec l’environnement et les méthodes de travail de l’organisme.
En conclusion …
Alors, à la question « Doit-on externaliser ou internaliser la fonction de délégué à la protection des données ? », il est impossible d’avoir une réponse binaire. Il convient d’étudier le contexte, les ressources à disposition – ressources financières et humaines, la taille de l’organisme, ainsi que les besoins à court et long terme sur la conformité RGPD.
Faire appel à un DPD / DPO externalisé est courant pour toute la mise en place opérationnelle de la conformité, puis de former en parallèle un DPD / DPO interne pour prendre le relai au niveau du suivi de la conformité RGPD. Puis, ponctuellement, l’organisme refait appel au DPD / DPO externalisé pour la réalisation des analyses d’impact, la sensibilisation du personnel ou tout autre mission à la carte. En revanche, il est important de rappeler que les « plateformes de mise en conformité » ne peuvent pas garantir la conformité au RGPD. Ces solutions métier ne remplacent pas un DPD / DPO compétent, qu’il soit interne ou externalisé.