Opter pour un DPO externe

Le Data Protection Officer ou Délégué à la Protection des Données est le pilote de la conformité dans la mise en application des dispositions du RGPD au sein de l’organisme, l’interlocuteur de référence pour toutes les personnes devant faire face à une problématique relative aux données à caractère personnel.

Ses principales missions :

  • Informer et conseiller
  • Contrôler le respect du RGPD et de la LIL
  • Préconiser et assister à la réalisation d’analyse d’impact pour les traitements à risque élevé
  • Coopérer avec l’autorité de contrôle
  • Diffuser une culture de protection des données personnelles

Deux prérequis incontournables à la fonction de DPO :

  • Un niveau d’expertise suffisant pour mettre en place et gérer le programme de protection des données en fonction de la complexité et des risques engendrés par les traitements   
  • Des connaissances approfondies en matière de lois nationales et européennes sur la protection des données et une parfaite maitrise du RGPD.

Si le RGPD a rendu obligatoire la désignation d’un DPO dans les cas suivants :

  • L’Organisme relève du secteur public ou assimilé, ou
  • L’activité principale de l’organisme implique de :
    • réaliser un suivi régulier et systématique des personnes à grande échelle*, ou
    • traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions ;

Il a également offert la possibilité de faire appel à un prestataire externe pour exercer les missions de ce dernier quelle que soit la taille de l’entreprise.

🤔Alors pourquoi choisir de désigner un DPO externe ?… Et bien pour deux raisons essentielles :

L’expertise :

Vous disposez d’un DPO engagé et opérationnel immédiatement. Un professionnel :

  • maitrisant les différentes étapes du processus de mise en conformité (Audit, Mise et maintien en conformité, Sensibilisation).
  • disposant d’outils et de méthode éprouvés dans la gestion courante de votre système de gestion de la protection des données.

La maîtrise des coûts :

Le second argument et pas des moindre, est que le recours à un DPO externe vous permettra de réduire les coûts, car outre les phases de mise en conformité, la gestion courante du système de gestion de protection des données personnelles ne justifie pas forcément le coût de l’emploi d’un salarié.

Vous pourriez toujours ajouter les missions de DPO à celles d’un salarié déjà en poste me direz vous. Bien sûr, à condition que vous ayez bien appréhender trois éléments essentiels : l’engagement, l’expertise et le risque de conflit d’intérêt (ex : Responsable SI désigné DPO).

En tout état de cause, que vous décidiez de désigner un DPO interne ou externe, le plus important reste que vos traitements de données personnelles soient conformes à la règlementation et que les droits des personnes concernées soient respectés.

logo roa dpo externe

Pour en savoir plus sur le DPO, consulter cet article de la CNIL.


*traitement à grande échelle : le WP29 recommande que les facteurs suivants soient pris en compte pour déterminer si le traitement des données est effectué à grande échelle : nombre de personnes concernées, volume des données et éventail des données traitées, durée de l’activité de traitement, champs d’application géographique de l’activité de traitement des données personnelles.

Share this content: