Instauré par le RGPD, le DPO est au centre du dispositif de mise en conformité des organismes.
Son rôle, son statut et ses missions témoignent de l’importance qui lui est accordée par le législateur.
A cet égard, même quand sa désignation n’est pas obligatoire, il reste fortement recommandé d’en désigner un (I) et de l’externaliser auprès d’un cabinet d’expert (II).
Nous le savons, même lorsque ce n’est pas obligatoire, le RGPD offre toujours la possibilité aux organismes de désigner un DPO.
Selon nous, cette option laissée à l’appréciation des entreprises doit être vue comme une opportunité à saisir procurant un avantage concurrentiel.
Avoir un DPO, c’est avoir en effet l’assurance que l’organisme au sein duquel il exerce ses missions sera en conformité avec le RGPD :
Nommer un DPO est incontestablement un gage de confiance auprès de vos clients et de vos partenaires qui seront assurés que les données qu’ils vous ont confiées seront protégées.
La publication des coordonnées du DPO sur les sites web ainsi que sur votre documentation publicitaire aura donc vocation à rassurer vos interlocuteurs tout en valorisant l’image de votre entreprise.
Nous le savons, selon le principe d’accountability, il appartient aux organismes de prouver leur conformité non seulement à l’autorité de contrôle mais aussi à leurs partenaires économiques.
En effet, il ne sera désormais plus possible pour les entreprises d’avoir des relations contractuelles avec des organismes qui ne seront pas en conformité avec le RGPD.
Sauf à mettre votre business model en péril, Il sera donc nécessaire de démonter auprès de vos partenaires et de vos clients que vous avez un réel plan d’action afin de pouvoir continuer à leurs vendre des biens et des services.
Pour ce faire, vous devrez être capable de produire un certain nombre de documents, à savoir des procédures, des guides, des grilles de contrôle, des registres….
A l‘instar de ces éléments, la désignation d’un DPO pourra également contribuer à démontrer que votre organisme est en conformité.
Nomination en interne, mutualisation ou externalisation, le RGPD offre un grand nombre de possibilités aux organismes qui doivent ou qui souhaitent avoir recours aux services d’un DPO.
Parmi ces dernières, c’est incontestablement l’externalisation qui a notre faveur.
Le RGPD indique clairement que le DPO doit avoir, lors de sa nomination, les compétences et les connaissances nécessaires pour exercer ses missions. Ce qui nécessitera vraisemblablement une formation RGPD.
Nous l’avons dit, les qualités dont celui-ci doit faire preuve sont multiples : expert juridique, expert en sécurité informatique, chef de projet, gestionnaire de risque et facilitateur.
Or, ce « mouton à cinq pattes » est presque impossible à recruter en interne, là où l’externalisation permet de garantir compétence et d’expertise.
Par définition d’ailleurs, un DPO externe sera de facto indépendant et à l’abri de tout conflit d’intérêt, exigences clairement posées par le règlement européen.
Sans être un salarié protégé, il est fort probable que le la procédure de destitution du DPO soit aussi contraignante que celle du CIL (notification et motivation de la destitution auprès de la CNIL, réception de l’avis de la CNIL après un délais d’un mois …. ).
Sur ce point, l’externalisation apporte plus de souplesse dans la mesure où elle permet de changer de DPO plus facilement en dénonçant le contrat de service.
De plus, rappelons que l’entreprise reste pleinement responsable et qu’en aucun cas le DPO ne saurait engager sa responsabilité si l’organisme dans lequel il exerce ses missions s’avère ne pas être en conformité.
A cet égard il nous faut souligner que la responsabilité du DPO externe sera plus forte que celle du DPO interne dans la mesure où il sera toujours susceptible d’engager sa responsabilité contractuelle.
Outre les frais de formation que le DPO devra suivre régulièrement, il peut être très couteux pour un organisme de mobiliser à plein temps une ressource en interne.
Quelle que soit la structure de l’entreprise, l’externalisation est incontestablement avantageuse en termes de coûts.
Dans le même thème : Le Master Data Management, un outil indispensable de conformité RGPD
Vous ne savez pas comment faire et vous y prendre ?
Notre équipe est à votre écoute pour répondre à vos questions et ensemble mettre en conformité votre entreprise au RGPD.
