Externaliser son DPO, un gage de conformité et de confiance

Instauré par le RGPD, le DPO est au centre du dispositif de mise en conformité des organismes.
Son rôle, son statut et ses missions témoignent de l’importance qui lui est accordée par le législateur.
A cet égard, même quand sa désignation n’est pas obligatoire, il reste fortement recommandé d’en désigner un (I) et de l’externaliser auprès d’un cabinet d’expert (II).

I. Il est toujours opportun de nommer un DPO

Nous le savons, même lorsque ce n’est pas obligatoire, le RGPD offre toujours la possibilité aux organismes de désigner un DPO.

Selon nous, cette option laissée à l’appréciation des entreprises doit être vue comme une opportunité à saisir procurant un avantage concurrentiel.

A. Un gage de conformité

Avoir un DPO, c’est avoir en effet l’assurance que l’organisme au sein duquel il exerce ses missions sera en conformité avec le RGPD :

  • Expert en protection des données personnelles et en sécurité informatique, il saura mobiliser ses compétences afin de cartographier les traitements de données à caractère personnel et guider l’entreprise dans son programme de mise en conformité
  • Facilitateur et chef de projet inné, il n’aura aucun mal à avoir une vision transverse et à déployer ses actions dans le cadre d’une concertation constructive avec les différentes parties prenantes.
  • Son expertise enfin, permettront de limiter les risques inhérents aux traitements qui pèsent tant sur les personnes concernées que sur votre entreprise

B. ​Un gage de confiance

Nommer un DPO est incontestablement un gage de confiance auprès de vos clients et de vos partenaires qui seront assurés que les données qu’ils vous ont confiées seront protégées.

La publication des coordonnées du DPO sur les sites web ainsi que sur votre documentation publicitaire aura donc vocation à rassurer vos interlocuteurs tout en valorisant l’image de votre entreprise.

C. Au service du principe d’accountability et de la pérennité de votre entreprise

Nous le savons, selon le principe d’accountability, il appartient aux organismes de prouver leur conformité non seulement à l’autorité de contrôle mais aussi à leurs partenaires économiques.

En effet, il ne sera désormais plus possible pour les entreprises d’avoir des relations contractuelles avec des organismes qui ne seront pas en conformité avec le RGPD.

Sauf à mettre votre business model en péril, Il sera donc nécessaire de démonter auprès de vos partenaires et de vos clients que vous avez un réel plan d’action afin de pouvoir continuer à leurs vendre des biens et des services.

Pour ce faire, vous devrez être capable de produire un certain nombre de documents, à savoir des procédures, des guides, des grilles de contrôle, des registres….

A l‘instar de ces éléments, la désignation d’un DPO pourra également contribuer à démontrer que votre organisme est en conformité.

II. Les avantages de l’externalisation

Nomination en interne, mutualisation ou externalisation, le RGPD offre un grand nombre de possibilités aux organismes qui doivent ou qui souhaitent avoir recours aux services d’un DPO.

Parmi ces dernières, c’est incontestablement l’externalisation qui a notre faveur.

A. Un gage de compétence et d’indépendance

Le RGPD indique clairement que le DPO doit avoir, lors de sa nomination, les compétences et les connaissances nécessaires pour exercer ses missions.

Nous l’avons dit, les qualités dont celui-ci doit faire preuve sont multiples : expert juridique, expert en sécurité informatique, chef de projet, gestionnaire de risque et facilitateur.

Or, ce « mouton à cinq pattes » est presque impossible à recruter en interne, là où l’externalisation permet de garantir compétence et d’expertise.

Par définition d’ailleurs, un DPO externe sera de facto indépendant et à l’abri de tout conflit d’intérêt, exigences clairement posées par le règlement européen.

B. Un gage de souplesse et de responsabilisation

Sans être un salarié protégé, il est fort probable que le la procédure de destitution du DPO soit aussi contraignante que celle du CIL (notification et motivation de la destitution auprès de la CNIL, réception de l’avis de la CNIL après un délais d’un mois …. ).

Sur ce point, l’externalisation apporte plus de souplesse dans la mesure où elle permet de changer de DPO plus facilement en dénonçant le contrat de service.

De plus, rappelons que l’entreprise reste pleinement responsable et qu’en aucun cas le DPO ne saurait engager sa responsabilité si l’organisme dans lequel il exerce ses missions s’avère ne pas être en conformité.

A cet égard il nous faut souligner que la responsabilité du DPO externe sera plus forte que celle du DPO interne dans la mesure où il sera toujours susceptible d’engager sa responsabilité contractuelle.

C. Un gage d’économie

Outre les frais de formation que le DPO devra suivre régulièrement, il peut être très couteux pour un organisme de mobiliser à plein temps une ressource en interne.

Quelle que soit la structure de l’entreprise, l’externalisation est incontestablement avantageuse en termes de coûts.

Retour