Le Data Protection Officer (DPO) est une nouvelle fonction instaurée par le Règlement Général sur la Protection des Données à caractère personnel (RGPD). Obligatoire à compter du 25 mai 2018 pour l’ensemble des organismes publics ainsi que pour de très nombreuses entités privées, le DPO est une personne œuvrant dans une entité à assurer sa conformité en matière de traitement de données personnelles.
Le DPO est un véritable chef d’orchestre de la conformité
Autrement dit, le Data Protection Officer a pour principale mission de veiller à ce qu’une entité ne fasse pas n’importe quoi, n’importe comment, des données qu’elle peut être amenée à manipuler. C’est un garde-fou et un précieux conseiller. Il veille à diminuer les risques de non-conformité à laquelle une entité peut s’exposer, parfois sans même s’en rendre compte.
Le Data Protection Officer peut être une personne interne ou une personne externe à l’entité ayant l’obligation de le désigner, ou souhaitant dans une démarche de conformité le désigner. En dehors de toute obligation réglementaire, la nomination d’un DPO présente en effet des avantages, puisqu’elle permet à une entité de gagner en maturité ainsi que d’élever son niveau de conformité en matière de traitement de données personnelles et de mise en oeuvre de mesures de sécurité.
Le DPO peut être un membre du personnel du responsable du traitement ou du
sous-traitant, ou exercer ses missions sur la base d’un contrat de service.
L’article 37.6 du Règlement Général sur la Protection des Données fixe les modalités de désignation du DPO. C’est sur le fondement de cet article qu’un Data Protection Officer peut être nommé en tant que prestataire de service, et non comme salarié de l’entité concernée.
Bien que l’obligation de désigner un DPO, ou dans sa traduction française un DPD (Délégué à la Protection des Données) ne soit effective qu’à compter du 25 mai 2018, il existait auparavant un rôle très similaire dénommé le CIL : Correspondant Informatique et Libertés. Créé en 2004, le CIL était jusqu’alors totalement facultatif.
La fonction de Correspondant Informatique et Libertés pouvait également être externalisée. En pratique, une telle externalisation était habituellement effectuée auprès d’avocats ou de cabinets de conseil spécialisés. Le mécanisme d’externalisation du DPO s’inscrit ainsi parfaitement dans la continuité de l’externalisation des fonctions de CIL.
Faire le choisir de nommer un membre de son personnel en qualité de DPO ou recourir à un prestataire externe n’est pas un choix évident. Il n’y a pas de bonne ou de mauvaise solution. Chaque situation est spécifique. Une entreprise n’ayant pas de personnel très fortement qualifié en matière de réglementations relatives à la protection des données ainsi qu’en sécurité des systèmes d’informations aura tout intérêt à recourir à un tiers disposant d’experts pratiquant la matière durant 100% de leur temps et ce depuis plusieurs années. Une entreprise ayant de telles compétences en interne peut également faire le choix d’externaliser sa fonction de DPO pour d’autres raisons pragmatiques : volonté d’assurer la parfaite indépendante du Data Protection Officer, nécessité d’obtenir un accompagnement externe compte-tenu de la forte mobilisation de ses équipes internes sur de nombreux projets, etc.
Quelque soit votre choix, voici quelques raisons qui pourraient conforter votre volonté d’externaliser votre Data Protection Officer.
Les bénéfices de l’externalisation du DPO
Une totale indépendance
Le Data Protection Officer doit être indépendant dans l’exercice de ses missions. A ce titre, l’article 38.6 du Règlement Général sur la Protection des Données impose que le DPO n’effectue pas de tâches et de missions qui puissent entrer en conflit d’intérêt avec sa qualité de Data Protection Officer.
Il peut être extrêmement difficile de nommer un DPO interne ne disposant pas de conflit d’intérêts avec ses autres fonctions. En effet, le simple fait de déterminer des moyens et/ou des finalités d’un traitement de données peut constituer un conflit d’intérêt. Le DPO pourrait alors être tenté de prioriser d’autres impératifs (business, organisationnels, etc.) que ceux liés à la protection des données.
Le G29 a d’ailleurs eu l’occasion de préciser au sein de ses Guidelines que certains postes (Directeur marketing, …) ne devraient pas pouvoir être nommés DPO compte-tenu de cette problématique de conflit d’intérêt. Il en est de même pour toute personne occupant des fonctions élevées au sein d’une organisation et qui serait ainsi à même de guider l’usage qui est fait des données par cette entité.
La nomination d’un DPO externe écarte totalement ce risque de conflit d’intérêt.
Et de multiples compétences
Faire appel à un DPO externe, c’est faire appel à des personnes qui traitent quotidiennement des sujets liées aux enjeux de la protection des données personnelles au sein de secteurs d’activités variés.
Le DPO doit disposer d’expertises en droit, en sécurité des systèmes d’informations, en management du risque ainsi qu’en organisation et gouvernance. En complément de telles compétences, le DPO doit posséder des qualités indispensables à la bonne exécution de ses missions : être bon communicant et être pragmatique.
De telles compétences ne s’apprennent pas sur les bancs des plus grandes universités et écoles françaises. Elles requièrent des profils sachant aller au delà de leurs expertises primaires.
Nos DPO externes cumulent ces compétences, en disposant des doubles formations (Master II en Droit cumulés à une certification ISO 27001 à titre d’exemple).
Grâce à la mutualisation
Nommer un DPO externe peut également permettre de réduire ses coûts. Grâce à la mutualisation de nos Data Protection Officers, de nos méthodologies et savoirs, nous proposons des services dont le coût est bien inférieur au coût salarial d’un DPO interne consacré à plein temps à cette activité.
Selon l’IAPP (International Association of Privacy Professionals), le salaire moyen des professionnels de la « privacy » en Europe serait d’environ 77 K€ en 2017, auquel il convient d’ajouter le coût des charges patronales.
En toutes circonstances, les coûts investis dans la mise en conformité de ses activités seront toujours inférieurs aux risques que peut présenter un non-respect de la réglementation en matière de traitement de données personnelles : risque important d’image et d’amendes. Mieux vaut donc investir dans la bonne conformité de ses activités plutôt que de porter un risque de non-conformité pour traitement illicite de données personnelles et/ou manque de sécurisation de ceux-ci.
Dans un contrat de service
Les missions de votre Data Protection Officer externe sont régies par un contrat de service clair et transparent. Les rôles et responsabilités de chacun y sont explicites et détaillés.
Votre DPO externe remplit a minima les obligations lui incombant en vertu des réglementations relatives à la protection des données personnelles. Il convient cependant de bien comprendre que les seules missions du DPO ne peuvent permettent de garantir votre conformité au RGPD et autres réglementations relatives aux données personnelles.
Certaines missions et tâches ne relèvent pas du DPO externe mais du responsable de traitement et/ou du sous-traitant.
C’est pourquoi Mon DPO Externe propose des accompagnements allant au delà des simples obligations légales du DPO et favorisant la conformité générale des activité d’une entité.
Imposée par la loi
Votre Data Protection Officer externe est tenu par la réglementation à une obligation de secret. Cette obligation est intégrée à l’article 38.8 du Règlement 2016/679 du 27 avril 2016 :
Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.