En matière de RGPD, toutes les entreprises qui utilisent et exploitent des données à caractères personnelles doivent nommer un DPO (Data Protection Officer). Sa principale mission, assurer la protection des données pour éviter des sanctions. Mais il faut savoir qu’on peut externaliser ce poste. C’est une alternative qui a ses avantages lorsqu’elle est bien étudiée en amont.
Que dit la CNIL sur l’externalisation du DPO ?
Un DPO externe réalise les mêmes missions qu’un DPO en interne. Elles sont régies par le règlement général sur la protection des données personnelles (RGPD), entré en vigueur en 2018. En résumé, cette personne est chargée de garantir la légalité des traitements réalisés par une entreprise sur les données personnelles. Il doit ainsi réaliser un suivi régulier sur plusieurs niveaux : ressources humaines, système d’information, site internet, etc. En même temps, son rôle est d’informer l’ensemble des collaborateurs sur les règlements applicables à suivre sur les données. Il assure aussi la coordination entre l’entreprise la CNIL, l’autorité de contrôle de la conformité RGPD.
Justement, elle impose à toutes les entreprises concernées par cette réglementation de nommer un délégué à la protection des données. Mais rien n’empêche les organismes de contacter un DPO externalisé. L’article 37 du règlement général sur la protection des données personnelles le précise bien. Cette personne peut, en effet, être un membre du personnel au niveau du service de traitement des data, un sous-traitant ou encore un individu missionné sur la base d’un contrat de service. Les structures qui privilégient l’externalisation du DPO sont en ce moment les TPE et PME. La majorité des ETI et des grandes filiales, quant à eux, choisissent d’internaliser la fonction de DPO.
Pour quelles raisons externaliser le poste de DPO ?
C’est assez évident, mais externaliser la fonction de Data Protection Officer est pertinente lorsque la taille de son entreprise est encore réduite. Il sera, en effet, difficile de trouver un salarié disposant de toutes les qualifications en interne étant donné qu’il s’agit d’un nouveau métier. D’autant plus que la mise en place du RGPD pour les PME et TPE requièrent une personne expérimentée au début. Cela permet ainsi de profiter de l’expertise d’un véritable professionnel qui possède les connaissances juridiques et techniques nécessaires. À la limite, on peut faire appel à un cabinet de recrutement pour trouver le profil idéal, mais cela prendra beaucoup plus de temps.
En outre, un expert certifié en conformité avec le RGPD apporte une perspective objective au traitement des données sensibles. Son expérience garantit la conformité des différentes opérations très rapidement. Il peut notamment mettre en place les mesures de protection adéquates pour rassurer la CNIL et éviter les pénalités. Et en cas de violation du règlement général sur la protection des données personnelles, le DPO externe peut gérer mieux la situation de façon efficace qu’un nouveau venu. Les autres avantages à la clé sont les économies sur l’embauche d’une personne et la flexibilité de l’externalisation. En effet, il peut être engagé sur la base d’un contrat ou à temps partiel.
