Toute entreprise qui est amenée à traiter des informations personnelles doit, depuis le 28 mai 2018, se conformer aux exigences du RGPD. En effet, les autorités européennes ont mis en place un règlement dont l’ultime but est la protection des données personnelles. C’est pour aider à l’atteinte de cet objectif que le concours du DPO est presque indispensable. Mais pour en choisir un, il ne suffit pas de réunir les candidatures ; il faudra déjà déterminer si la société désire un DPO interne ou externe. Chacune des 2 options a son lot d’avantages. Toutefois, en faisant appel à une expertise extérieure, il est possible de bénéficier d’apports que n’offrent pas forcément un délégué qui serait salarié au sein de la société. Pour savoir pour quelles raisons opter pour la sous-traitance, il faut déjà commencer par comprendre en quoi consiste la fonction de DPO.
Le DPO externalisé : économie de temps et d’argent
Engager un DPO pour qu’il fasse partie intégrante de l’entreprise peut avoir une multitude d’avantages comme au sujet de la disponibilité. Toutefois, la fonction de DPO ne demande pas forcément une présence ininterrompue. Ainsi, en externalisant, la société n’aura qu’à payer des prestations à temps partiel (correspondant aux interventions du DPO) ; ce qui reviendra moins cher.
Avec l’expérience et le savoir-faire dont disposent les entités qui proposent leurs services en externe comme la société DPMS, la société pourra s’assurer d’une prise en charge et d’une exécution rapide.
Les détails sur le DPO
Avoir un aperçu sur la fonction de DPO est la première étape pour le choix d’un délégué à la protection des données. En effet, en déterminant les tâches de l’expert, il sera plus facile de dégager ses responsabilités, et par conséquent, les qualités exigées. Avec ces caractéristiques, il sera possible de savoir ce que serait la meilleure option : l’internalisation ou l’externalisation.
Le DPO a pour principales missions de :
- Conseiller le responsable du traitement des données, c’est-à-dire, le chef d’entreprise. Cette partie de son travail portera sur l’information au sujet du règlement et des procédures à suivre pour s’y conformer ;
- S’assurer du suivi des termes du RGPD
- Servir d’intermédiaire entre l’entreprise et la CNIL ;
- Servir d’intermédiaire entre l’entreprise et les personnes dont les données ont été collectées ;
- Faire part de son expertise pour toute opération liée à l’utilisation des données ;
- Informer sur les démarches à suivre en cas de fuite de données ;
- Mettre en place l’analyse d’impact ;
- En cas de manquements avérés, mettre en place les mesures correctives.
Le DPO, dans l’exercice de ses fonctions, peut être en contact avec des informations sensibles. Il lui faudra donc, en plus des connaissances juridiques nécessaires, faire preuve de discrétion. De plus, il ne devra faire aucune exception sur les infractions commises.
Le DPO externe et l’impartialité
Dans les grandes lignes, le DPO doit travailler sans contrainte. Il n’aura à répondre de rien quant à ses décisions de relever une infraction. Il sera totalement indépendant de toute hiérarchie au sein de l’entreprise ; ce qui n’est pas entièrement possible si, justement, la protection des données est assurée par une personne faisant partie intégrante de la société. L’impartialité d’un professionnel extérieur à l’organisme sera donc un atout pour le rôle d’arbitre qu’aura à assurer le DPO.