Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, un nouveau métier est apparu, celui de Délégué à la Protection des Données (DPD), de l'anglais Data Protection Officer (DPO).
Qualifié de « chef d’orchestre » par la Commission nationale de l’informatique et des libertés (CNIL), le DPO est en charge d’assurer la protection des données à caractère personnel au sein des organismes, publics ou privés ; et d'animer leur mise en conformité au RGPD. Sa désignation peut être obligatoire dans certains cas.
Selon le règlement européen, la désignation d'un DPO est obligatoire pour les organismes et les autorités publics ; les organismes privés dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (tels que les banques, les opérateurs de téléphonie...) ; ou encore les organismes publics ou privés qui réalisent des traitements à grande échelles de données sensibles ou relatives à des condamnations pénales et infractions.
Pour les autres organismes agissant en qualité de responsables de traitement la nomination d'un DPO est fortement conseillée. La question se pose alors de choisir entre la désignation d’un DPO externalisé ou la désignation, en interne, d’un salarié qui incarnerait ce rôle. Alors, sur quels critères se baser pour répondre à cette question ? Quels sont les avantages de recourir à un DPO externe ?
L’un des avantages de faire appel à un DPO externalisé est son indépendance. De plus, en tant qu’acteur externe à l’entreprise, le risque de conflit d’intérêt est évité. En effet, l’article 38.6 du RGPD impose que le DPO n’effectue pas de tâches et de missions qui puissent entrer en conflit d’intérêt avec sa qualité de Délégué à la protection des données. De même, l’article 38.8 du RGPD impose au DPO d’être soumis au secret professionnel et à une obligation de confidentialité, faire donc appel à un DPO externalisé plutôt qu’à un DPO interne garantira cette obligation de confidentialité dû à sa neutralité au sein de l’organisme.
Un autre avantage non négligeable est la possibilité de réaliser des économies par rapport au coût d’un DPO interne que l'on peut chiffrer aux alentours de 60 000 € par an. En effet, le DPO externalisé en qualité de spécialiste du droit de la protection des données et du RGPD a la capacité d’optimiser ses processus et donc de réaliser des économies d’échelle.
Recourir à un prestataire externe permet de réduire les coûts en matière de Ressources Humaines (RH) des entreprises, que ce soit par l’absence de besoin de recruter un salarié en temps plein pour assurer ce rôle, ou par l’absence de besoin de formation au RGPD du salarié.
Un DPO externalisé représente un gain de temps significatif, il assure une disponibilité immédiate lorsqu’on le sollicite pour une assistance, contrairement au DPO interne qui lui exerce une double fonction et dont le RGPD n’est pas la spécialité, même si ce dernier fait partie du service juridique de l'organisme. Ce qui introduit le prochain avantage, faire appel à un DPO externalisé, c’est faire appel à un véritable expert qui traite de manière quotidienne des sujets liés aux enjeux de la protection des données à caractère personnel au sein de secteur d’activités variés.
Prendre un DPO interne peut être un risque dans le sens où il hésitera lorsqu’il aura besoin de s’adresser à ses pairs, notamment s’il doit leur annoncer un changement de comportement pour être conforme au RGPD. Les DPO externalisés sont externes à l’organisme. Ils ne risquent pas d’avoir un regard biaisé sur une situation interne et n’ont pas d’intérêt à prendre parti. Ils sont neutres et objectifs et font donc preuve d’impartialité.
Le DPO fait directement remonter les informations à la direction et n'a pas peur de conflits internes. D’autres avantages du DPO externalisé est qu’il s’adapte au cas par cas, en prenant en compte tout type d'organisation. Cela lui permet ainsi de trouver des solutions adaptées pour assurer sa mission de conformer les processus de gestion et de traitement des données personnelles de chaque entreprise aux normes en vigueur.
Mais ce n’est pas tout, un DPO externalisé peut apparaître comme étant un avantage pour préserver son chiffre d’affaires et permette à une entreprise de reprendre le contrôle sur un marché. En effet, avec l’arrivée du règlement européen en matière de protection des données personnelles, les clients ont pris conscience qu’une protection de leurs données à caractère personnel est exigée. Dès lors, certains clients peuvent se servir de cette exigence contre les entreprises qui ne sont pas conformes aux normes imposées par le RGPD.
Ainsi, désigner un DPO externalisé peut alors apparaitre comme une solution, d’autant plus s’il s’agit d’un véritable expert, l’organisme pourrait bénéficier d’un avantage concurrentiel pour vendre plus tout en rassurant ses clients potentiels.