DPO interne ou externe ?

Juin 22, 2022
5/5 - (25 votes)
DPO

C’est la question que beaucoup d’entreprises se posent !

L’article 37 du RGPD précise que « le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ».

Vous pouvez donc désigner un DPO en interne ou en externe (via un cabinet de conseil comme ONE GDPR, un avocat, …).

Le rôle du DPO étant très étendu et relativement complexe (vaste série de missions et de responsabilités qui exigent une expertise technique approfondie, ainsi qu’un temps de travail important en matière juridique), l’externalisation de cette fonction est souvent préconisée pour plusieurs raisons :

  • Absence de conflit d’intérêts ;
  • Économie de charges car recruter un DPO en interne représente un coût supplémentaire pour l’entreprise ou l’association car il est engagé à temps plein ;
  • Qualité des services car le cabinet de conseil possède toutes les connaissances propres à cette fonction via ses employés ;
  • Flexibilité et rapidité : il peut très facilement répondre aux demandes quel que soit le moment de la semaine ou de la journée ;

Qui a besoin d’un DPO ?

L’article 37 du RGPD « Désignation du délégué à la protection des données » indique 3 cas où le DPO est obligatoire :

  • le traitement est effectué par une autorité publique ou un organisme public (exception faite pour les juridictions agissant dans l’exercice de leur fonction juridictionnelle) ;
  • les activités de bases du responsable du traitement (ou du sous-traitant) consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • les activités de base du responsable de traitement (ou du sous-traitant) consistent en un traitement à grande échelle de catégories particulières de données, à savoir :
  1. le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, … (article 9) ;
  2. le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté (article 10) ;

Il est donc recommandé aux grands groupes, au PME et aux associations de désigner un DPO.

Qui peut être DPO ?

Le RGPD indique que le DPO est désigné sur la base de ses qualités professionnelles, et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39 (« Missions du délégué à la protection des données ») à savoir :

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données. Vérifier l’exécution de celle-ci en vertu de l’article 35 ;

d) coopérer avec l’autorité de contrôle ;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement. Y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

La personne choisie doit donc pouvoir démontrer les compétences suivantes :

  • aptitude à communiquer efficacement ;
  • exercer ses fonctions et missions en toute indépendance ;
  • ne doit pas avoir de conflit d’intérêts avec ses autres missions ;
  • expertise en matière de législations et pratiques en matière de protection des données ;
  • bonne connaissance du secteur d’activité et de l’organisation de l’organisme ;
  • le DPO doit être positionné efficacement au sein de l’organisme pour être en capacité de faire directement rapport au niveau le plus élevé ;

Notez que nos offres concernent aussi bien les DPO internes et que les DPO externes (découvrez nos offres).