Le DPO externe, gage d’expertise pour les entreprises

 

Avec l’entrée en vigueur du RGPD le 25 mai 2018, certaines entreprises ont dû nommer un DPO (data protection officer), dont le rôle est de veiller à la mise en conformité de la structure avec le règlement européen sur la protection des données.

Pour ce faire, les entreprises ont deux choix : nommer un DPO en interne ou externaliser cette fonction, par exemple auprès d’un cabinet d’avocats, nécessairement au fait des dernières réglementations en matière de protection des données. C’est le cas de Lexing Bensoussan Avocats, au sein duquel officie Aurélie Banck en tant que directrice du département RGPD banques assurances. Les entreprises qui font appel à un DPO externe « recherchent l’expertise », a expliqué Aurélie lors des premiers afterworks sur la gouvernance de l’information organisés en juin par Everteam.

 

« Le DPO externe benchmark les bonnes pratiques »

En effet, le DPO externe travaille pour plusieurs entreprises, en collaboration avec différents responsables de traitement. Il peut donc « benchmarker les bonnes pratiques des entreprises et des différents responsables de traitement », précise Aurélie Banck. Autrement dit : le DPO externe apportera à votre entreprise ce qui se fait de mieux sur le marché en matière de protection des données. « Les entreprises qui font appel à un DPO externe recherchent une compétence précise, aussi bien technique que juridique ou organisationnelle », complète Aurélie Banck.

Le DPO, expert juridique et sur le traitement des données

De manière générale, le DPO doit être un expert dans trois domaines :

  • La législation et les pratiques en matière de protection des données. Pour être toujours à jour, il doit miser sur la formation continue.
  • La gestion de données. Le DPO doit parfaitement maîtriser les opérations de traitement, les systèmes d’information et les logiciels utilisés par l’entreprise. Il doit bien sûr être sensible aux questions morales et éthiques soulevées par le traitement des données personnelles.
  • Les risques encourus par l’entreprise en cas de non-respect de la réglementation, notamment les risques légaux et financiers.

Si les grands groupes peuvent avoir les compétences et les moyens, en interne, pour nommer un DPO qui réponde à tous ces critères, il peut être intéressant, pour des TPE/PME, de faire appel à un DPO externe qui apporte son expertise et son regard neuf dans son domaine. De plus, il est possible que, de par sa petite taille, la société n’ait pas besoin d’un DPO à plein temps. Elle peut ainsi faire appel à un DPO externe un jour par semaine – même si, au début de la mission ou en cas d’urgence, le DPO devra être plus présent.

Le DPO, obligatoire pour quelles entreprises ?

Rappelons que les structures soumises à l’obligation de nommer un DPO, interne ou externe, sont les suivantes :

  • Les autorités et les organismes publics tels que les ministères et les administrations ;
  • Les entreprises dont les activités nécessitent un suivi « régulier et systématique », à grande échelle, des personnes ;
  • Les organismes amenés à traiter, de par leur activité, un important volume de données sensibles (religion, ethnie, appartenance politique, etc.).

Pour les entreprises qui ne répondent pas à ces critères, la nomination d’un DPO n’est pas obligatoire, mais elle est fortement recommandée !

Ne manquez pas les prochains articles du blog d’Everteam dans lesquels nous reviendrons en détail sur les sujets traités lors de ce premier afterwork de la gouvernance de l’information…