Nomination d’un DPO : comment éviter les conflits d’intérêt ?

“Nommer un DPO externe permet de réduire les conflits d’intérêt”. Lors du premier afterwork de la gouvernance de l’information organisé en juin par Everteam, l’une des intervenantes, Aïssatou Sarr, directrice de la ligne RGPD et cybersécurité du groupe BTD Luxembourg, cabinet de consulting, et group DPO, a évoqué les raisons pour lesquelles il vaut parfois mieux opter pour un DPO externe qu’un DPO interne.

Rappelons que, depuis le 25 mai 2018 et l’entrée en vigueur du RGPD (règlement général sur la protection des données), certaines entreprises sont dans l’obligation de nommer un DPO (data protection officer) qui est un peu le chef d’orchestre de la mise en application du RGPD. Il peut être interne à l’entreprise ou externe, issu d’un cabinet d’avocats ou d´un cabinet de conseil par exemple.

Le rôle du DPO

Dans les deux cas, le DPO a trois missions principales :

  • Sécuriser juridiquement les données et limiter les risques de devoir payer une lourde amende en cas de non-respect du RGPD ;
  • Valoriser le patrimoine informationnel de l’entreprise, bien l’exploiter pour conquérir de nouveaux marchés ;
  • Renforcer la confiance des clients et des partenaires en respectant une politique stricte de protection des données.

Le DPO ne doit pas être juge et partie

Pour veiller à la bonne application du RGPD, le DPO doit écouter, conseiller, rédiger des procédures, proposer des solutions… Il communique beaucoup avec les différentes directions (juridique, administrative, informatique, etc.) afin de comprendre les problématiques propres à l’entreprise en matière de gestion des données et ensuite y répondre.

Il accompagne donc l’entreprise et les collaborateurs afin que tous les traitements de données à caractère personnel effectués soient conformes aux exigences du RGPD.

Le rôle du DPO peut être sensible et ce dernier ne doit donc pas être juge et partie. Il doit être indépendant et ne peut occuper une fonction politique au sein de l’entreprise, sous peine d’entrer en conflit d’intérêt. Par exemple, un DRH qui manie au quotidien des données personnelles sur les salariés ne peut exercer la fonction de DPO. Plus généralement, si le DPO est nommé en interne, il ne peut donc pas occuper les postes suivants :

  • Secrétaire général ;
  • Directeur général des services ;
  • Directeur opérationnel ;
  • Directeur financier ;
  • Responsable marketing ;
  • Responsable du service informatique ;
  • Etc.

Les avantages du DPO externalisé

C’est justement pour éviter les éventuels conflits d’intérêt qu’une des solutions intéressantes peut être de nommer un DPO en externe. Cela représente la « possibilité d’avoir une personne en dehors de toutes les problématiques politiques au sein d’une entreprise, des problèmes de respect de hiérarchie ou de respect des engagements donnés », précise Aïssatou Sarr.

Elle explique que le DPO externalisé possède une vision de son travail beaucoup plus transverse. Il peut  « travailler avec chacun des services de manière décentralisée, ce qui impulse une manière de travailler différente que sur de l’interne ».

Ainsi, le DPO, avec son œil externe, est très écouté et très suivi. Il est également très sollicité. Les entreprises qui font appel à un DPO externe cherchent une expertise engrangée auprès des différentes structures auprès desquelles le DPO exerce ses fonctions. De quoi faciliter la sensibilisation de l’ensemble du personnel à la protection des données et, donc, la bonne application du RGPD.

Ne manquez pas les prochains articles du blog d’Everteam dans lesquels nous reviendrons en détail sur les sujets traités lors de ce premier afterwork de la gouvernance de l’information…