La sécurité d’un DPO externalisé

Lorsque ce n’est pas une obligation, est-ce utile pour une entreprise de désigner un DPO ? Y a-t-il une différence entre le fait de choisir un DPO en interne ou de faire appel à un DPO externalisé ?

La nomination d’un Délégué à la Protection des Données, ou Data Protection Officer (DPO) est obligatoire dans certains cas fixés par l’article 37 du RGPD, et elle est fortement recommandée pour tous les organismes visés par la réglementation.

Quelles sont les missions d’un DPO ?

. Il est le garant de la conformité des traitements réalisés sur l’ensemble des données à caractère personnel dans l’entreprise, dans le respect du RGPD.

-Il doit conseiller et informer l’entreprise, responsable du traitement, ainsi que les salariés sur l’application du RGPD.

- Il doit, en somme, être le relais de la conformité de l’entreprise en matière de RGPD, tant auprès de l’autorité de contrôle que des personnes concernées par le traitement de données à caractère personnel.

. Á ce titre, le DPO -interne ou externe – est déclaré à la CNIL comme référent officiel RGPD pour la structure concernée. Il a donc un devoir de vigilance par rapport aux contraintes légales. 

Dans quels cas le DPO est-il obligatoire ?

Ainsi que l’indique l’article 37 du RGPD, le DPO est obligatoire dans les cas suivants :

• les autorités ou les organismes publics

• les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;

• les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Si mon entreprise n’entre pas dans ces catégories, pourquoi nommer un DPO ?

Vous avez des salariés, vous enregistrez des informations de vos clients, vous suivez les déplacements de vos commerciaux avec un GPS, vous travaillez avec de nombreux fournisseurs… alors vous êtes concerné par le RGPD et, en tant que responsable du traitement, vous devez être en capacité de démontrer votre conformité à cette réglementation.

Une telle démonstration suppose tout à la fois de faire un état des lieux réguliers des process de l’entreprise en matière de traitement des données à caractère personnel, d’évaluer la sécurité mise en place autour de celles-ci, de procéder à l’information du personnel et à établir l’ensemble de la documentation nécessaire.

Incontestablement, une telle charge de travail et de responsabilité peut rapidement devenir une tâche sans fin, voire un angle mort savamment ignoré.

La désignation d’un DPO permet de déléguer l’ensemble de ces obligations et de se concentrer uniquement sur son activité.

DPO interne vs DPO externe ?

Les missions sont les mêmes dans les deux cas : le DPO contrôle et supervise les traitements des données et en assure la mise en conformité, en lien avec la Direction et les chefs de service.

Par ailleurs, il est précisé que le DPO doit agir d’une manière indépendante et bénéficier d’une protection suffisante dans l’exercice de ses missions.

Ainsi, le RGPD prévoit que le DPO ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement pour l’exercice de ses missions.

Les sanctions sont exclues si elles sont imposées en raison de l’exercice par le délégué de sa fonction.

De fait, privilégier un DPO externalisé permet de souscrire plus facilement à cet impératif d’indépendance. Le lien de subordination inhérente au monde de l’entreprise peut venir créer un conflit d’intérêts préjudiciable au bon déroulement de la mission du DPO.

Pourquoi faire le choix d’un DPO avocat ?

Le RGPD précise que le DPO doit être désigné « sur la base de ses qualités professionnelles » et « de sa capacité à accomplir ses missions ».

En y ajoutant l’impératif d’indépendance et de maitrise avancé des enjeux de la réglementation, la profession d’Avocat est particulièrement indiquée pour occuper les missions de DPO.

Sans compter que le secret professionnel des avocats et leur déontologie renforcent les gages d’efficience pour les entreprises faisant le choix de ce type de profil.

Travaillant spécifiquement sur les sujets numériques, Me Lesturgeon-Cayla, du cabinet LLC AVOCAT, est DPO externalisé pour de nombreux organismes, auxquels elle apporte son expertise sur le RGPD et le traitement des data ; elle revient sur les avantages de choisir un avocat comme DPO externalisé : « C’est un gain de temps et une véritable tranquillité d’esprit pour le dirigeant. Contrairement à un collaborateur nommé DPO, qu’il faut former et encadrer, nous sommes directement opérationnels, avec la capacité d’être force de proposition. Et notre fonction juridique est une garantie sur la conformité légale de nos préconisations.»

Comment travailler avec un DPO externalisé ?

Ce sont en général des interventions à long terme, qui débutent par la définition des besoins de l’entreprise, et la réalisation d’un audit RGPD si nécessaire. Lors de cette phase d’analyse, le cabinet LLC AVOCAT procède à une cartographie complète concernant le traitement des données à caractère personnel traité au sein de l’organisme.

Ces observations débouchent ensuite sur la construction, ou l’ajustement, de la conformité de l’entreprise, puis sur son maintien opérationnel. Comme le note Me Lesturgeon-Cayla, « nous avons un rôle de conseil, d’information, d’alerte et de supervision, mais nous ne pouvons pas faire à la place du client, qui reste, in fine, responsable légalement de sa conformité. En revanche, nous vérifions si les mesures recommandées ont bien été prises, et si elles sont appliquées dans la durée. »

Concrètement, la mise en place de la conformité d’une entreprise peut passer par des dispositifs aussi simples que le déploiement d’une charte informatique, de la sensibilisation des équipes à la cybersécurité ou à l’organisation de procédure d’archivage et suppressions des données. Pour autant, en fonction de l’activité de l’entreprise, de son envergure et de sa configuration, il peut également être nécessaire d’organiser des AIPD, procéder à une analyse de l’ensemble des contrats des sous-traitants, auditer la gestion des données à caractère personnel des salariés ou encore évaluer les risques humains et technologiques liés à l’utilisation du système informatique de l’entreprise.

En recourant à un DPO avocat, l’organisme dispose ainsi des compétences juridiques avancées et de garanties d’indépendance, en conformité avec la réglementation en vigueur.