Vous souhaitez mettre en conformité votre organisme au RGPD et vous avez décidé de désigner un Délégué à la Protection des Données / DPO.
C'est une étape importante dans votre démarche RGPD car la personne sera la personne identifiée comme référente RGPD auprès de la CNIL, des partenaires et des personnes qui souhaitent exercer leurs droits RGPD (sur ce sujet voir notre article sur les 10 règles d'or du RGPD)
Vous avez arbitré qui pouvait prendre la fonction (voir notre article sur le sujet : Qui peut être désigné Délégué à la protection des données - DPO ? ) Mais une question se pose alors : faut-il choisir un DPO externe (externalisé) ou interne ? En effet le RGPD offre la possibilité (Article 37.6) de choisir entre ces deux options.
Nous préférons vous prévenir que cet article sera orienté 😉en effet nous sommes convaincus des avantages d’un DPO externe par rapport à un DPO interne et vous proposons d'en découvrir les 3️⃣arguments principaux :
1️⃣Vous pouvez vérifier les compétences du DPO Externe.
L’un des premiers points à prendre en compte lorsque vous réfléchissez à désigner un DPO interne ou externe, est de désigner une personne qualifiée. Bien qu’aucune formation à proprement parler soit obligatoire pour devenir DPO, la CNIL impose des critères (voir l’article : Comment choisir un Délégué à la Protection des données – DPO ?).
Lorsque vous choisissez un DPO externe, vous pourrez vérifier son parcours en matière de protection des données ou cybersécurité : ses expériences, les clients cités, ses diplômes, les formations suivies. Vous pourrez « juger sur pièces » et éventuellement vérifier certaines références citées.
Pour vous garantir que votre DPO a les compétences requises, vous pouvez vérifier que celui-ci est certifié par des organismes habilités (Afnor, Apave, Bureau Veritas...) qui délivrent une certification selon le référentiel de la CNIL.
Enfin, lorsque le DPO est externe, vous pouvez lui demander dans combien d’organisations il est désigné auprès de la CNIL. Vous pourrez aisément vérifier cette information en consultant les données publiées par https://www.data.gouv.fr/ « Organismes ayant désigné un(e) délégué(e) à la protection des données (DPD/DPO) » : la liste et coordonnées des 80 000 organismes ayant désigné leur DPO.
2️⃣Vous avez la garantie de l'indépendance et l'absence de conflit d’intérêt.
Le DPO doit pouvoir agir en toute indépendance et sans conflits d’intérêt c’est-à-dire qu’il doit avoir accès à toutes les informations, les moyens nécessaires, mais il doit également être associé en amont des différents projets afin de pouvoir proposer les solutions les plus adaptées. Il doit également être soutenu par la direction et ne peut recevoir aucune sanction, instruction ou pénalité. En aucun cas, un DPO ne pourra être relevé de ses fonctions.
Choisir un DPO externe facilitera donc cet aspect. Du fait qu’il n’est pas de lien direct avec l’entreprise, son objectivité sera d’autant plus complète. Et la personne pourra intervenir sans risquer de se mettre en porte-à-faux avec ses collègues, sa hiérarchie, etc.
3️⃣Vous vous assurez de la disponibilité du DPO et des livrables.
Dans le cadre de la relation avec le DPO Externe, vous allez vraisemblablement signer un bon de commande qui va formaliser la méthode proposée, le temps passé (chez vous ou chez eux), les livrables attendus, la planification, le budget.
Vous pourrez juger sur pièces de la qualité de la prestation du DPO Externe et de l'adéquation avec la commande initiale. Et ajuster - ou arrêter - si vous n'êtes pas satisfait du résultat.
En revanche si vous désignez un DPO interne, vous risquez d’être confronté à différentes problématiques :
Temps de travail difficile à formaliser : comment définir un temps de travail pour sa mission de DPO ? Comment justifier ce temps ? Des questions complexes qui peuvent engendrer des problèmes sociaux et RH au sein d’une structure.
Remplacement compliqué : lorsque le salarié est absent, indisponible, en congé… Le remplacer sera complexe à la vue des missions impactées.
Temps de formations à organiser : vous devez également vous assurer que la personne désignée ait les compétences et connaissances pour mener ce rôle. Et au besoin, vous devrez l’accompagner avec des formations afin qu’il puisse entretenir ses connaissances et « les mettre à jour ».
En choisissant un DPO externe, vous pourrez bénéficier d’abord d’une plus grande souplesse. Le DPO pourra intervenir au besoin et donc proposer des prestations adaptées. De plus, vous n’aurez pas de suivi RH à mettre en place.
Vous l’aurez compris, choisir un DPO externe permettra à votre entreprise d’intervenir sur sa conformité RGPD en toute objectivité et avec une souplesse beaucoup plus importante.
Convaincu(e)? Consultez maintenant notre article qui vous explique comment choisir son DPO Externe. Cliquez c'est ici !
Si vous souhaitez nous faire part de votre besoin ? Contactez-nous ici , nous sommes désignés DPO dans plus de 50 organisations .
Pourquoi travailler avec nous ? Découvrez nos atouts : https://www.xdpo.fr/dpo-externe
xDPO propose également une offre de formation au RGPD et à la cybersécurité.
Les internautes ont aussi consulté dans le Blog: