Le DPO externalisé est le prestataire externe chargé de mettre son client en conformité avec le règlement européen RGPD (Règlement Général sur la Protection des Données ou General Data Protection Regulation - règlement 2016/679).
Aussi appelé le DPD (Délégué à la Protection des Données), Le DPO (Data Protection Officer) peut être un collaborateur interne salarié ou un professionnel externe (DPO externe).
La présence d'un DPO était facultative jusqu'à l'entrée en application du RGPD le 25/05/2018 - adopté le 27/04/2016 et entrée en vigueur le 24/05/2016. La fonction s'appelait alors le CIL (Correspondant Informatique et Liberté).
Si le RGPD a fortement réglementé l'exploitation des données personnelles collectées par une entité dans un souci de la protection de la vie privée, il n'a pas fortement réglementé l'accès à la profession de DPO : aucune formation n'a été nominativement spécifiée. La seule interdiction relève de la présence éventuelle d'un conflit d'intérêt eu égard à la fonction de base d'un DPO interne (par exemple, le responsable marketing et le directeur général ne peuvent pas être désignés DPO par leur entreprise).
Pourquoi un DPO externalisé ?
Tout organisme public ou entreprise privée faisant un usage massif de données personnelles est tenue de désigner un DPO. Beaucoup d'entreprises préfèrent recourir à un DPO externalisé, car cette option présente plusieurs avantages :
- Un professionnalisme reconnu : le DPO externe doit maîtriser le droit européen en la matière, posséder des connaissances approfondies en systèmes d'information et de sécurité et être anglophone de préférence. Il peut s'agir de juristes, d'avocats, de fiscalistes, de diplômés d'école de commerce ou encore d'ingénieurs informaticiens.
- Une objectivité et une neutralité exigée : un DPO interne pourrait être tenté par une complaisance.
- Une tarification encourageante : recruter un DPD compétent qui s'occupe exclusivement du RGPD revient souvent plus cher (l'économie d'échelle entre en jeu). De plus, le collaborateur interne dégagé de cette responsabilité pourra se concentrer sur son cœur de métier et être plus rentable.
La mission d'un DPO externe
Un prestataire externe en data protection assure la conformité de son client en matière de traitement de données personnelles. Le champ de la mission d'un DPO externe fait l'objet d'un contrat. En plus de veiller à la mise en conformité (RGPD, loi informatique et liberté, lignes directrices du comité européen), la mission peut porter sur un audit ou une formation.
Il importe de souligner que le DPO externe n'est nullement responsable en cas de fausse manipulation (volontaire ou pas) de données. Légalement, c'est le responsable du traitement ou sous-traitant du client qui est chargé d'appliquer les recommandations du DPO. Pour minimiser les risques au maximum, certains clients préfèrent confier cette tâche à leur DPD externe.
Quels sont les clients d'un DPD externalisé ?
Le RGPD énumère les entités obligatoirement soumises à la désignation d'un DPO :
- l'ensemble des autorités et organismes publiques sans exception (la nomination d'un DPO mutualisé est une pratique permise pour économiser les coûts) ;
- toute entité qui traite à grande échelle des données considérées sensibles : données à caractère personnel liées à la santé, religion, ethnie ou race, appartenance politique ou syndicale, condamnations pénales ;
- toute entité dont l'activité exige un suivi systémique et à grande échelle d'individus : ciblage internet pour besoin de marketing digital, usage de cookies et de traceurs.