Pourquoi externaliser la fonction de DPO ?

Avec l'arrivée du Règlement Général sur la Protection des Données (RGPD), beaucoup d'entreprises vont devoir s'appuyer sur un Délégué à la Protection des Données (ou DPO pour Data Protection Officer).

A compter du 25 mai 2018, date d’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), la désignation d’un Délégué à la Protection des Données (ou DPO pour Data Protection Officer) devient obligatoire pour les entreprises :

- qui réalisent un suivi systématique et régulier de personnes par le biais de leurs données personnelles ; 

- qui procédent à un traitement à grande échelle de catégories particulières de données.

La désignation d’un DPO sera également obligatoire pour tous les organismes du secteur public et volontaire mais recommandée pour les entreprises du secteur privé en charge d’une mission de service public.

En dehors de ces cas de figure, le G29 (organe de réflexion et de travail regroupant les CNL européennes) encourage la désignation volontaire d’un DPO et l’inscrit au rang de bonnes pratiques en matière de conformité. Les modalités de désignation et les conditions d’exercice du DPO seront les mêmes que dans les cas de désignation obligatoire.

Les fonctions du DPO

Le DPO exerce auprès du responsable de traitement une mission d’avis et de conseil, de contrôle de la conformité et une mission de coopération et de point de contact avec l’autorité de protection des données.

La désignation d’un DPO permet au responsable de traitement de :

  • Supprimer dès aujourd’hui les formalités déclaratives auprès de la CNIL ;
  • Recenser tous les traitements de données à caractère personnel mis en œuvre et s’assurer de leur validité juridique en établissant un plan de mise en conformité ;
  • Etre accompagné pour la mise en conformité de chaque traitement existant, ainsi qu’à la mise en œuvre opérationnelle de chaque nouveau projet ;
  • Gérer les plaintes, réclamations et demandes d’exercice des droits des personnes concernées par les traitements mis en œuvre par le responsable de traitement ;
  • Bénéficier d’un interlocuteur privilégié devant la CNIL.

Qu’elle soit obligatoire ou volontaire, la désignation d’un DPO inscrit l’entreprise dans une véritable stratégie digitale basée sur le respect des droits des personnes concernant leurs données personnelles. Les actions et l’accompagnement mis en œuvre par le DPO auront pour résultat de sécuriser la base de données de l’entreprise en lui conférant une valeur juridique au regard de la réglementation européenne.

Qui peut être DPO ?

Un salarié de l’entreprise, un fonctionnaire de l’autorité publique ou une personne extérieure à la structure, telle qu’un avocat, peut être désigné DPO.

Le RGPD prévoit que le DPO doit disposer de connaissances spécialisées en droit et des pratiques en matière de protection des données. Le délégué doit donc avoir une réelle expertise, théorique et pratique, en matière de protection des données personnelles.

Le DPO doit ensuite disposer de qualités professionnelles et personnelles lui permettant d’accomplir les missions qui lui sont confiées, énumérées à l’article 39 du RGPD.

L’analyse de cet article permet de se rendre compte de la position particulière que le DPO occupe au sein et vis-à-vis de l’entreprise. En charge de conseiller du responsable de traitement, de contrôler de la conformité au RGPD des traitements mis en œuvre et de coopérer avec l’autorité de protection des données personnelles, le profil du DPO est protéiforme.

Son rôle d’intermédiaire avec la CNIL, mais aussi probablement dans la proatique, avec les personnes exerçant leurs droits d’accès, de modification, de suppression des données, et dans le même temps de conseil auprès du responsable de traitement semble délicat à envisager en interne, le DPO étant à la fois juge et partie.

Pourquoi externaliser la fonction de DPO ?

Un prestataire externe à l’entreprise aura l’avantage de la neutralité. Celle-ci, renforcée par l’indépendance du DPO, est indispensable à l’exercice des fonctions de conseil d’une part mais aussi de contrôle.

Le DPO, qui doit documenter la conformité du responsable de traitement au RGPD, piloter cette mise en conformité et collaborer avec la CNIL pour la réalisation de ces missions, s’apparente à un auditeur permanent du responsable de traitement. Un auditeur qui serait également en charge des actions définies à la suite de l’audit. L’externalisation de la fonction de DPO semble opportune en raison de la polyvalence exigée pour la réalisation de ses missions et la dualité de la fonction de DPO.

L’avocat, par la nature même de ses fonctions, rassemblent les qualités requises pour la fonction du DPO. Externe à l’entreprise, il est neutre et la qualité de son contrôle n’en sera que meilleure. Soumis au respoect des principes déontologiques inhérents à sa profession, tels que l’indépendance et le secret professionnel, il n’est pas dans un rapport de subordination avec le responsable de traitement, rapport qui pourrait le placer dans une éventuelle situation de crainte ou de complaisance.

Qualifié en droit, l’avocat DPO maîtrise également la règlementation relative à la protection des données personnelles et peut anticiper ses évolutions à travers une veille régulière, comme pour chaque discipline juridique.

Enfin, défenseur des libertés individuelles, l’avocat maîtrise les principes à la base de la règlementation relative à la protection des données personnelles, ce qui lui permet une meilleure lecture des enjeux du responsable de traitement/de la matière.

La désignation d’un DPO choisi à l’extérieur de la structure représentant le responsable de traitement permettrait d’assurer l’indépendance et in fine l’efficacité de ce nouvel organe juridique.

 Par Me Audrey DECIMA & Julie JACOB, Avocats et DPO